Вторжение Android: последствия и решения безопасности BYOD

Введение

Поскольку пользователи приносят свои собственные устройства в рабочую среду, работая под управлением различных операционных систем, безопасность является серьезной проблемой. Некоторые поставщики мобильных продуктов и операционных систем (например, Windows Phone и Windows RT, а также Blackberry) придают особое значение интегрированной безопасности в дизайне своих устройств. Некоторые другие, не так много.

Плохая новость (для BYOD) заключается в том, что потребители раскупают не те устройства, в большей степени ориентированные на безопасность. В настоящее время Android является самой продаваемой операционной системой для смартфонов, на долю которой в 2012 году приходилось почти 70% мирового рынка, а на iOS приходилось еще 20% рынка. Однако это постоянно меняющийся рынок. Я пишу это во время Всемирного мобильного конгресса (WMC) в Барселоне, где Mozilla только что объявила, что делает решительный шаг и запускает собственную мобильную операционную систему Firefox OS.

Однако телефоны — это лишь вершина мобильного айсберга. Когда я посетил выставку CES 2013 в январе, выставочный зал был уставлен планшетами всех размеров от производителей, начиная от крошечных стартапов и заканчивая крупнейшими OEM-производителями компьютеров. Еще прошлым летом технические писатели составляли такие списки, как давая вам представление о том, сколько конкурентов уже существует — и это только те, которые работают под управлением ОС Android.

Конечно, у сотрудников также есть сотни различных вариантов, когда дело доходит до покупки ноутбука, и это уже не просто вопрос выбора Windows или Mac. Хотя Linux как клиентская операционная система все еще не очень популярна, имея всего 1-2% доли рынка, вы можете купить компьютеры с предустановленной Linux у ряда поставщиков или установить ее на машину с Windows. Android работает не только на телефонах и планшетах, но и на маломощных ноутбуках/трансформерах. Google также продает свои Chromebook, работающие под управлением Chrome OS, и совсем недавно представила более качественную версию Pixel.

Все они доступны для потребителей и потенциально могут отображаться в вашей сети как машины BYOD. Этого достаточно, чтобы вызвать кошмары у специалистов по безопасности. Что делать компании, если вы хотите, чтобы как можно больше ваших пользователей приносили свои устройства? Эта статья выходит за рамки предыдущих дискуссий на этом сайте об угрозах безопасности для мобильных устройств и исследует, как вы можете укротить растущего монстра, которым становится BYOD.

Дилемма дроидов

С точки зрения потребителя, ОС Android может многим понравиться. Вы получаете гораздо больший контроль над своим устройством, чем с «обнесенными стеной садами» Apple и Microsoft. Вы можете настроить внешний вид и работу своего телефона или планшета в гораздо большей степени. Если вы технически подкованы, вы даже можете получить root права на устройство и установить пользовательские ПЗУ. Доступно гораздо больше приложений, чем для Windows Phone или Blackberry. Кроме того, существует множество различных аппаратных моделей, выпускаемых разными поставщиками.

К сожалению, некоторые из характеристик, которые делают устройства Android привлекательными для пользователя, делают их проблематичными для тех, кто отвечает за обеспечение безопасности сети. Поскольку приложения, которые продаются через Google Play Store, не так тщательно контролируются производителем ОС, как приложения, продаваемые через магазины других основных мобильных операционных систем, вредоносное ПО представляет собой большую проблему.

Отчет, опубликованный в ноябре прошлого года, показал, что до четверти приложений, которые можно загрузить с официального магазина Google Play, представляют угрозу безопасности. Поставщик систем безопасности Bit9 изучил 400 000 приложений для Android и классифицировал более 100 000 из них как «сомнительные» или «подозрительные». Кроме того, пользователи Android могут более легко «загружать» приложения, то есть устанавливать приложения, которые они получают из источников, отличных от официального магазина, без необходимости рутирования/джейлбрейка устройства.

Это не значит, что Android — это «зло» — несмотря на то, во что некоторые ученые мужи хотели бы заставить нас поверить. Фактически, он основан на ядре Linux, которое имеет много преимуществ в плане безопасности и имеет долгую историю работы в средах с высоким уровнем безопасности. Android разработан для включения механизмов безопасности на уровне ядра, таких как изоляция процессов и модель разрешений на основе пользователей с изолированной программной средой. Он поддерживает криптографические API для стандартных методов шифрования, таких как AES, RSA, SHA и т. д., а также HTTPS и SSL. Более поздние версии Android (4.0 и выше) поддерживают рандомизацию адресного пространства (ASLR), перемещение только для чтения и многое другое.

