Пришло время поумнеть в вопросах безопасности смартфонов
Введение
В 2008 году я опубликовал на этом сайте статью об угрозах, которые мобильные телефоны могут представлять для корпоративных сетей, и о шагах, которые можно предпринять для защиты телефонов с Windows Mobile 6.1. С тех пор рынок смартфонов переживает бум, и компании сталкиваются с множеством портативных устройств, принадлежащих сотрудникам, которые могут иметь доступ к ресурсам вашей компании. Наряду с новыми версиями Windows Mobile и iPhone, у нас есть телефоны на базе Android, а также те, которые работают под управлением Symbian, Palm и новых операционных систем Nokia Maemo. С этими новыми и улучшенными моделями возникают новые проблемы безопасности.
Хорошая новость заключается в том, что сейчас, когда мы вступаем в новое и, возможно, даже более мобильное десятилетие, индустрия, похоже, наконец-то стала умнее относиться к безопасности смартфонов. Недавний опрос, проведенный Goode Intelligence, показал, что более половины опрошенных организаций планируют развернуть мобильные антивирусные продукты в 2010 году. Но антивируса недостаточно; если в вашей сети есть смартфоны, вам нужна комплексная стратегия, обеспечивающая их такую же безопасность, как и полноценные компьютеры, имеющие доступ к вашим серверам.
В этой статье мы рассмотрим, что нового в угрозах безопасности мобильных устройств и решениях, включая наш «список пожеланий» для Windows Mobile 7 с точки зрения безопасности.
Растущий рынок
Несколько лет назад рынок смартфонов был ограничен; большинство владельцев были руководителями Blackberry или техническими специалистами с телефонами Windows Mobile. Часто за это платила компания; большинство индивидуальных пользователей сотовых телефонов не хотели выкладывать сотни долларов за телефон. Появление iPhone в 2007 году все изменило. Его невероятная популярность сделала концепцию смартфона популярной и побудила конкурентов разрабатывать новые, более совершенные и умные телефоны и продвигать их на более широком рынке. Цены тоже упали.
Теперь вы обнаружите, что в типичной компании у значительного числа сотрудников есть собственные смарт-мобильные устройства. Дебют новых телефонов на базе Android, таких как Droid от Motorola, Nexus One от Google и новейших телефонов WinMo, таких как Omnia II от Samsung и HD2 от HTC, предоставляет множество возможностей для тех, кто хочет носить смарт-компьютер в кармане. И не заблуждайтесь: это именно то, чем являются эти устройства. Благодаря новейшему процессору Snapdragon 1 ГГц, большому количеству встроенной памяти (например, у HD2 448 МБ ОЗУ и 512 МБ ПЗУ) и большому количеству гигабайт дискового пространства (большинство новейших телефонов поддерживают 16 или 32 ГБ микро SD). карты), в этих небольших пакетах содержится много вычислительной мощности.
Хотя глобальная рецессия затормозила рост рынка смартфонов, а аналитики расходятся во мнениях относительно темпов восстановления, большинство прогнозирует возобновление роста в 2010 году, а производитель микросхем ARM (чипы которого используются в подавляющем большинстве мобильных телефонов) оценивает рост в 20-30 процентов. для рынка в следующем году.
Растущая угроза
Таким образом, неизбежно, что на рабочем месте будет больше смартфонов, принадлежащих как компании, так и сотрудникам, и работники захотят использовать эти телефоны для подключения к корпоративной сети, чтобы получать электронную почту и использовать другие ресурсы. Однако многие работники, которые регулярно принимают меры предосторожности при работе со своими настольными и портативными компьютерами, не понимают, что им нужно делать то же самое со своими телефонами. Это представляет потенциальную угрозу для тех сетей, к которым они подключаются. Некоторые из угроз включают в себя: ~
- Вирусы и вредоносные программы передаются с телефонов в сеть
- Утерянные или украденные телефоны, содержащие учетные данные для подключения к сети
- Утерянные или украденные телефоны, содержащие конфиденциальные данные компании в виде сообщений электронной почты, документов, фотографий и т. д.
- Вредоносное ПО, позволяющее посторонним прослушивать голосовые вызовы
- Атаки с близкого расстояния, использующие Bluetooth и Wi-Fi.
- Межсервисные атаки, использующие взаимодействие между различными сетями, такими как сеть Wi-Fi и сеть 3G.
Поскольку хакеры не спешат атаковать телефоны, некоторые пользователи смартфонов и сетевые администраторы могут не думать, что угроза реальна. Но прошлым летом на BlackHat 2009 пара экспертов по безопасности продемонстрировала уязвимость в безопасности iPhone (которая также может повлиять на телефоны Windows Mobile и Android), с помощью которой хакер мог получить доступ к некоторым приложениям телефона с помощью эксплойта для обмена текстовыми сообщениями.
Затем в новостях появились червь ikee и атаки iPhone/Privacy.A на «сломанные» iPhone.
А в ноябре 2009 года появился еще один вирус для iPhone, названный Duh или ikee.B. Этот превращает телефоны в зомби в ботнете.
В прошлом многие владельцы смартфонов использовали свои телефоны в основном для голосовых вызовов и доступа к электронной почте. Просмотр веб-страниц на телефоне часто вызывал разочарование. Современные телефоны намного лучше обрабатывают веб-страницы, и, следовательно, все больше людей используют свои телефоны для просмотра веб-страниц. К сожалению, это открывает совершенно новый вектор атаки, с помощью которого злоумышленники могут доставлять трояны, вирусы и шпионское ПО или проводить фишинговые атаки через поддельные веб-сайты и т. д. Исследование безопасности, проведенное Trend Micro, показало, что только 23 процента пользователей смартфонов используют средства защиты. программное обеспечение на своих телефонах.
В октябре 2009 года разработчик из Индонезии обнародовал программу мобильного телефона для Blackberry, которую можно загрузить на телефон без ведома пользователя, чтобы включить микрофон и позволить кому-то удаленно подслушивать разговоры, происходящие поблизости. Аналогичная программа есть и для iPhone. Хотя они обычно устанавливаются кем-то, кто имеет физический доступ к телефону, такое вредоносное ПО можно доставить через браузер или электронную почту на телефон, подключенный к Интернету.
В свете этих и других событий компании начинают осознавать, что пришло время серьезно относиться к безопасности смартфонов. Согласно недавнему отчету по безопасности в Великобритании, более половины опрошенных организаций планируют развернуть антивирусные решения для смартфонов в 2010 году, а 40% планируют нанять специалистов по мобильной безопасности в штат в течение следующих двух лет.
Защита от вредоносных программ — хорошее начало, но, как и любая стратегия безопасности, успешный план защиты смартфона будет многогранным. Давайте рассмотрим некоторые минимальные шаги, которые должны предпринять компании для защиты своих бизнес-ресурсов от мобильных угроз.
Решения и смягчение последствий
Простейшим решением может быть запрет доступа смартфонов к корпоративной сети, но во многих/большинстве ситуаций это нецелесообразно или нежелательно. Руководство ожидает, что сотрудники будут отвечать на электронные письма, когда они находятся вне офиса, а сотрудники ожидают, что смогут проверять почту, читать документы или даже подключаться к рабочим столам своей компании со своих телефонов. Запрет смартфонов в сети снизит производительность и уменьшит удовлетворенность сотрудников.
Таким образом, важно управлять смартфонами, которые подключаются к вашей сети, и разрабатывать политики, предназначенные для защиты как самой сети, так и данных компании. К счастью, современные смартфоны поддерживают гораздо больше механизмов безопасности, чем несколько лет назад, что упрощает поддержку таких политик. Вот несколько предложений:
- Требуйте, чтобы смартфоны, которые подключаются к вашей сети, запускали пакеты программного обеспечения для защиты от вредоносных программ, доступные от различных поставщиков.
- Требуйте, чтобы все смартфоны, имеющие доступ к вашей сети, были защищены паролем и/или биометрическими данными. ABI Research прогнозирует, что в ближайшие пять лет значительно увеличится количество смартфонов, оснащенных расширенными функциями безопасности, такими как датчики отпечатков пальцев.
- Помимо требования аутентификации для входа в телефон, пароль должен требоваться для доступа к любым бизнес-приложениям или учетным записям корпоративной электронной почты. Учетные данные не должны сохраняться. Это может немного доставить неудобства пользователям, но добавит уровень безопасности, если вор сможет проникнуть в операционную систему телефона. Для телефонов Windows Mobile и iPhone доступно стороннее программное обеспечение для управления паролями, которое упрощает защиту паролей.
- Требовать SSL или другое безопасное соединение для доступа к ресурсам компании.
- Используйте технологии виртуализации, чтобы позволить пользователям просматривать корпоративные данные на телефоне, не загружая их на телефон. Таким образом, данные остаются на сервере, а телефон используется только как терминал для их отображения.
- Если данные отправляются на телефон, потребуйте, чтобы они были зашифрованы.
- Требуйте, чтобы все смартфоны, имеющие доступ к вашей сети, поддерживали «удаленную очистку», чтобы в случае потери или кражи телефона данные можно было стереть при его включении.
- Установите политики, требующие от пользователей отключать радиомодули Bluetooth и Wi-Fi, когда они не используются, чтобы злоумышленники не могли использовать эти возможности для получения доступа к телефону.
Резюме
Рынок смартфонов растет и меняется с каждым годом. ИТ-администраторы могут рассчитывать на то, что в будущем в их сетях будет появляться все больше и больше таких небольших, но мощных компьютеров. На самом деле, некоторые эксперты по безопасности предсказывают, что в конечном итоге телефоны будут использоваться в качестве средства аутентификации пользователей в сети, то есть ваш телефон заменит смарт-карту или токен, поскольку вы постоянно носите его с собой, и он имеет уникальный идентификатор. Если смартфонам будет предоставлен такой уровень доверия, станет еще важнее обеспечить их безопасность.
Между тем, время принять меры предосторожности — до того, как произойдет массированная атака на смартфоны. Именно компании, применяющие упреждающий подход к безопасности смартфонов, останутся невредимыми в случае такой атаки, и большинство экспертов по безопасности считают, что это вопрос времени, а не «если».