Пошаговое руководство по защите мобильного доступа

Лукацкий Алексей, консультант по безопасности

Реализация мобильного доступа начинается с политики

Мне нужно, чтобы пользователи и устройства получали адекватный доступ к сетевым сервисам (dACL, Qos, и т. п.)

Мне требуется разрешить ���гостевой доступ к сети

Я хочу разрешить работу ���в моей сети только

«нужных» пользователей и устройств

Мне требуется уверенность, что мои оконечные устройства не станут источником атаки

Мне требуется разрешить/запретить доступ с iPAD в мою сеть(BYOD)

Сервисы авторизации

Управление жизненным циклом гостевого доступа

Сервисы профилирования

Сервисы аутентификации

Сервисы оценки состояния

Шаг 1. Вы вообще будете применять мобильные устройства

Мобильника

97%

Интернет

84%

Автомобиля

64%

Партнера

43%

Шаг 2. Определитесь с моделью угроз

Направления атаки

Сотовые сети

Bluetooth

Интернет (WLAN/3G)

Синхронизация

Камера (QR-коды)

Другая периферия

Какие данные вы будете защищать?

Журнал вызовов и SMS-сообщения

Почта (голос и e-mail)

Контакты и календарь

Архив кэша клавиатуры

(включая пароли)

Фотографии и журнал просмотра

Web

Геолокационные данные Удаленные данные

Конфиденциальные файлы (включая SD)

Приложения

Кто и от чего хочет защищаться?

ИБ

•  Спам / фишинг / смишинг

•  Вредоносный код •  Утечки •  Перехват данных •  Посещение ненужных сайтов

•  Несоответствие регуляторике

•  Отслеживание перемещения (privacy)

ИТ

•  Установка пиратского ПО

•  Кража легитимного ПО

•  Вывод устройств из строя

Финансы

•  Высокие затраты на Интернет

•  Звонки на платные номера и платные SMS

•  Кража / потеря устройства

Шаг 3. Определитесь с отношением к BYOD

Где золотая середина?

Чего хотят пользователи Доступ из любого места и в любое время Независимость от устройств Личные данные / приложения Гибкие конфигурации

Чего хотят сотрудники ИТ и служб безопасности

Контролируемый сетевой доступ � Предсказуемые конфигурации �

Безопасность данных � Блокировка пользователей �

"Вы тормозите меня!"

"Прекратите протестовать и соблюдайте правила!"

Сценарии использования BYOD Сценарий Ограниченный Базовый Расширенный Передовой

Бизнес политика Блокировать доступ Доступ по ролям

изнутри сети Гранулир. доступ внутри и снаружи

Полноценное мобильное рабочее место

ИТ-требования Технологии

•  Знать “кто” и “что” включено в сеть

• Давать доступ только корпоративным устройствам

• Предоставлять персональным и гостевым устройствам доступ в Интернет и ограниченному числу внутренних ресурсов

•  Гранулированный доступ изнутри сети

•  Гранулированный удаленный доступ к ресурсам через Интернет

• Использование VDI

• Обеспечение родных приложений для мобильных устройств

•  Управление мобильными устройствами (MDM)

Коммутаторы, маршрутизаторы, точки беспроводного доступа Сетевая

инфраструктура

Управление

Идентификация и политики

Удаленный доступ и

безопасность

Приложения

LAN Management –

MDM

IAM, NAC, Guest, Policy

МСЭ/Web Security Защитный клиент Облачная безопасность

Корпоративные приложения и VDI

Шаг 4. Определитесь с важностью вопросов соответствия требованиям регуляторов

•  Подчиняется ли мобильное устройство обязательным нормативным требованиям? Каким?

•  Необходимо ли проводить внешний аудит соответствия мобильных устройств? –  ISO 27001 –  PCI DSS –  СТО БР ИББС –  382-П –  Аттестация по ФСТЭК –  ФЗ-152 –  Приказ ФСТЭК №17 по защите ГИС –  Приказ ФСТЭК №21 по защите ПДн –  Приказ ФСТЭК №31 по защите АСУ ТП

Шаг 5. Определитесь с разрешенными мобильными платформами

•  Пользователи хотят выбирать мобильные устройства самостоятельно (BYOD)

•  Спектр выбираемых устройств очень широк –  ОС: iPhone, Windows Mobile, Symbian,

BlackBerry, WebOS, FireOS, ChroneOS –  Платформа: iPhone, Nokia, HTC, LG,

Samsung, BlackBerry, Palm •  Проблема выбора не только средств защиты, но и самой мобильной платформы

•  Функционал одной системы защиты может меняться на разных платформах

Шаг 6. Определитесь с приложениями

•  Есть ограничения на используемые приложения? •  Собственная разработка? •  Процедура тестирования для внешних приложений и исходного кода?

