Настоящее и будущее BYOD

Владимир Наймарк
CISSP, CISM, CEH, региональный CISO PriceWaterhouseCoopers

– Каковы, на ваш взгляд, основные тренды обеспечения ИБ в современных реалиях развития концепции BYOD?
– BYOD становится стандартным подходом для многих компаний, и к 2017 г. по прогнозам Gartner ожидается, что в 2/3 компаний эта концепция будет внедрена в полной мере. К сожалению, в отношении ее безопасности имеет место, так сказать, догоняющее развитие. Вначале наблюдалось "сращивание" личного использования устройств с использованием корпоративным, для целей бизнеса компании. Сейчас, в результате развития технологий виртуализации, наоборот, внутри самого устройства происходит разделение "личного" и "корпоративного".

При внедрении BYOD компании стараются по мере сил обезопасить свои данные. Поэтому одним из направлений дальнейшего развития этого тренда в решениях безопасности я вижу, в первую очередь, "контейнеризацию". Если взять такие технологии, как Samsung SAFE, KNOX и ряд других, то на их примере видно, как можно реализовать разделяемый доступ к информации на уровне "контейнеров". С моей точки зрения, вполне ожидаемым стало желание компаний, чтобы их сотрудники приносили на работу свои собственные устройства, вместо того чтобы пользоваться корпоративными. И этим обусловлена необходимость разделения данных внутри устройств.

То, что мы наблюдали, скажем, четыре года назад, когда корпоративные данные вдруг появлялись на личных устройствах в незащищенном виде, трансформируется в то, что теперь корпоративные данные будут доступны на любом устройстве, но уже в защищенном виде и никак не связанные непосредственно с самим устройством.

Другим ожидаемым трендом – после выпуска BlackPhone, – я считаю начало разработки изначально безопасных мобильных устройств, – с нуля либо на базе уже существующих платформ. Разработкой безопасных операционных систем сейчас занимается целый ряд компаний. На их основе могут создаваться устройства для изначально безопасных коммуникаций. В свое время таким решением была платформа компании Research-In-Motion под названием BlackBerry.

Еще одной интересной тенденцией, связанной с массовым распространением BYOD, становится потребность контролировать подключение корпоративными пользователями своих устройств к своим домашним сетям – по крайней мере, такие рекомендации уже звучат. Таким образом, компания защищает свои данные от угроз, происходящих из-за взлома домашней сети пользователя. Компания должна убедиться в безопасности домашней сети своего сотрудника. Пока не совсем понятно, как это можно реализовать на практике, тем не менее, существование угрозы налицо. Возможно, мы увидим в ближайшие годы повышенное внимание к этой области.

– Как же совместить требования ИБ с удобством пользования?
– Требования могут быть достаточно гибкими, поэтому, полагаю, это возможно, в частности, благодаря все тому же механизму "контейнеризации". Это не означает, что все риски будут устранены сразу. Ведь корпоративные данные – пусть и в зашифрованном виде – так или иначе находятся на устройстве пользователя, само устройство коммуницирует с сетью компании. Однако утверждать, что эти риски выше тех, которые возникают при использовании не собственных пользовательских, а именно корпоративных устройств, не приходится. Технологии "контейнеризации" не стоят на месте, они развиваются. Возьмите телефоны с двумя SIM-картами – в них можно на уровне каналов связи полностью разделить две одновременно происходящие коммуникации в рамках одного и того же устройства.

– Способны ли электронные ключи и смарт-карты с двухфакторной, а возможно, и трехфакторной аутентификацией, а также USB-токены обеспечить надежную защиту мобильного устройства или планшета?
– Технологии надежной аутентификации существуют на рынке давно. Но любое физическое устройство аутентификации, которое приходится носить в дополнение к мобильному устройству, в значительной степени снижает удобство пользования. Поэтому не следует ожидать, что для мобильных устройств появятся специальные ключи и токены в их традиционном исполнении. Скорее, следует ожидать развития в данном направлении средств биометрической аутентификации и альтернативных вариантов, как то небольшие предметы (например, кольцо) с встроенной меткой – Google, да и другие лидеры отрасли интенсивно работают над подобными проектами. Возможно, это будет двухфакторная аутентификация. Если произойдет стандартизация цифровых подписей (и их носителей) на межгосударственном уровне, например, в Европе, то смарт-карты смогут поддерживать стандартизированные (например, в Европе) механизмы идентификации личности владельца мобильного устройства. Такая карта может использоваться в качестве дополнительного фактора аутентификации для BYOD. Первый фактор – то, что владелец знает, а именно – пароль, второй фактор – то, что человек всегда при себе имеет, или что является частью конкретного человека.

– Насколько эффективны MDM-решения (Mobile Device Management)?
– Технологии пока достаточно "сырые". Они очень быстро развиваются, но еще быстрее развиваются сами мобильные платформы. И немедленно закрывать все появляющиеся новые уязвимости практически невозможно.

При внедрении такого решения необходим тест на проникновение (penetration test). Такие тесты стали стандартном для электронной коммерции, Web-ресурсов, а вот для MDM их пока проводится мало. Любое MDM-решение имеет некую заявленную функциональность, но это вовсе не означает, что при этом гарантируется его безопасность.

– Что мешает повсеместному распространению BYOD, и что необходимо предпринять, чтобы эта идеология заработала в полную силу?
– Особых препятствий, учитывая темпы распространения BYOD, не наблюдается. Просто эта технология, как и любая другая, должна достичь определенного уровня зрелости.

С точки зрения, например, банков, после рассмотрения результатов penetration-тестов ряда MDM-систем можно прийти к заключению о преждевременности внедрения BYOD. Производителям MDM-систем надо потратить несколько лет на совершенствование своих продуктов, провести подробные проверки, тестирования. После того как будут обнаружены все основные проблемные зоны, они должны быть "закрыты" по умолчанию. Здесь уместна аналогия с Web-платформами: в первых приложениях c динамическим контентом было огромное количество уязвимостей. Постепенно они все учитывались в новых версиях ПО. И сегодня найти приложение Web 2.0, базирующееся на популярных платформах, которое бы, например, ненадежно создавало ID сессии, значительно сложнее. Сами платформы взяли на себя стандартные, базовые функции безопасности. То же должно произойти и в сфере BYOD. Как технологии Web 2.0 преодолели "детские" болезни и вступили в пору зрелости, так же преодоление "детских" болезней, вроде хранения паролей внутри устройства в незашифрованном виде, произойдет и в MDM, тогда будет и больше доверия к таким продуктам.

– Каков уровень безопасности наиболее популярных мобильных ОС?
– Здесь как раз все более-менее понятно. Наиболее распространен на рынке OC Android, точнее, его свободно распространяемое ядро. То, что вендоры добавляют в него, с точки зрения безопасности может оказаться более уязвимым, нежели само ядро. С ОС Android сегодня происходит примерно то же самое, что в свое время происходило с ОС Microsoft Windows. Чем распространенней базовая платформа, тем больше для нее пишется вирусов, червей, разрабатывается атак и предпринимается других злонамеренных действий. Продукты компании Apple, по сути, являются нишевыми – хотя эта ниша достаточно большая, – подобно MacOS мобильная iOS становится менее привлекательной в глазах разработчиков зловредных приложений. Она же и менее перспективна в плане эксплуатации уязвимостей, соответственно, атак для нее предпринимается меньше.

Интересна ситуация с ОС Windows 8. Изначально она разрабатывалась именно как безопасная платформа. И в свете сказанного мною выше – это один из неплохих кандидатов на роль платформы для разработки изначально безопасных мобильных устройств. На мой взгляд, есть два возможных пути: либо "усиление" ОС Android, либо применение ОС Windows 8 – архитектура последней разрабатывалась с достаточным запасом безопасности.

– Какова ситуация с атаками, и как от них защищаться?
– Появилось множество вредоносного ПО для устройств на базе ОС Android. Поэтому к применению Android в качестве корпоративной платформы нужно подходить с осторожностью, по возможности, своевременно устраняя вновь обнаруживаемые уязвимости и тем самым снижая возможные риски. В основном сейчас имеют место атаки, связанные с кражей денег с личного счета владельца устройства, будь то атака на приложение ДБО, SMS-фрод, неавторизованные звонки и пр. Использование же мобильных устройств для проникновения в корпоративную сеть с целью кражи данных компании пока что отмечалось аналитиками, скорее, как некое подтверждение возможности такового, что называется, proof of concept.

Чтобы не пугать, а, скорее, предупредить ваших читателей, я бы советовал все-таки использовать надежные пароли и регулярно менять их. На Android-устройствах обязательно должно стоять антивирусное ПО, настроенное для регулярной проверки всех программ. Не рекомендую делать rooting и jailbreak с целью эскалации прав доступа. Инсталлировать программы следует только из надежных источников. Для критичных в отношении безопасности приложений, в частности, ДБО – следует использовать двухфакторную аутентификацию, например, через СМС.