Интелигентни мобилни устройства

Интелигентни мобилни устройстваРискове и противодействия за корпоративна безопасност

Найден Неделчев PhD, CGEIT, CISM, CEH, ITSM

28/09/201110-та Регионална конференция по информационна сигурност и съхранение на данни

10-та Регионална конференция по информационна сигурност и съхранение на данни

Накратко ...

28/09/2011

Професионален опит◦ Над 15 год. в управлението на ИТ и

сигурността

Извънпрофесионална дейност◦ УС на Клуба на ИТ Мениджърите в

България

◦ ISACA International Publications Board

◦ ISACA Government and Regulatory Agencies Board – Europe

◦ ISACA Information Security and Risk Management Conference Task Force

◦ Internet Webmasters Association

Професионална квалификация◦ Certified Information Security Manager

◦ Certified in the Governance of Enterprise IT

◦ ITIL v2 Service Manager

◦ Master IT Industry Knowledge Analyst

◦ Certified Ethical Hacker

◦ CompTIA Security+


Резюме ...Бизнес ключови фактори за

мобилност

Рискове на мобилността

Водещи практики за мобилна сигурост

28/09/2011


Статистика ...

28/09/2011

35%

57%

69%

36%

41%

29%

14%

35% от служителите в световен мащаб ще преминат напълно към мобилна схема

на работа до 2013

57% от служителите в световен мащаб използват мобилни устройства за

служебни цели

69% от организациите са засекли използването на лични мобилни

устройства в своята ИТ инфраструктура

36% от притежателите на мобилни устройства през последната година са

загубили или им е било отграднато такова устройство

41% на мнение че отговорността за сигурността на устройствата е в техните

производители29% в създателите на ОС за устройствата

14% в доставчика на комуникационни услуги


Казус ...Типичен въпрос:

◦ Ако: a) организацията ни не предоставя на служителите си

интелигентни мобилни устройства;b) информационните ни системи не са предвидени за

работа с такива устройства.

трябва ли да се притеснявам от тяхното съществуване?

Правилен въпрос:◦ Как мога да осигуря приемливо ниво на

безопасност в ИТ инфраструктурата на организацията за всички устройства, които могат да се свържат директно или индиректно към нея?

28/09/2011


Бизнес ключови фактори за мобилностВъзможности за мобилни услуги:

◦ Консултация◦ История на клиента◦ Финансови операции (факториране)◦ Справки/резултати◦ Взаимодействия с администрация (е-правителство)◦ Издаване на предписания/рецепти◦ Диагностика◦ Наблюдение на пациенти◦ Абонаменти за услуги◦ Двустранни протоколи◦ Комуникация между партньори◦ Търговия◦ Отдалечено администриране на системи◦ Развлечения

28/09/2011


Бизнес ключови фактори за мобилност (2)Ползи от мобилни услуги:

◦ Следене и управление на ресурси/активи◦ Оптимизиране/рационализация на процеси◦ Намаляване на бюрокрацията◦ Намаляване на разходите◦ Подобряване на безопасността◦ Предоставяне на възможност за спешен

достъп◦ Предоставяне на възможност за достъп от

разстояние

28/09/2011


Бизнес ключови фактори за мобилност (3)

28/09/2011

По-малки, по-бързи, по-евтини ...

Мобилен телефон (днес) Краткосрочна памет: 128MB-

512MB RAM Трайна памет: 1GB – 64GB Процесор: 1000 MHz Тегло: 120 грама Стойност: $250

Предимства◦ Удобство

◦ Подвижност

◦ Функционалност

Суперкомпютър Cray 1 (1976)

Краткосрочна памет : 8MB RAM Трайна памет : 2,82 GB Процесор: 80 MHz Тегло: 5,25 тона Стойност: $8,8 million

Предимства◦ Контрол

◦ Надеждност

◦ Безопасност


Бизнес ключови фактори за мобилност – заключениеИнформационните технологии ще играят

все по-ключова роля в доставката от разстояние на услуги при изпълнението на динамични бизнес процеси и мобилни услуги за служители и клиенти.

28/09/2011


Рискове на мобилността Тенденцията към увеличаване на мобилността е породена от нейното

търсене както от страна на бизнеса така и на крайния потребител.

Разбирането на рисковете към мобилността и средствата за защита започва с разбиране на мобилните услуги и средствата/технологиите, чрез които те се осъществяват.

Самoстоятелно технологиите не могат да предоставят достатъчна защити при обслужването на клиентите.

Сигурността на мобилните услуги изисква цялостна стратегия, която включва хора, процеси и технологии.

Стратегията трябва да определи какво е необходимо да се защити, от кои слабости и какви заплахи, чрез какви мерки за сигурност, които като цяло водят до смекчаване на присъщите рискове към мобилните услуги и устройства.

Водещите рискове, които трябва да се адресират в мобилната сигурност, включват:◦ опазване на информацията (лична или служебна);

◦ удовлетворяване на регулаторните/индустриални/договорни изисквания;

◦ гарантиране на достъпа до услугите;

◦ запазване на базовото ниво на сигурност на ИТ инфраструктурата;28/09/2011


Рискове на мобилността (2)Обхват (типове мобилни

устройства)

28/09/2011

Интелигентни Обикновени

UMPCs (Ultra Mobile Personal Computers)

Клетъчни телефони

Лаптопи/Нетбуци USB флаш-памети и преносими дискове

Смартфони RFID, M-RFID карти

Таблети Мрежови карти – SIM, IrDA, Bluetooth, WiFi, WiMAX

PDAs/PIMs Сменяеми носители – Blu-ray, DVDs, CDs, FDDs, Zip, магнитни ленти

Мултимедия – камери, микрофони, игрови конзоли, MPx плеъри


Рискове на мобилността (3)Слабости на мобилни технологии:

◦ Липса на вградени решения за сигурност◦ Отворена и лесно за доразработване

експлоатационна архитектура◦ Слаб физически контрол над устройствата◦ Слаб контрол над свързаността◦ Слабости на комуникационните технологии◦ Слаби механизми за легитимиране и

оторизиране на потребители и устройства◦ Лоши работни практики при ползване на

устройства◦ Слаба защита при съхранение на данни

28/09/2011


Рискове на мобилността (4)Заплахи към мобилни

технологии:◦ Местонахождение (Geinimi/Andorid)◦ Руткит (Fat/iOS)◦ Блокиране на приложения (Skulls.a/Symbian)◦ Финансови измами

(SMS.AndroidOS.FakePlayer.a/Android)◦ Акредитиви (iBotnet.A/iOS)◦ Блокиране на услуга (Curse of Silence/Symbian)◦ Скрит достъп (Backdoor.WinCE.Brador/Windows

Mobile)◦ Контрол над устройство (FC.Downsis.A/Symbian)◦ Достъп до информация (Sxjspy/Windows Mobile)

28/09/2011


Рискове на мобилността – заключениеУвеличаващият се брой на достъпните

през мобилни устройства услуги и на технологиите, които ги осъществяват, в съчетание с експоненциалния растеж на продаваните мобилни устройства правят за всяка организация императивно адресираните на свързаните с тях рискове.

28/09/2011


Водещи практики за мобилна сигуростСъвет #1:

◦Разработете организационна политика и стратегия за употреба на мобилни устройство.

Изберете пътищата по които най-пълноценно но и безопасно

организацията ви може да се възползва от развитието на мобилните

технологии.

28/09/2011



◦Заложете на внимателния подбор на мобилните устройства за служебно ползване.

Изберете устройства с най-висока степен на възможност за контрол и защита.

Централизираното управление и възможността за разпознаване в ИТ инфраструктурата са други полезни

характеристики.

28/09/2011



◦Проектирайте ИТ инфраструктурата за свързване на мобилни устройства към нея.

Запазете отделен сегмент за разпознаваемите устройства на

организацията и изолирайте останалите в отделна демилитаризирана зона.

28/09/2011



◦Третирайте всички мобилни устройства като неконтролирани крайни устройства.

Доминиращо мобилните устройства са проектирани за индивидуална, а не за

корпоративна употреба. Това затруднява пълноценното налагане на

политиките за сигурност.

28/09/2011



◦Използвайте криптиращи протоколи за служебния трафик.

Мобилните комуникации по правило са безжични и по тази причина лесно

проследими. Уверете се че служебните комуникации протичат по защитени с

SSL мрежови протоколи.

28/09/2011



◦Наложете криптиращо решение за съхраняваните на устройствата данни.

Мобилните устройства се губят лесно, а съхраняваните на тях данни са с все по-

голям обем. Гарантирането на поверителния характер на данните е

въпрос на законосъобразност и конкурентно предимство.

28/09/2011



◦Изисквайте легитимиране при ползване на устройство или бизнес приложение.

Самоличността на потребителите на мобилни услуги може да бъде открадната, симулирана или

неправомерно споделена. Предоставянето на код, парола или друг начин за потвърждение на личността е

задължителна мярка.28/09/2011



◦Въведете процедура за реагиране при (като минимум) загуба/кражба на устройство.

Предприемането на спешни мерки при инциденти с мобилни устройства, като

например отдалечено изтриване на паметта, прави разликата между неконтролираното изтичане на информация и ограничаване на

претърпените щети.28/09/2011



◦За сегмента на инфраструктурата с мобилните устройства осигурете система следящи за пробиви (IDS), а за самите устройства такава за зарази (AV).

Възможностите на съвремените интелигентни мобилни устройства са почти идентични с

тези на персоналните компютри – те могат да послужат като инструмент за осъществяване

на изключително сложни атаки.

28/09/2011



◦Контролирайте инсталирането на допълнителен софтуер.

В непроверените програми, преобладаващата част от които са с

неясен произход, често се крият различни по вид скрити механизми за достъп или управление на различни

компоненти от мобилните устройства. Служителите трябва добре да разбират

тази опасност.28/09/2011


Водещи практики за мобилна сигурост – заключениеПодходящите мерки за защита на мобилните

устройства са в помощ на организациите да отговоря адекватно на изискванията за информационна сигурност, поставяни от регулаторни, договорни норми или индустриални стандарти.

Правилният контрол на мобилните устройства помага за предотвратяване и/или смекчаване на последиците от злоупотреби, измама или изтичане на информация, като по този начин допринася за защита на името и репутацията на организациите.

28/09/2011


Източници ... ISACA, “Securing Mobile Devices”, 2010

ENISA, “Smartphones : Information security risks, opportunities and recommendations for users”, 2010

ENISA, Mobile Identity Management, 2010

ENISA, Security Issues in the Context of Authentication Using Mobile Devices, 2008

IDC, Worldwide Mobile Worker Population 2007-2011 Forecast, 2007

Gartner, Magic Quadrant for Mobile Data Protection, 2010

Gartner, Magic Quadrant for Mobile Device Management Software, 2011

NIST, SP 800-124: Guidelines on Cell Phone and PDA Security, 2008

Mocana, Mobile & Smart Devices Security Survey 2011: Device Malware Takes Off

Good Technology, Mobile Device Security - Securing the Handheld, Securing the Enterprise, 2009

28/09/2011

Documents

Интелигентни мобилни устройства