•  Контроль магазинов приложений? Собственные корпоративные магазины приложений?

•  Процедура установки приложений? –  Доверяем ли мы неподписанным приложениям?

•  Существуют ли приложения третьих фирм при оказании сервиса? •  Используемые меры защиты приложений?

–  Права приложений

Какие приложения нужны

Безопасность приложений

“Приложения регулярно шлют информацию маркетинговым

компаниям, которые составляют досье на

мобильных пользователей”

Source: http://blogs.wsj.com/wtk-mobile/

Безопасность приложений

Откуда берутся приложения?

Корпоративные магазины приложений

Шаг 7. Определитесь с соответствием политикам ИТ и ИБ

•  На какие категории сотрудников распространяется ? •  Какая процедура подключения новых устройств (орг. и техн.)? •  Какие сервисы предоставляются (почта, UC, VDI …)? •  Какие затраты оплачиваются (мобильный интернет, звонки …)?

4 направления защиты

Мобильная безопасность

Безопасность контента

Сетевая безопасность

Управление безопасностью

Разные измерения защиты

Контроль мобильного устройства при доступе к

корпоративным ресурсам Защита самого

мобильного устройства

Шаг 8. Решите вопросы с защитой устройства

Встроенная

Локальная

Централизованная

Базовой безопасности хватает при небольшом числе устройств

Рынок средств мобильной безопасности

•  Встроенный функционал в мобильные устройства –  Например, идентификация местоположения устройства в iPad или встроенный VPN-клиент в Nokia e61i на Symbian

•  Функционал мобильных приложений –  Например, функция удаления данных в Good или Exchange ActiveSync

•  Отдельные решения для мобильных устройств –  В рамках портфолио – Cisco, Лаборатория Касперского, Sybase

–  Специализированные игроки - MobileIron, Mobile Active Defense, AirWatch, Zenprise и т.д.

Системы класса Mobile Device Management

ü Инвентаризация ü Инициализация устройства

ü Безопасность данных на устройстве

ü Безопасность приложен. ü Управление затратами

ü Полная или частичная очистка удаленного устройства

MDM продукты Контроль доступа и защита от сетевых угроз

Политики Защитный клиент МСЭ Облако Web Sec

ü Аутентификация пользователей и устройств

ü Оценка состояния

ü Применение политики доступа

ü Безопасный удаленный доступ

ü  Защита от угроз ü Политика использования Web

ü  Защита от утечек информации

MDM ≠ мобильная безопасность

•  Управление базовыми защитными механизмами

•  Включение / блокирование функций •  Управление преимущественно функциями ИТ, а не ИБ

•  Отсутствие серьезной интеграции с системами контроля доступа

•  Отсутствие серьезной интеграции с системами экономической безопасности

Шаг 9. Определитесь с доступом изнутри локальной сети

Доступ своих к чужим

Доступ своих к своим

Доступ чужих к своим

Доступ своих к своим

•  Какова политика доступа с мобильного устройства к корпоративным ресурсам изнутри корпоративной сети?

•  Какова политика доступа с мобильного устройства к корпоративным ресурсам извне корпоративной сети? –  Только VPN? Применяется NAC/TrustSec? Доступ только к отдельным приложениям?

–  Необходимо ли пропускать мультимедиа-трафик (VoIP, ВКС)? Через VPN?

•  Какова политика доступа с мобильного устройства к ресурсам Интернет? –  Изнутри корпоративной сети? А извне корпоративной сети? –  А межсетевой экран нужен?

•  Доступ к облачным вычислениям (если внедрены в организации) •  А может лучше терминальный доступ (VDI)?

Примеры простой политики BYOD

Интернет

“Сотрудники могут получать доступ ко всем ресурсам с личных и корпоративных

устройств. Доступ внешних пользователей блокируется.”

“Сотрудники должны использовать корпоративные устройства. Личные устройства запрещены, гостевой

доступ не предусмотрен.” Внутренние ресурсы

“Сотрудники могут получать доступ к любым ресурсам с корпоративных

устройств. Сотрудникам, использующим личные устройства,

и партнерам предоставляется ограниченный доступ.”

Сеть комплекса зданий

Ограниченный набор ресурсов

Сервисы политики

Это важно!

