Совместное применение решений SafePhone и Cisco CleanAir для защиты

мобильных устройств

Троицкий Николай

ООО «НИИ СОКБ»

NTroickiy@niisokb.ru

Содержание

• Intro

• Использование мобильных устройств в корпоративной среде

• Актуальные угрозы мобильных устройств

• Архитектура решения Cisco CleanAir

• Архитектура решения SafePhone

Who am I?

• Заместитель директора Технического Центра ООО «НИИ СОКБ»

• Более 8 лет в сфере ИБ

• Сертифицированный специалист CEH

• Курирую работы по «внедрению» и «аудиту» систем ИБ у Заказчиков

Мобильные средства связи

• Хранение информации

• Доступ к информации

• Создание и обработка информации

Корпоративная мобильность

• 36% рабочих звонков происходит на сотовые телефоны

• 26% писем обрабатывается на мобильных устройствах

Наиболее используемые приложения:

• 81% Электронная почта

• 62% Календарь

• 17% Внутренний портал

Forrester Research,

декабрь 2011

Корпоративная мобильность

Июнь 2011

32% устройств содержат:

• корпоративные презентации

• финансовые документы

• счета

• контракты

• конфиденциальные планы

Варианты установки злонамеренного ПО на мобильное средство связи

Физический доступ к телефону

Взлом по Bluetooth

Взлом по Wi-Fi

Взлом через SMS

Архитектура Cisco CleanAir

Точки доступа (ТД)

Контроллер (WLC)

Network Control System (NCS)

Интуитивный GUI для настройки и мониторинга за сетью

Политики безопасности, QoS, RRM, прошивки и конфигурации ТД

Mobility Services Engine (MSE)

Реализация сервисов мобильности (CAS и wIPS) интегрированных с бизнес-приложениями

ТД как радиоинтерфейсы, управляемые с контроллера

Обнаружение чужих и контроль cвоих устройствв реальном времени для Wi-Fi устройств и RFID

NCS

C использованием WCS/NCS и MSE Context-Aware

Обзор функциональных возможностей и преимуществ

Анализ, безопасность, поддержка политик

SpectrumExpert

ConnectЭкспертные навыки не требуются

МестоположениеАнализ воздействий

Воспроизведение событий Анализ истории

Новые угрозы

Обнаружение «необнаруживаемых» устройств/клиентов

Уведомление о нежелательных

устройствахЗапрет Xbox

Запрет беспр. телефоновЗапрет Bluetooth

Корпоративная политика

Мобильные пользователи корпоративной информационной инфраструктуры

Контролируемая зонаWi-Fi

GPRS/3G

Wi-FiEthernet

Корпоративная

система ИБ

Незащищённый элемент

ИТ инфраструктуры

MDM решение SafePhone

• Защита от несанкционированного доступа к информации, хранящейся и обрабатываемой на корпоративных мобильных средствах связи

• Централизованное управление парком мобильных устройств

Ключевые функции

• Предотвращение несанкционированной установки на мобильные средства связи стороннего ПО

• Ведение банка доверенного ПО для установки на мобильные средства связи

• Контроль за использованием мобильных средств связи в служебных целях

• Организация защищённого доступа в корпоративную информационную инфраструктуру посредством VPN

Агентское приложение SafePhone Client

• Не удаляемо и не отключаемо пользователем

• Не позволяет устанавливать приложения непосредственно с мобильных средств

• Установка/удаление сторонних приложений на мобильные средства реализуется только администратором центра управления SafePhone

Состав и архитектура SafePhone

• SafePhone Server - ядро системы, обеспечивающее управление мобильными устройствами

• сервер баз данных (MySQL)• сервер GIS (геоинформационной системы)• АРМ (автоматизированное рабочее место) администратора

SafePhone Server

• Весь парк мобильных устройств управляется из одной точки

• Политики для используемых мобильных средств связи администратор системы настраиваются на SafePhone Server

• Процедуры инициализации и настройки устройств выполняются удаленно

История звонков и сообщений

SafePhone: особенности решения

Защита

• неудаляемый c мобильного устройства агент SafePhone

• установка и удаление программ только из банка доверенного ПО

• блокирование и очистка

• блокирование фотокамеры, микрофона, Bluetooth, Wi-Fi

• доступ в корпоративную инфраструктуру и в Интернет только через шлюз SafePhone

• конфиденциальный обмен сообщениями

Администрирование

• дистанционная установка политик ИБ на мобильное устройство

• мониторинг приложений

• обновление телефонных справочников абонентов

• запрет связи с абонентом, не включённым в справочник

• интеграция со службой каталогов MS Active Directory

• групповые оповещения без службы SMS

Аудит

• система построения отчетов по заданным параметрам

• ведение журнала звонков и сообщений

• уведомление о смене SIM

• события для мобильного устройства

• мониторинг времени звонков

• передвижение абонентов на карте

SafePhone + CleanAir + СКУД

• Подключение к доверенной беспроводной сети

• Контроль запущенных приложений на мобильном устройстве

• Запрет интерфейсов устройства (ИК порт, Bluetooth, камера, Wi-Fi) внутри защищаемого периметра

защита от инсайда

Комплексная защита мобильной инфраструктуры

Инфраструктура

Контролируемая зона

20

WAN

GPRS/3G

Wi-Fi

VPN SSL

VPN SSL

СКУД

АРМ

Администратора

ИБ

SafePhone

• SafePhone + СКУД – блокирование технических каналов утечки в контролируемой зоне

• CleanAir - подключение к инфраструктуре и выход в Интернет только с устройств, зарегистрированных в SafePhone и только через доверенную сеть Wi-Fi

Спасибо!

Вопросы?

Троицкий Николай

Заместитель директора ТЦ

ООО «НИИ СОКБ»