Снижение безопасности приложений: все дело в приложениях (часть 8)

• Application Security Redux: все дело в приложениях (часть 4)
• Application Security Redux: все дело в приложениях (часть 6)
• Снижение безопасности приложений: все дело в приложениях (часть 7)

Введение

В этой серии статей мы начали с части 1 с общего обзора безопасности приложений. Во второй части мы начали с рассмотрения того, как защитить приложения от несанкционированного доступа или доступа, а также подробно рассмотрели особый случай мобильных приложений. В части 3 мы обсудили, как вы можете блокировать нежелательные приложения и ограничивать действия пользователей с приложениями, которые вы разрешаете им использовать. В части 4 мы начали изучать Microsoft AppLocker, а в части 5 мы углубились в использование PowerShell для настройки и управления AppLocker. В части 6 мы обсудили новую возможность управления приложениями на мобильных устройствах с Windows 10. В прошлый раз, в части 7, мы начали рассматривать шифрование и защиту данных, которые создаются, собираются или хранятся приложениями.

Мобильные данные отличаются

Когда-то защитить данные, созданные нашими бизнес-приложениями, было относительно просто. Эти данные обычно хранились на файловом сервере или сетевом запоминающем устройстве в закрытой и обслуживаемой серверной комнате или центре обработки данных (в зависимости от размера организации). Доступ к нему получили сотрудники, которые сидели за рабочими местами в помещении компании. ИТ-отдел контролировал как физический, так и логический доступ к данным.

Затем мир стал мобильным. Ноутбуки стали популярными, позволяя работникам собирать свои компьютеры в конце рабочего дня и брать их домой или брать с собой в командировки (или даже в отпуск), чтобы наверстать упущенное на работе в «нерабочее» время. или будьте готовы мгновенно реагировать на всплывающие запросы о работе, отвечать на электронную почту и оставаться на связи с офисом, где бы они ни находились. Это удобнее для сотрудников и продуктивнее для компании; это похоже на беспроигрышную ситуацию.

Единственная проблема заключается в том, что безопасность данных стала немного сложнее. Теперь сотрудники создавали данные на машинах, которые находились за пределами территории компании, и получали доступ к корпоративным данным из множества разных мест через разные домашние и общедоступные сети, которые могли или могли иметь меры безопасности. Чтобы эти работники могли загружать файлы данных из сети компании на свои удаленные компьютеры или загружать рабочие документы, которые они создали удаленно, в хранилища файлов компании, данные должны перемещаться через очень общедоступный и очень небезопасный Интернет.

И это еще не все. Тенденция «принеси свое собственное устройство» (BYOD), которую любят многие сотрудники, потому что она позволяет им использовать марки/модели оборудования, которые они предпочитают и которые нравятся компаниям, потому что эти устройства оплачиваются сотрудниками, а не из корпоративного бюджета, взяла верх. отказаться от железного контроля, который ИТ-отдел имел над компьютерами, принадлежащими компании, даже когда сотрудники позволяли выносить их за пределы помещения. Сотрудники (правильно) считают, что, поскольку они выкладывают деньги за компьютер, они должны иметь возможность использовать его как в личных целях, так и для работы. К сожалению, некоторые из этих личных целей могут представлять угрозу безопасности, включая угрозу раскрытия рабочих данных.

Ноутбуки, конечно же, были только началом движения за мобильность. Теперь у нас есть данные, перемещающиеся по множеству устройств, включая планшеты, смартфоны и даже носимые устройства, поскольку пользователи настраивают свои смарт-часы и другие «умные» гаджеты, чтобы уведомлять их о телефонных звонках компании, сообщениях электронной почты, текстовых сообщениях и так далее. Эти специализированные вычислительные устройства являются частью растущего Интернета вещей (IoT), который, как ожидается, взорвется в ближайшие несколько лет: Gartner прогнозирует 6,4 миллиарда подключенных «вещей» в этом году (2016) и более 20 миллиардов к 2020 году..

Это надвигающееся мобильное безумие означает, что гораздо больше данных будет передаваться от устройств к серверам, от серверов к устройствам, от датчиков к устройствам и от устройств к устройствам. Значительная часть этих данных будет бизнес-информацией, и значительная часть этой информации должна быть конфиденциальной или иметь ограниченный доступ. Мобильные устройства обычно подключаются через беспроводные сети, а не через проводной Ethernet, что представляет дополнительную уязвимость и уязвимость. И если этого было недостаточно, то есть облако.

Куда, о, куда делись мои данные?

Когда данные хранятся на серверах компании, мы по-прежнему имеем жесткий контроль над ними, пока они находятся в состоянии покоя, поскольку они проходят опасный маршрут от удаленного устройства через «плохие районы» Интернета. Однако все больше и больше компаний передают свои данные (а также свои приложения) поставщикам облачных услуг, и в этом случае вы можете не знать точно, какие меры безопасности применяются для защиты этих данных, и, скорее всего, вы не будете знать, какие физическое расположение данных.

С точки зрения безопасности для облачного провайдера имеет смысл держать эту информацию в секрете, но это также заставляет нас чувствовать, что мы больше не контролируем ситуацию — и это чувство законно, потому что это не так. Для перехода в облако необходимо передать наши данные поставщику облачных услуг, что означает уверенность в том, что CSP защитит их. Хорошая новость заключается в том, что у крупных CSP в большинстве случаев больше средств для обеспечения безопасности наших данных, чем у нас. У них есть ресурсы для реализации высокого уровня, высокотехнологичной физической безопасности, а также лучших стратегий шифрования, мониторинга и реагирования на инциденты.

С другой стороны, крупные и известные CSP могут быть излюбленными целями хакеров и злоумышленников по той же причине, которую часто приписывают Уилли Саттону в отношении того, почему он грабил банки: именно там находятся деньги (или в этом классе наиболее ценные цифровые информация) есть. Как и большинство решений в бизнесе и в жизни, решение разместить данные в облаке требует компромиссов. Ваш план защиты данных должен учитывать это.

Защита мобильных и облачных данных

Во многих отношениях защита данных, которые «стали мобильными» или хранятся в облаке, аналогична защите данных в локальном центре обработки данных. Аутентификация, авторизация, контроль доступа и шифрование — это четыре столпа, на которых держится вся безопасность данных. Мы обсуждали это в части 7, но вот краткий обзор:

• Аутентификация. Первым шагом в защите данных является проверка личности человека, который пытается получить к ним доступ. Аутентификация — это средство, с помощью которого человек (или компьютер) подтверждает свою личность. При работе с конфиденциальными мобильными данными традиционной аутентификации по имени пользователя и паролю недостаточно. Многофакторная проверка подлинности обеспечивает более надежную защиту, а современные мобильные устройства поддерживают множество форм проверки подлинности, включая сканеры отпечатков пальцев, программное обеспечение для распознавания лиц, такое как Windows Hello, распознавание образов и многое другое.
• Авторизация и контроль доступа. После установления личности система должна быть в состоянии определить, какие файлы данных разрешено открывать этому пользователю и какой уровень доступа он/она может иметь (только чтение, изменение, удаление и т. д.). Это делается путем установки разрешений, привилегий и прав пользователей. Windows поддерживает различные типы разрешений, например разрешения на уровне файлов и общих ресурсов.
• Шифрование. Шифрование данных добавляет еще один уровень защиты и является лучшим способом защиты данных. Мобильные данные необходимо защищать во время хранения на устройстве и при передаче через Интернет с помощью методов, которые мы обсуждали в части 7.

Некоторые другие механизмы безопасности, особенно подходящие для мобильных и/или облачных данных, включают:

• Контейнерные приложения. В наши дни контейнеризация является большой тенденцией и идет рука об руку с облачными вычислениями, а также предлагает преимущества для удаленных мобильных пользователей. Я подробно писал о контейнерах в других статьях на этом сайте и на сайте WindowsNetworking.com. Контейнерные приложения могут создать частную корпоративную рабочую область на личном устройстве пользователя, чтобы он получил доступ к корпоративным данным и приложениям с безопасностью корпоративного уровня.
• Виртуальные частные сети. Протоколы VPN, такие как SSL или IPsec, шифруют передачу данных между удаленным пользователем и корпоративной сетью, и большинство компаний поддерживают VPN-подключения. Однако не все VPN-протоколы одинаковы, поэтому важно регулярно оценивать и при необходимости обновлять методы работы с VPN.
• Управление мобильными устройствами (MDM) и управление мобильными приложениями (MAM). Система MDM позволяет создавать и применять безопасность на основе политик ко всем мобильным устройствам, которые имеют доступ к сети вашей компании, управлять сертификатами и ключами, отслеживать работоспособность устройств и состояние безопасности, отслеживать использование и доступ, контролировать доступ к данным и даже блокировать или стереть устройство, если оно потеряно или украдено. MDM можно использовать как с устройствами BYOD, так и с корпоративными. MAM помогает вам обновлять и правильно настраивать мобильные приложения для обеспечения максимальной безопасности, что делает данные, которые они генерируют и хранят, более безопасными.
• Обучение пользователей. Удаленные мобильные пользователи иногда не проходят тот же уровень обучения по вопросам безопасности, что и локальные сотрудники, и тем не менее они чаще всего нуждаются в этом больше всего из-за более уязвимого характера их устройств и их использования. Убедитесь, что мобильные пользователи знают о ваших передовых методах обеспечения безопасности и понимают, как их применять.
• Воспитывать себя. При выборе поставщика облачных услуг обязательно читайте пользовательское соглашение о хранении ваших данных и задавайте вопросы, если у вас есть сомнения или что-то непонятно. Убедитесь, что ваш CSP шифрует сохраненные данные.
• Классификация данных. В предыдущей статье мы обсуждали важность классификации данных по уровню безопасности. Такая классификация позволяет вам оценить, могут ли некоторые из ваших данных не подходить для облачного хранилища из-за их конфиденциальности или из-за нормативных требований.
• Сделайте резервную копию. А затем снова сделайте резервную копию. Избыточный план резервного копирования может избавить вас от многих проблем, поэтому независимо от того, хранятся ли данные на мобильном устройстве, на сервере компании или в облаке, всегда имейте несколько резервных копий и убедитесь, что они действительно могут быть использованы для восстановления ваших данных, если это необходимо. делать тестовое восстановление на регулярной основе.

Последние мысли

Безопасность приложений — многогранная тема, и даже в этой серии статей, состоящей из восьми частей, мы коснулись только поверхности многих аспектов, связанных с защитой приложений, защитой остальной системы от угроз, связанных с этими приложениями, и защитой данные, которые генерируются приложениями. Еще больше усложняет ситуацию то, что ландшафт безопасности приложений постоянно меняется, поскольку злоумышленники находят новые способы использования приложений, чтобы проникнуть в наши сети, вывести из строя наши системы, украсть или раскрыть наши данные. Я надеюсь, что эта серия статей по крайней мере дала вам некоторые отправные точки для оценки и укрепления вашей стратегии безопасности приложений в мобильном и облачном мире.

• Application Security Redux: все дело в приложениях (часть 4)
• Application Security Redux: все дело в приложениях (часть 6)
• Повышение безопасности приложений: все дело в приложениях (часть 7)