Отражая новые угрозы: мобильная консьюмеризация
advertisement
www.devicelock.com Отражая новые угрозы: мобильная консьюмеризация корпоративных ИТ и инсайдерский фактор Алексей Лесных СмартЛайн Инк Москва 14.02.2008 www.devicelock.com О чем речь «ЦИФРОВЫЕ АБОРИГЕНЫ» (Digital Natives) “CORPORATE” ≈ “CONSUMER” радикально меняют управление и инструментарий корпоративных информационных технологий потребительские ПО и электроника проникают в производственные информационные процессы ЗНАЧИТЕЛЬНЫЕ ИЗМЕНЕНИЯ ОТРАЖЕНИЕ НОВЫХ УГРОЗ в управлении и средствах корпоративной ИБ • рост мощности и расширение функционала персональных мобильных устройств • изменения профиля инсайдерских угроз ИБ требует создания эффективных решений для каждого аспекта Endpoint Security 2 www.devicelock.com Мобильный аспект консьюмеризации ИТ ПЕРСОНАЛЬНЫЕ МОБИЛЬНЫЕ УСТРОЙСТВА – УНИВЕРСАЛЬНОЕ СРЕДСТВО ПОВЫШЕНИЯ ЛИЧНОЙ И ПРОИЗВОДСТВЕННОЙ ПРОДУКТИВНОСТИ МОБИЛЬНЫЕ УСТРОЙСТВА – «АППАРАТНЫЙ» УСКОРИТЕЛЬ КОНСЬЮМЕРИЗАЦИИ КОРПОРАТИВНЫХ ИТ • 2007: 15% сотрудников компаний в Северной Америке использовали мобильные устройства в бизнесе • 2008: повышение доли до 25% • Закон Мура действует – