Мобилна сигурност: Защита на мобилни устройства в корпоративна среда. Ограничете списъка с данни, които могат да се прехвърлят към облачни услуги. Как да се предпазите от заплахи
Днес на личното си устройство потребителят може да играе, да гледа видеоклипове, да провежда видеоконференции и да работи с конфиденциалност корпоративна информацияобаче, подходът BYOD (Bring Your Own Device) е изпълнен с пробиви в сигурността.
Разлика между стари и нови мобилни устройства
При закупуване на първия мобилни телефонипотребителите се интересуваха от въпроса колко записа на контакт може да съхранява - съхраняването му на SIM карта беше неудобно, но доста безопасно (ПИН код и възможност за блокиране на достъпа до данни), а днес всички данни се съхраняват в споделена памет, достъпът до който за различни приложения почти не е защитен. Много комуникатори ви позволяват да криптирате лични данни, но приложенията, които имат достъп до тях, лесно ги кешират
Съвременните смартфони и таблети съдържат доста функционалност за възрастни, подобна на тази на техните „големи братя“. Отдалечено администриране, VPN поддръжка, браузъри с флаш и java-script, синхронизация на поща, бележки, споделяне на файлове. Всичко това е много удобно, но пазарът на продукти за сигурност за такива устройства все още е слабо развит.
Достъп до поща и пощенска кутия
Обикновено достъп до пощенски услугии синхронизацията на пощата се конфигурират на мобилното устройство веднъж и ако устройството бъде изгубено или откраднато, нападателите получават достъп до цялата кореспонденция, както и до всички услуги, свързани с тази пощенска кутия.
Пратеници
Skype, WhatsApp - всичко това не е чуждо на съвременните мобилни устройства, в резултат на което цялата кореспонденция на дадено лице и неговите списъци с контакти могат да бъдат изложени на риск.
Документи, бележки
DropBox за мобилни устройстваможе да се превърне в източник на компрометиране на всякакви документи, както и различни бележки и събития в календара. Капацитет модерни устройствадостатъчно големи, за да могат да заменят USB устройства, а документите и файловете от тях са напълно способни да зарадват нападателите. Бележките често се използват на смартфони като справочник с универсална парола; защитени с парола приложения, защитени с главен ключ, също са често срещани. Трябва да се има предвид, че в този случай силата на всички пароли е равна на силата на този ключ и правилното изпълнение на приложението.
Адресната книга
Понякога информацията за определени хора е много скъпа.
Мрежови инструменти
С помощта на смартфон или таблет за отдалечен достъпдо работното място чрез VNC, TeamViewer и други средства отдалечено администрираневече не е необичайно. Както и достъп до корпоративна мрежачрез VPN. Като компрометира своето устройство, служителят може да компрометира цялата „сигурна“ корпоративна мрежа.
Мобилно банкиране
Представете си, че вашият служител използва системата за дистанционно банкиране на мобилното си устройство – съвременните браузъри напълно позволяват този вид дейност, а същото мобилно устройство е свързано с банката за получаване на SMS пароли и известия. Лесно е да се досетите, че цялата система за дистанционно банкиране може да бъде компрометирана от загубата на едно устройство.
Основните начини за компрометиране на информация от мобилни устройства е чрез тяхната загуба или кражба. Редовно получаваме доклади за огромни финансови загуби за организации поради липсващи лаптопи, но загубата на счетоводен таблет с актуална финансова информация също може да причини много проблеми. Злонамереният софтуер за смартфони и таблети в момента е по-скоро страшен мит и маркетингов инструмент, но не бива да губим бдителността си, защото този пазар се развива с главоломна скорост. Нека да разгледаме какви мерки за сигурност съществуват и как се прилагат в съвременните мобилни операционни системи.
Инструменти за защита на мобилната ОС
Съвременните операционни системи за мобилни устройства имат добър набор от вградени функции за сигурност, но често някои функции не се използват или са деактивирани.
1. Блокиране на устройството.
Представете си, че вашият смартфон е попаднал в ръцете на непознат. За повечето потребители това означава, че някой ще има достъп до всичко наведнъж. Необходимо е устройството да се заключи с парола (силна или с ограничен брой опити за въвеждане), след което данните на устройството се презаписват или устройството се блокира.
2. Използване на криптографски средства.
Трябва да се използва криптиране сменяем носител, карти с памет - всичко, до което нападателят може да получи достъп.
Не можете да запазвате пароли в мениджърите на пароли на браузъра, дори и в мобилните. Препоръчително е да зададете ограничения за достъп до имейл и SMS кореспонденция и да използвате криптиране.
Има много приложения, предназначени да съхраняват всички ваши пароли на вашето мобилно устройство. Достъпът до приложението се осъществява чрез въвеждане на главния ключ. Ако не е достатъчно силна, цялата политика за пароли на организацията е компрометирана.
За съжаление средствата за налагане на забрана са достъпни само за Windows Mobileустройства, в други случаи ще трябва да се доверите на думата на потребителя. Препоръчително е да използвате софтуер от големи, известни разработчици.
6. Използване на политики на Exchange ActiveSync и антивирусни и други инструменти за защита.
Ако е възможно, това ще ви позволи да избегнете много заплахи (включително нови), а в случай на загуба или кражба на устройството, да го блокирате и да унищожите данните в него.
7. Ако е предоставен достъп до доверена зона, упражнявайте внимателен контрол.
За потребители, които имат достъп до доверена зона (вътрешна мрежа чрез VPN, инструменти за отдалечено администриране), е необходимо още по-внимателно да наблюдават спазването на горните правила (препоръчайте им да използват IPSEC, а не да съхраняват данни за удостоверяване в приложения). Ако дадено устройство е компрометирано, цялата вътрешна/доверена зона може да бъде изложена на риск, което е неприемливо.
8. Ограничете списъка с данни, които могат да бъдат прехвърляни облачни услуги.
Съвременните мобилни устройства и приложения са фокусирани върху използването на много облачни услуги. Трябва да се внимава да се гарантира, че поверителните и защитени данни са търговска тайна, не са случайно синхронизирани или изпратени до някоя от тези услуги.
Заключение
В заключение можем да кажем, че за корпоративна употреба е препоръчително да използвате същата платформа (или още по-добре същите устройства) с инсталиран софтуер корпоративен клас, който може да се конфигурира и актуализира централно. От текста на статията е очевидно, че е необходимо да се разработи и внедри политика за информационна сигурност за мобилни устройства, да се провери нейното изпълнение и не забравяйте да използвате сървъра на Exchange, за да зададете политики на EAS. Тази статия не обхваща BlackBerry OS (поради почти пълната липса на руски пазар), но си струва да се отбележи, че тази платформае корпоративен стандарт в много страни по света.
Много съвременни потребители все повече избират мобилните устройства като основен начин за комуникация с интернет. С помощта на смартфони и таблети вече можете да задоволите почти всяка интернет нужда. Тук имате различни приложения (Instagram, Twitter, VK, Facebook), вградена камера и лекота на преносимост на устройството. Изобщо не е изненадващо, че киберпрестъпниците са се прицелили в мобилните платформи, където постепенно мигрират хора без опит в областта на информационната сигурност.
Въведение
Трябва да се помни, че основната цел на съвременните киберпрестъпници е да печелят; Следователно нападателите се фокусират върху методите за печалба чрез мобилни устройства обикновени потребители. Но какви са тези методи и как можете да се предпазите от тях? Ще разгледаме това по-долу.
Мобилен рансъмуер
Зловреден софтуер, който изисква откуп, се превърна в изключително често срещан клас злонамерен софтуер за настолни компютри. Като се има предвид този успех, нападателите решиха да използват подобни схеми в случай на мобилни устройства. По правило те блокират работата на устройството, като искат откуп от жертвата, след плащане на който връщат контрола върху смартфона или таблета на потребителя.
Престъпниците също се насочват към историята на обажданията, контактите, снимките или съобщенията, което почти винаги принуждава потребителя да плати исканата сума.
Сред най-опасните примери за рансъмуер за мобилни устройства е първият мобилен рансъмуер, който използва услуга за достъпност. Злонамерена програмае оборудван с два инструмента за изнудване наведнъж: криптира данните в паметта на устройството и може също така да промени ПИН кода на произволен.