Реальный пример

Тип Место User Статус Время Метод Свои

Новости Электронная почта

Социальные сети Корпоративная SaaS-система

Фильтрация контента

Corporate AD

МСЭ/IPS Защита

Интернет-доступа в сети предприятия

Облачная безопасность

Шаг 10. Определитесь с доступом извне

Шаг 11. Как вы будете бороться с кражей устройства

•  Как искать украденное/потерянное устройство? –  А надо ли?

•  Как дистанционно заблокировать устройство или удалить данные?

•  Как защититься при смене SIM-карты? •  Контроль местонахождения устройства?

–  GPS, Глонасс, «Найди iPhone»? •  Рекомендации вернуть устройство владельцу?

Что делать при потере устройства?

Что делать при смене SIM-карты?

Шаг 12. Определитесь с шифрованием на устройстве

Шаг 13. Определитесь с управлением уязвимостями

•  Возможно ли сканирование мобильных устройств? –  Агентское или дистанционное?

•  Как часто сканируются мобильные устройства? •  Каков процесс устранения уязвимостей? •  Как устанавливаются патчи? •  Отношение к Jailbrake?

Обнаружение Jailbreak

Шаг 14. Решите вопросы с аутентификацией

•  Как проводится аутентификация пользователя на мобильном устройстве? –  PIN? Логин/пароль? Графические шаблоны? Одноразовые пароли? Аппаратные токены? Сертификаты?

•  Возможна ли интеграция с моим каталогом учетных записей? Как?

•  Поддерживается ли SSO? Какой стандарт? •  Поддерживается ли федеративная система аутентификации? Какой стандарт?

•  Нужна ли аутентификация к локальным ресурсам и устройствам? •  Необходим ли многопользовательский доступ к мобильному устройству? –  А зачем?

Многопользовательский доступ на мобильном устройстве

module checks different user profiles to control their accessrights.

We apply a capability-based access control model toDiffUser instead of access control lists (ACLs) for thefollowing reasons:

– ACLs are unsuitable for mobile phones. While ACLsare suitable for desktop OSes due to their file permissionsystems, e.g., NTFS, ext3, etc., mobile phone OSes eitherprovide no such permission systems or they use abstractionlayers for data and applications that hide file permissionsfrom end users. For examples, Symbian OS and WindowsMobile do not support file access control. In addition, thoughAndroid has a Linux-based file system with native filepermissions, these have no effect on the end user’s experi-ence. Android’s built-in application files are encapsulated as.apk files that are stored in the /system/app directoryand owned by root. Other applications are saved in the/data/app directory and owned by the system user.None of these is related to end users and they cannot bemapped to different uids as in traditional UNIX/Linuxsystems. Moreover, some data are saved in SQLite [12]database files and Android’s database implementation onlydifferentiates among applications.

– Smartphones usually have few users, so it is easier tomaintain user profiles as opposed to ACLs.

4.2. Prototype Implementation on Android

In this section, we present our Android prototype im-plementation. First, we describe the end-user interface andcorresponding model. Second, we discuss the access con-trol implementation based on Android’s built-in permissionmechanism. Finally, we analyze the relationship betweenpermissions and differentiated user profiles.

Android is the first free, open source, and fully cus-tomizable mobile platform. It offers a full software stackconsisting of an operating system, middleware, and keymobile applications as well as a rich set of APIs that allowthird-party developers to develop applications. It is based onthe Linux kernel and the system is divided into four layers:the kernel, libraries and runtime, application framework, andapplications. Different layers are implemented in differentlanguages. For example, Android’s system services such asdrivers and inter-process communication are written in C orC++, while all platform-related applications and services arewritten in Java and executed by the Dalvik virtual machine.Android’s advantage lies in its open source licensing andextensive programming documentation. The Android SDKprovides the tools and APIs necessary to develop applica-tions on the Android platform using Java.

Our prototype is implemented in Java with AndroidSDK 1.0. The development environment is Eclipse 3.1 withGoogle’s Android Developer Tools plugin. The debug toolsare Dalvik Debug Monitor Service (ddms), which manages

(a) (b)

(c)

Figure 2. A set of three interfaces: (a) Normal UserHome; (b) Login/Authentication ; and (c) User profileConfiguration

processes on the Android emulator or smartphone, and An-droid Debug Bridge (adb), which provides a command-lineinterface to programmers. The source code for our prototypeis about 72.3KB. As Android programs require configura-tion profiles and resources, which are another 225KB, theinstalled file on the phone is a 216KB Home.apk file.

