Безопасность корпоративной сотовой связи. Новые угрозы и арсенал защитыЧасть II

Игорь
Калайда

генеральный директор ООО "НИИ СОКБ"

Григорий
Васильев

менеджер по продукту SafePhone ООО "НИИ СОКБ"

Граничные условия

Личные или корпоративные устройства используются в компании для работы? Насколько разнообразен их парк? Каковы масштабы использования мобильных средств связи в компании? К каким корпоративным ресурсам нужен мобильный доступ? Каковы перспективы развития мобильного офиса? Насколько критичны данные, доступ к которым обеспечивается с помощью мобильных устройств? Все эти вопросы необходимо учитывать при выборе наиболее подходящего решения. Следует иметь в виду, что использование разнообразного парка мобильных устройств в рамках компании, хотя и поддерживается рядом продуктов, серьезно усложняет администрирование и настройку политик безопасности в силу принципиальных различий ОС и соответственно различия наборов реализованных для них функций.

Антивирусные решения

Если в момент своего зарождения мобильные антивирусы осуществляли лишь сравнение файлов с базами вирусных сигнатур, то сегодня решения класса Mobile Security представляют собой сложные интегрированные приложения. Помимо защиты от вредоносного кода и блокирования нежелательных соединений, мобильные антивирусы осуществляют фильтрацию звонков и SMS (аналог антиспама), шифруют данные на телефоне, блокируют устройство при смене SIM-карты. В случае утери или кражи смартфон можно удаленно заблокировать и очистить его память. Задействовав функции GPS, можно получить информацию о местонахождении утерянного устройства. Корпоративные версии продукта мало отличаются от персональных мобильных антивирусов. Консоль администрирования, входящая в состав бизнес-версий, облегчает управление антивирусным продуктом, но не решает задачу менеджмента самих мобильных устройств. Для этого существуют специализированные приложения, с которыми антивирусы могут интегрироваться.

Менеджмент и защита мобильных устройств

Решения класса Mobile Device Management (MDM) развиваются давно, но всплеск интереса к ним мы наблюдаем последние год-полтора. Причиной тому - все более тесная интеграция мобильных средств связи в корпоративную инфраструктуру. Соответственно у системных администраторов появилась потребность в инструменте для учета и менеджмента данных устройств. Рассмотрим некоторые из систем MDM, чтобы проинформировать читателя об их функциональности и, возможно, вызвать у него интерес к более пристальному изучению продуктов.

Sybase Afaria

Начнем с продукта, разработанного Sybase - дочерней компанией SAP AG. Это модульное решение с поддержкой множества мобильных платформ, для каждой из которых разработано клиентское мобильное приложение. Настройки клиента для связи с сервером могут быть получены с помощью конфигурационных SMS-сообщений, таким образом, для включения мобильных устройств в корпоративную систему менеджмента нет необходимости в физическом доступе к устройствам.

Решение автоматизирует выполнение различных технических и бизнес-процедур. Оно позволяет администратору генерировать скрипты для обращения к различным аппаратным и программным настройкам мобильного устройства и выполнять определенные действия. Сообщения о результатах выполнения скриптов можно получать на электронную почту в автоматическом режиме.

Afaria поддерживает практически все популярные мобильные платформы и позволяет управлять не только смартфонами и планшетами, но и ноутбуками на MS Windows. Оборотной стороной мощного инструментария и широчайшего спектра поддерживаемых платформ является сложность освоения данного продукта. Для различных устройств наборы реализованных функций сильно отличаются. К сожалению, изобилующий настройками интерфейс не является интуитивно понятным. Для полного использования возможностей продукта имеет смысл подумать о прохождении курса обучения.

Если организация не планирует внедрять стандарт мобильных устройств и ориентируется на использование в корпоративной среде личных смартфонов сотрудников, то решение Afaria отлично подойдет для управления большим и пестрым парком средств сотовой связи большой корпорации.

Microsoft Mobile Device Manager

Разработчики мобильных платформ могут сами создавать решения класса MDM. В частности, корпорация Microsoft предлагает продукт Mobile Device Manager. Очевидное ограничение этой системы - поддержка всего одной, и к тому же не слишком популярной в России платформы Windows Mobile. Однако если в компании используются устройства именно с этой ОС, Microsoft MDM предоставляет широкие возможности для защиты корпоративных средств связи. В их числе групповые политики безопасности устройств, шифрование данных на устройстве и дополнительных картах памяти, аутентификация по сертификатам корпоративного удостоверяющего центра, экстренное удаление информации на мобильном устройстве по команде, отправляемой администратором Microsoft MDM. Гибкая система политик позволяет ограничивать функциональные возможности устройства, запрещая использование камеры, Wi-Fi и Bluetooth, не допуская установку дополнительного ПО.