Използване на специална услуга Възможности на AndroidУслуга за достъпност (прави устройството по-лесно за използване от хора с увреждания) е едно от най-опасните нововъведения, възприети от киберпрестъпниците. Така нападателите успешно атакуват най-популярните мобилна платформа- Android.
И много може да се направи с помощта на пропуски в сигурността на устройствата - например уязвимостта Trustjacking, открита през април. Trustjacking може да се използва чрез примамване на потребител към сайт, съдържащ специален код.
Понякога мерките за сигурност, разработени от Google и Apple за техните магазини, също не помагат. Google PlayИ App Store. И така, в Google Play експертите попаднаха на . След инсталирането месинджърът зареди второ приложение, което събираше информация за местоположението на устройството, запазени разговори, аудио и видео записи, текстови съобщения и друга лична информация на потребителите.
С нарастващата популярност на криптовалутите, както и на техния обменен курс, нападателите се заинтересуваха от миньорски програми, които извличат криптовалута за собственика за сметка на устройствата на обикновените потребители. В същия Google Play изследователите откриха законни програми, .
Събирането на поверителни данни също представлява интерес за престъпниците, така че те разработват приложения като, които могат да записват разговори, направени от потребител на мобилно устройство, контролирано от операционна система Android.
Мнозина са на мнение, че по отношение на защитата срещу злонамерени приложения iOS системасе справя много по-добре от основния си конкурент. Бившият ръководител на Владивосток Игор Пушкарев, който е разследван, някак си. Според Пушкарев тази система е изключително недостойна за защита.
Безконтактни плащания (Tap and Pay)
Чували ли сте вече за NFC („комуникация в близко поле“, „комуникация в близко поле“)? Ако обясните на прост език, технологията има за цел да разшири стандарта за безконтактни карти, като позволи на потребителите да плащат за покупки чрез мобилното си устройство. По този начин банкова сметка или кредитна карта, което още повече привлича измамниците.
За да откраднат потребителски средства при използване на NFC, нападателите прибягват до метода „удари и зарази“, който използва уязвимостите в NFC. Този метод се е доказал в миналото, позволявайки на престъпниците да крадат пари от сметки на граждани, използването на „удари и зарази“ е особено разпространено на места като търговски центрове, паркове или летища.
Методи за защита на мобилни устройства от киберзаплахи
В този раздел няма да напишем нищо радикално ново; вероятно вече сте чували всички тези препоръки преди нас. Въпреки това ще опресним паметта си върху основите на безопасната работа с мобилни устройства, които гарантират на обикновените потребители минималната сигурност на тяхната информация, която е просто необходима в настоящата ситуация.
Трябва да запомните следните нюанси:
- Може би, ако говорим за обикновени потребители, би било добра идея да го инсталирате на мобилното си устройство антивирусна програма. С постоянно развиващия се злонамерен софтуер за мобилни устройства, трябва да се отнасяте към своите смартфони и таблети като настолен компютър, които повечето потребители със сигурност предоставят с антивирусна програма от някой производител.
- Създавайте повече сложни пароли. Ако все още имате навика да използвате имената на вашите домашни любимци като пароли, тогава спешно променете този подход. Създавайте пароли с дължина поне 8 знака и не забравяйте, че трябва да съдържат букви, цифри и символи. Силно не се препоръчва да използвате думи, които са лесни за отгатване - например името на вашето дете или куче.
- Поддържайте софтуера си актуализиран. Също така ще бъде добра идея да се уверите, че програмите на вашето устройство са актуални, тъй като предстоящите актуализации елиминират определени уязвимости, които могат да бъдат използвани от нападателите, за да получат достъп до вашите файлове.
- Проверете банкови извлечения и мобилни плащания. Уверете се, че сте в крак с транзакциите си, като редовно проверявате мобилните си плащания и банкови извлечения за подозрителни покупки, направени с мобилните ви устройства.
Освен това - но това е по-скоро за параноиците - деактивирайте неизползваните функции. Например, по-добре е да държите GPS, Bluetooth или Wi-Fi включени само когато ги използвате. И ако е възможно, не съхранявайте лични данни (пароли и други идентификационни данни) на мобилното си устройство.