Screenshots of the user interface are given in Figure 2.We load different applications according to users’ profiles.Our prototype includes a login Activity, a user profile con-figuration Activity and a main Home Activity. An Activityis the presentation layer of an Android application screen;its “lifecycle” has four stages—start, pause, resume, andterminate. An Activity provides event handling methods foreach of these stages that can be overridden. The user needsto authenticate himself at the login screen to obtain ad-ministrative privileges, including modifying system settings.The user configuration Activity provides the interface todetermine user access rights to SMS, contacts and GPS.These rights are stored in user profiles. We reprogram An-droid’s native Home Activity. After the system starts up, theHome Activity invokes the method loadapplication()to obtain information about all applications installed on thesystem, including related permissions, that is provided bythe system service PackageManagerService. We add

module checks different user profiles to control their accessrights.

We apply a capability-based access control model toDiffUser instead of access control lists (ACLs) for thefollowing reasons:

– ACLs are unsuitable for mobile phones. While ACLsare suitable for desktop OSes due to their file permissionsystems, e.g., NTFS, ext3, etc., mobile phone OSes eitherprovide no such permission systems or they use abstractionlayers for data and applications that hide file permissionsfrom end users. For examples, Symbian OS and WindowsMobile do not support file access control. In addition, thoughAndroid has a Linux-based file system with native filepermissions, these have no effect on the end user’s experi-ence. Android’s built-in application files are encapsulated as.apk files that are stored in the /system/app directoryand owned by root. Other applications are saved in the/data/app directory and owned by the system user.None of these is related to end users and they cannot bemapped to different uids as in traditional UNIX/Linuxsystems. Moreover, some data are saved in SQLite [12]database files and Android’s database implementation onlydifferentiates among applications.

– Smartphones usually have few users, so it is easier tomaintain user profiles as opposed to ACLs.

4.2. Prototype Implementation on Android

In this section, we present our Android prototype im-plementation. First, we describe the end-user interface andcorresponding model. Second, we discuss the access con-trol implementation based on Android’s built-in permissionmechanism. Finally, we analyze the relationship betweenpermissions and differentiated user profiles.

Android is the first free, open source, and fully cus-tomizable mobile platform. It offers a full software stackconsisting of an operating system, middleware, and keymobile applications as well as a rich set of APIs that allowthird-party developers to develop applications. It is based onthe Linux kernel and the system is divided into four layers:the kernel, libraries and runtime, application framework, andapplications. Different layers are implemented in differentlanguages. For example, Android’s system services such asdrivers and inter-process communication are written in C orC++, while all platform-related applications and services arewritten in Java and executed by the Dalvik virtual machine.Android’s advantage lies in its open source licensing andextensive programming documentation. The Android SDKprovides the tools and APIs necessary to develop applica-tions on the Android platform using Java.

Our prototype is implemented in Java with AndroidSDK 1.0. The development environment is Eclipse 3.1 withGoogle’s Android Developer Tools plugin. The debug toolsare Dalvik Debug Monitor Service (ddms), which manages

(a) (b)

(c)

Figure 2. A set of three interfaces: (a) Normal UserHome; (b) Login/Authentication ; and (c) User profileConfiguration

processes on the Android emulator or smartphone, and An-droid Debug Bridge (adb), which provides a command-lineinterface to programmers. The source code for our prototypeis about 72.3KB. As Android programs require configura-tion profiles and resources, which are another 225KB, theinstalled file on the phone is a 216KB Home.apk file.

Screenshots of the user interface are given in Figure 2.We load different applications according to users’ profiles.Our prototype includes a login Activity, a user profile con-figuration Activity and a main Home Activity. An Activityis the presentation layer of an Android application screen;its “lifecycle” has four stages—start, pause, resume, andterminate. An Activity provides event handling methods foreach of these stages that can be overridden. The user needsto authenticate himself at the login screen to obtain ad-ministrative privileges, including modifying system settings.The user configuration Activity provides the interface todetermine user access rights to SMS, contacts and GPS.These rights are stored in user profiles. We reprogram An-droid’s native Home Activity. After the system starts up, theHome Activity invokes the method loadapplication()to obtain information about all applications installed on thesystem, including related permissions, that is provided bythe system service PackageManagerService. We add

Шаг 15. Решите вопросы с антивирусом

•  Антивирус –  Проверка в реальном времени

–  Проверка по требованию –  Проверка по расписанию –  Автоматическое обновление

•  Межсетевой экран –  Блокирование подозрительных соединений

–  Разные предопределенные уровни защиты

Особенности антивирусной защиты

Межсетевой экран для мобильного устройства

Шаг 16. Решите вопросы с персональной защитой

•  Черные списки телефонов? •  Скрытие от посторонних глаз SMS/номеров?