Начиная с Android 3.0, включено полное шифрование файловой системы; все пользовательские данные могут быть зашифрованы в ядре. Он может быть настроен на запрос пароля для доступа, а также могут быть наложены правила сложности пароля. Фактически, начиная с версии 2.2, API администрирования устройств Android можно использовать для принудительного применения политик паролей и для удаленной очистки устройств. Полное обсуждение механизмов безопасности, встроенных в Android, см. в этом документе.

Тем не менее, в среде, чувствительной к безопасности, устройствам Android может понадобиться небольшая помощь.

Делаем Android-устройства более безопасными

Все эти API-интерфейсы безопасности — отличные новости, но все мы знаем из своего опыта сетевых администраторов Windows, что, независимо от того, сколько замечательных функций безопасности встроено в ОС, вам сначала нужно включить и использовать их. Одна из проблем с BYOD заключается в том, что это относительно новое явление, а процессы и политики все еще развиваются. Слишком много компаний придерживаются принципа «невмешательства» в отношении устройств, принадлежащих пользователям. Вот где в дело вступают политики.

Другая часть проблемы заключается в том, что многие сетевые администраторы не знают, как автоматизировать управление устройствами, отличными от Windows, в сети Windows или даже не знают, что это можно сделать. Но есть ряд решений, которые позволят вам это сделать.

Решения Майкрософт

Microsoft System Center 2012 Configuration Manager (SP1) — это один из вариантов управления мобильными устройствами. Он не только позволяет применять политики к Windows Phone, планшетам Windows RT и устройствам Windows Embedded, но также может использоваться для управления Symbian, iOS и Android. В настоящее время это делается с помощью политик Exchange ActiveSync (EAS), но Microsoft указала, что цель состоит в том, чтобы перейти от EAS к более новым протоколам, таким как OMA-DM (Open Mobile Alliance — Device Management), и работает над клиентом Android, который обеспечит более широкие возможности управления.

Windows Intune — это облачное решение для управления мобильными устройствами, которое также поддерживает iOS и Android. Он включает в себя встроенные порталы самообслуживания для iOS и Android. Его можно использовать в сочетании с SCCM в рамках концепции Microsoft по унифицированному управлению устройствами как для облачных, так и для локальных вычислений. Это Service Pack 1 для SCCM, который добавляет интеграцию с Intune.

Сторонние решения

По крайней мере, до тех пор, пока Microsoft не разработает свой новый клиент Android для SCCM, вам может потребоваться изучить варианты управления мобильными устройствами сторонних производителей. Несколько возможностей включают в себя:

• Citrix XenMobile MDM. Это программное обеспечение ранее называлось Zenprise, которое было приобретено Citrix в декабре 2012 года. Оно дает вам большой контроль над телефонами и планшетами Android, а также устройствами iOS, Windows, Symbian и Blackberry, позволяя автоматически применять политики к устройствам, предоставлять приложения и создавать черные и белые списки, чтобы контролировать, какие приложения можно устанавливать. Вы также можете определить, было ли устройство рутировано, и вы можете стереть потерянные, украденные или скомпрометированные устройства или те, владельцы которых покинули компанию. Он ведет контрольный журнал для вашего собственного внутреннего анализа или в целях соблюдения нормативных требований. Считается одним из лучших MDM-решений на рынке.
• Мобильное железо. Это относительно новая компания, получившая несколько восторженных отзывов о своем решении MDM и MAM (управление мобильными приложениями). В дополнение к четырем мобильным операционным системам, поддерживаемым XenMobile MDM, он также позволяет управлять устройствами WebOS. (Интересное примечание: LG совсем недавно лицензировала WebOS для использования в своих Smart TV).
• МааС360. Это позволяет интегрировать MDM, MAM, управление ноутбуками (Windows и Mac), безопасный обмен документами и управление мобильными расходами в упрощенном решении, которое они описывают как «облачно-ориентированное».

Некоторые производители телефонов также принимают участие в повышении безопасности своих устройств Android для корпоративной среды. В стратегическое время, охватывающее RSA 2013 и Всемирный мобильный конгресс в Барселоне, Samsung и Centrify объявили о партнерстве, в рамках которого будет представлено новое решение для Android под названием KNOX. Он обеспечивает единый вход для нескольких приложений (SSO) и позволяет организациям использовать свои инфраструктуры Active Directory для централизованного управления устройствами Samsung Android. Это отлично подходит для BYOD, поскольку позволяет потребителям легко разделять свои рабочие и личные приложения/данные на своих устройствах.

Резюме

BYOD дает преимущества как отдельным пользователям, использующим собственные устройства, так и компаниям, внедряющим программы BYOD, эти программы реализованы правильно. В этой статье мы сосредоточились на аспектах безопасности и решениях для личных Android-устройств на предприятии, поскольку Android занимает наибольшую долю рынка смартфонов и растущую долю рынка планшетов, а ОС считается наименее безопасная из распространенных мобильных операционных систем из-за своей более «открытой» модели.