заключения
Очевидно е, че киберпрестъпниците отдавна смятат мобилните устройства за една от своите приоритетни цели, а въвеждането на технологии като NFC, които правят тези устройства още по-вкусна хапка за измамниците, налива масло в огъня. Винаги помнете, че нападателите се интересуват от две неща: вашите пари в брой, вашите лични данни (които след това също могат да бъдат продадени или използвани за кражба на пари). Въз основа на това направете заключение какво може да се съхранява на устройството и какво е по-добре да оставите на по-сигурни платформи.
3.1. Използването на мобилни устройства и носители за съхранение в ИС на Организацията означава свързването им с инфраструктурата на ИС с цел обработка, получаване/предаване на информация между ИС и мобилни устройства, както и носители за съхранение.
3.2. ИС позволява използването само на регистрирани мобилни устройства и носители за съхранение, които са собственост на Организацията и подлежат на регулярен одит и контрол.
3.3. На мобилни устройства, предоставени от Организацията, е разрешено да се използва търговски софтуер, включен в Регистъра на одобрен софтуер и посочен в паспорта на компютъра.
3.4. Мобилните устройства и носителите за съхранение, предоставени от Организацията, подлежат на същите изисквания за информационна сигурност, както за стационарните работни станции (целесъобразността на допълнителните мерки за информационна сигурност се определя от администраторите по информационна сигурност).
3.5. Мобилни устройства и носители за съхранение се предоставят на служителите на Организацията по инициатива на ръководителите на структурни подразделения в следните случаи:
необходимостта от новоназначен служител да изпълнява трудовите си задължения;
възникването на производствена нужда от служител на Организацията.
3.6. Процесът на предоставяне на служителите на Организацията на мобилни устройства и носители за съхранение се състои от следните етапи:
3.6.1. Подготовката на заявлението (Приложение 1) в одобрения формуляр се извършва от ръководителя на структурното звено, адресирано до ръководителя на организацията.
3.6.2. Координиране на изготвеното заявление (за получаване на заключение относно възможността за предоставяне на служител на Организацията на декларираното мобилно устройство и / или носител за съхранение) с ръководителя на ИТ отдела.
3.6.3. Подаване на оригиналното заявление до ИТ отдела за отчитане на предоставеното мобилно устройство и/или носител за съхранение и извършване на промени в „Списък на служителите на Организацията, които имат право да работят с мобилни устройства извън територията на „ВАШАТА ОРГАНИЗАЦИЯ“, както и като изпълнявам технически настройкипри регистриране на мобилно устройство в ИС и/или предоставяне на правото за използване на носители за съхранение на работните станции на Организацията (ако приложението е одобрено от ръководителя на Организацията).
3.7. Въвеждането на мобилни устройства, предоставени от служители на Организацията на територията на Организацията, както и изнасянето им извън нея, се извършва само въз основа на „Списък на служителите на Организацията, които имат право да работят с мобилни устройства извън територията на „ВАШАТА ОРГАНИЗАЦИЯ” (Приложение 2), което се поддържа от ИТ отдела на базата на одобрени приложения и се предава на службата за сигурност.
3.8. Въвеждането на предоставени мобилни устройства на територията на Организацията от служители на контрагенти и организации на трети страни, както и изнасянето им извън нейните граници, се извършва въз основа на попълнен формуляр за заявление (Приложение 3) за въвеждане /изваждане на мобилен апарат, подписано от Ръководителя на структурното звено.
3.9. Когато използвате мобилни устройства и носители за съхранение, предоставени на служители на Организацията, трябва:
3.9.1. Спазвайте изискванията на настоящия правилник.
3.9.2. Използвайте мобилни устройства и носители за съхранение единствено за изпълнение на служебните си задължения.
3.9.3. Уведомете IP администраторите за всички факти на нарушение на изискванията на тези Правила.
3.9.4. Отнася се внимателно към мобилните устройства и носителите за съхранение.
3.9.5. Работете и транспортирайте мобилни устройства и носители за съхранение в съответствие с изискванията на производителя.
3.9.6. Осигурете физическата сигурност на мобилните устройства и носителите за съхранение с всички разумни средства.
3.9.7. Уведомява администраторите на ИС за случаи на загуба (кражба) на мобилни устройства и носители за съхранение.
3.10. При използване на мобилни устройства и носители за съхранение, предоставени на служителите на Организацията, се забранява:
3.10.1. Използвайте мобилни устройства и носители за съхранение за лични цели.
3.10.2. Прехвърляйте мобилни устройства и носители за съхранение на други лица (с изключение на IP администратори).
3.10.3. Оставете мобилните устройства и носителите за съхранение без надзор, освен ако не са предприети стъпки за гарантиране на тяхната физическа безопасност.
3.11. Всяко взаимодействие (обработка, приемане/предаване на информация), инициирано от служител на Организацията между ИС и неотчетени (лични) мобилни устройства, както и носители за съхранение, се счита за неоторизирано (с изключение на случаите, предварително договорени с администраторите на ИС). ). Организацията си запазва правото да блокира или ограничава използването на такива устройства и медии.
3.12. Информацията за използването на мобилни устройства и носители за съхранение в информационната система от служители на Организацията се регистрира и при необходимост може да бъде предоставена на ръководителите на структурни подразделения, както и на ръководството на Организацията.
3.13. Ако служител на Организацията е заподозрян в неоторизирано и/или злоупотреба с мобилни устройства и носители за съхранение, вътрешен одитпровежда се от комисия, чийто състав се определя от ръководителя на организацията.
3.14. Въз основа на изяснените обстоятелства се съставя протокол за разследване на инцидента, който се предава на ръководителя на структурното звено за предприемане на мерки в съответствие с местните нормативни актове на Организацията и действащото законодателство. Докладът от разследването на инцидента и информацията за предприетите мерки подлежат на предаване на ИТ отдела.
3.15. Информацията, съхранявана на мобилни устройства и носители за съхранение, предоставени от Организацията, подлежи на задължителна проверка за липса на зловреден софтуер.
3.16. В случай на уволнение или преместване на служител в друго структурно звено на Организацията, предоставените му мобилни устройства и носители за съхранение се конфискуват.
12 януари 2017 г. от 10:00 чИнформационната сигурност на мобилните устройства – потребителска гледна точка
Мобилните устройства бързо се превръщат в основния начин, по който взаимодействаме със света около нас - способността да поддържаме постоянна връзка е неразделна част от живота ни днес, нашите телефони и всички видове носими устройства разширяват възможностите ни при закупуване на продукти, получаване на банкови услуги, развлечение, видеозапис и фотография важни точкиживота ни и, разбира се, възможността за комуникация.
В същото време, благодарение на мобилните устройства и приложения, марките спечелиха фундаментално нов начинда се представят, а това от своя страна доведе до феноменални нива на растеж мобилни технологиипрез последното десетилетие. За съжаление, бързият растеж на навлизането на мобилните технологии също води до увеличаване на възможностите за киберпрестъпниците.
Днес все повече ценни услуги, които изискват специално внимание към сигурността, са достъпни за потребителите чрез мобилни устройства (включително, напр. мобилно банкиране, плащания и мобилни идентификатори). Съответно, хакерите са наясно, че чрез изтичане на данни за удостоверяване през мобилно устройство, те могат да получат неоторизиран достъп до онлайн ресурси с висока стойност. По-специално, хакерите ще се опитат да получат достъп до финансова информация, идентификационни данни за достъп социални мрежи, за договориране на данни в мрежи мобилни комуникации. По един или друг начин, понякога това може да е достатъчно, за да се извърши напълно кражба на самоличност. Тази заплаха става особено актуална сега, когато наблюдаваме нарастване на броя на новите мобилни приложения– Според проучване на Application Resource Center (Applause) 90% от компаниите възнамеряват да увеличат инвестициите си в разработка на мобилни приложения до края на тази година.
Сега има безспорна необходимост от защита на корпоративните ресурси, включително интелектуалната собственост на компаниите и личните данни на потребителите, особено предвид големия брой устройства, които се използват днес, на които може да работи зловреден код. Ако не обърнем нужното внимание на това, тогава всъщност оставяме крайните потребители и по-специално компаниите в центъра на вниманието на нападателите, които днес разполагат с все повече ресурси и все по-често прибягват до най-новите технологии. Те са експерти в разпространението на зловреден софтуер софтуер, те умишлено използват неофициални хранилища на приложения и вграждат зловреден код в съобщенията електронна поща, изпращат злонамерени SMS и заразяват браузъри и са готови да се възползват от всяка слабост или уязвимост без ни най-малко колебание. Ето защо доставчиците на приложения трябва да внимават с тези заплахи и да предприемат стъпки, за да помогнат на потребителите да се чувстват сигурни, като предлагат решения, които осигуряват силна защита срещу тези уязвимости.
Но как да разберем коя технология за сигурност е необходима в конкретен случай? Как да разберем какво е най-търсеното сред крайните потребители и какво представлява най-голямата заплаха за тях? Как да разберем кои решения за сигурност ще използват? Какво точно ще им е най-удобно? Това са все важни въпроси, които се нуждаят от отговори, поради което решихме да проведем проучване, включващо повече от 1300 възрастни потребители на смартфони в шест от най-големите пазари в света: Бразилия, Обединеното кралство, Южна Африка, Сингапур, Холандия и САЩ.
След проучването обобщихме и анализирахме получените данни, като събрахме резултатите в доклад. 66% от анкетираните казват, че биха направили повече транзакции, ако знаеха, че мобилните им устройства имат предвид сигурността, до такава степен, че цели 70% от крайните потребители биха желали да имат цифрови идентификатори на своите смартфони, но само ако при условие, че всички приложенията на техните телефони са напълно защитени от хакерски атаки и уязвимости.
Други интересни резултати от проучването:
Как да се предпазите от заплахи?
Очевидно е, че потенциалът за растеж все още не е изчерпан. Единственият въпрос е да се осигури сигурност за тези, които са готови да разширят обхвата на своите смартфони. Налице е нашето проучване с отговори как може да се постигне това и препоръки за постигане на доверие на потребителите
Изпратете добрата си работа в базата от знания е лесно. Използвайте формата по-долу
Студенти, докторанти, млади учени, които използват базата от знания в обучението и работата си, ще ви бъдат много благодарни.
Подобни документи
Предпоставки за създаване на система за сигурност на личните данни. заплахи информационна сигурност. Източници на неоторизиран достъп до ISPD. Проектиране на информационни системи за лични данни. Средства за информационна сигурност. Политика за сигурност.
курсова работа, добавена на 07.10.2016 г
Преглед съществуващи приложенияв областта на автомобилната помощ. Разглеждане на алгоритмичния дизайн на комплекс от мобилни приложения за оказване на пътна помощ. Оценка на тестване на авторизация в приложение на драйвер.
дисертация, добавена на 12.02.2018 г
Понятие, състав на информационна система. Управление на целостта на базата данни. Осигуряване на система за сигурност. Блокиране на неправилни действия на клиентски приложения. Тенденции в света на системите за управление на бази данни. Основни функции, класификация и механизми за достъп.
курсова работа, добавена на 11.12.2014 г
Система за управление на бази данни за задачи и съставните им корпоративни процеси. Изисквания към информационна система. Съставяне на заявки към базата данни. Връзки и отношения между информационни обекти. Алгоритми на работа и архитектура на информационната система.
курсова работа, добавена на 02.02.2014 г
Законодателна основа за защита на личните данни. Класификация на заплахите за информационната сигурност. База лични данни. Проектиране и заплахи на корпоративна локална мрежа. Основна софтуерна и хардуерна защита за компютри. Основна политика за сигурност.
теза, добавена на 06/10/2011
Характеристики на информационната сигурност на банките. Човешки факторв осигуряването на информационна сигурност. Изтичане на информация, основни причини за нарушения. Комбинация от различен софтуер и хардуер. Механизми за гарантиране целостта на данните.
тест, добавен на 16.10.2013 г
Необходимостта от превеждане на мерките в исторически и национални единици. Включени конвертори персонални компютрии мобилни устройства, както и интернет, техните функционални характеристики. Методика за разработване на визуално приложение и изисквания към него.
курсова работа, добавена на 11.01.2017 г