Сдерживающим фактором является поддержка платформ исключительно собственной разработки (хотя, например, компания RIM отошла от столь жесткой политики и анонсировала в BlackBerry Enterprise поддержку iOS и Android). Более того, поддержка Windows Phone - наиболее перспективной мобильной платформы Microsoft - ожидается только в будущих версиях Microsoft MDM, а до тех пор владельцам устройств с Windows Phone 7 можно лишь порекомендовать использовать Exchange ActiveSync.

Symantec Mobile Management

Решение создано в рамках концепции единой платформы управления Symantec (Symantec Mobile Management). В числе платформ, поддерживаемых решением, заявлены Apple iOS, Windows Mobile, Android, BlackBerry, Symbian. Однако реализованные возможности для различных платформ сильно отличаются. Если для Symbian отсутствует даже агентское приложение, то для iOS предусмотрена не только загрузка мобильного клиента как с общедоступного, так и с частного сервера, но и хранилище приложений организаций Enterprise AppStore и расширенные параметры безопасности с возможностью удаленного блокирования устройств и выборочного стирания данных. На сегодня наиболее полно функции Symantec Mobile Management реализованы для трех платформ - Windows Mobile, iOS и Android.

Как и все продукты Symantec для управления, решение базируется на Symantec Management Platform. Кроме данной платформы, для работы потребуются Microsoft Windows Server и Microsoft SQL.

SafePhone: защита и управление

SafePhone - единственное на сегодняшний день отечественное решение для защиты корпоративной сотовой связи. Его особенностью является жесткая политика установки приложений на смартфоны и коммуникаторы. В чем преимущество такого подхода?

Большинство MDM-решений могут выступать как консоль управления мобильными антивирусами сторонних разработчиков или, как в случае с Symantec, используют собственные антивирусные решения. Однако не секрет, что антивирусы не могут обеспечить стопроцентную защиту от вредоносного ПО. Если же вредоносная программа создается для персонализированной атаки и проверяется на детектирование антивирусными решениями, то шансы антивируса в данном противоборстве падают до уровня, неприемлемого для корпоративных организаций. Чтобы разорвать порочный круг, в решении SafePhone используется не "черный список" антивирусных сигнатур, а "белый список" доверенных в данной организации приложений. Инсталлируются только приложения из корпоративного банка доверенного ПО и лишь по команде оператора центра управления корпоративной сотовой связью.

Нетривиальный вопрос "Что считать доверенным приложением?" предлагаем обсудить в других публикациях.

Основные функции SafePhone для защиты мобильного устройства осуществляются с помощью агента SafePhone Client. Пользователь может удалить SafePhone Client лишь перепрошивкой устройства с переходом к заводским установкам и потерей всех индивидуальных настроек. Помимо стандартных для большинства MDM функций безопасности и управления, решение предоставляет возможность обмена сообщениями без службы SMS.

Решение SafePhone предусматривает возможность дистанционного запрета использования потенциально опасных интерфейсов (Bluetooth, Wi-Fi, фотокамера), недоступность связи с абонентами, не включенными в справочник, синхронизирующийся с корпоративным центром управления. При наступлении критичных с точки зрения ИБ событий - например, при смене SIM-карты или при наборе "тревожной" комбинации символов - предусмотрено выполнение заранее прописанных сценариев, от скрытной отправки сообщения до полного удаления данных и возвращения устройства к заводским настройкам.

Ориентированность SafePhone на российский рынок демонстрируется выбором поддерживаемых платформ. В качестве первой ОС выбрана Symbian, поскольку в отличие от общемировой ситуации в России телефоны Nokia по-прежнему являются наиболее распространенными. Готова beta-версия SafePhone, функционирующая под управлением iOS. Реализация для Android планируется во втором полугодии текущего года.

Заключение

За рамками обзора остался целый ряд продуктов, да и каждое из упомянутых решений достойно отдельной публикации. Анонсы и roadmap как описанных решений, так и не вошедших в обзор и растущий интерес к безопасности мобильных устройств со стороны потенциальных заказчиков дают основания ожидать, что в этом году мы станем свидетелями серьезных изменений в области защиты и управления корпоративной сотовой связью.

Рынок, отзовись!!!