–  Отдельные контакты помечаются как «личные» и вся связанная с ними информация (SMS, звонки, контакты) будет скрыта от посторонних глаз

•  Шифрование важной информации –  Специальные «секретные» папки для документов и файлов –  Динамический виртуальный шифрованный диск –  Поддержка карт памяти

•  Антивирус •  Нужен ли вам персональный межсетевой экран?

Шаг 17. Решите вопросы с контентной фильтрацией

•  Устройству не хватает мощностей ;-(

•  Защита в зависимости от местонахождения –  Перенаправление на периметр или в облако

•  Гранулированный контроль доступа к сайтам

•  Доступ в ближайшее облако через SSO

•  Контроль утечек информации в Web или e-mail трафике

WSA

VPN

Corporate DC

Premise Based Cloud Based

Защита контента на самом устройстве

Шаг 18. Решите вопросы со слежкой за устройством

Шаг 19. Решите вопросы с VPN-доступом к корпоративной сети

Шаг 20. Решите вопросы с доступностью

•  Какой уровень доступности в SLA необходимо обеспечить? •  Какие меры обеспечения доступности используются для защиты от угроз и ошибок? –  Резервный оператор связи –  Подключение по Wi-Fi

•  План действия на время простоя? –  Вы поставили сотрудникам «Angry Beards» ;-)

•  Резервирование и восстановление •  Как соотносятся оказываемые сервисы с мобильными устройствами с точки зрения критичности/доступности?

Шаг 21. Решите вопросы с управлением инцидентами

•  Как осуществляется расследование? •  Как вы обеспечиваете сбор доказательств несанкционированной деятельности?

•  У вас есть доступ к логам на мобильном устройстве? Как долго вы их храните? Возможно ли увеличение этого срока?

•  Можно ли организовать хранение логов на внешнем хранилище? Как?

•  Разработан ли план реагирования на инциденты, связанные с мобильными устройствами?

Шаг 22. Определитесь с удаленным управлением и контролем

•  Как организовать? •  Централизованно или через пользователя?

–  А насколько высока из квалификация? •  Как отключать некоторые аппаратные элементы (камера, диктофон, Bluetooth и т.д.)? Надо ли?

•  Как контролировать настройки? •  Как контролировать наличие «чужих» программ? •  Как удаленно «снять» конфигурацию? •  Как провести инвентаризацию? •  Как проводить troubleshooting? •  Как организовать доступ администратора к устройству?

Шаг 23. Решите вопросы с privacy

•  Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу?

•  Какие устройства собираются и хранятся на мобильном устройстве? –  Как долго?

•  Что включить в политику предоставления корпоративного мобильного устройства сотруднику? А что в политику доступа к корпоративной сети с личного мобильного устройства?

•  Есть ли национальные законодательные требования по обеспечению privacy? Как найти баланс?

•  Гарантии нераскрытия информации третьим лицам и третьими лицами?

•  Как защищаются данные при передаче устройства в ремонт?

Шаг 24. Решите вопросы с увольнением

•  Процедура завершение трудового договора предусматривает возврат мобильного устройства или данных на нем?

•  Возврат корпоративных данных на личном мобильном устройстве? В какой форме?

•  Как скоро организация/сотрудник получит свои данные обратно? •  Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии? Как проконтролировать?

Пользователь должен знать свои права и обязанности

Целостный взгляд на мобильный доступ

Управление/ развертывание

Динамическая политика

Интегрир. средства

Доп. решение Облако

Облако/Saas

Web-сайты

Web-приложения

Сервисы

Соц. сети

СХД

Что? Средства,

контент, данные

Защищенный, персонализированный и контекстно-зависимый доступ к данным Прозрачный - оперативный - надежный

Интеллектуальная сеть

Кто? Когда? Как? Место-

положение?

Устройство?

Сотовая 3G/4G

Wi-Fi

Проводная

Дома

В дороге

На работе

Клиент на базе VM •  Управляемое

•  Неуправляемое •  Корпоративное •  Личное

СОТРУДНИК

ВРЕМ. СОТРУДНИК

ГОСТЬ

Контекст

SIO

ЦОД/VDI

Обеспечение с учетом контекста

Обеспечение с учетом контекста

© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 53

Благодарю вас за внимание

security-request@cisco.com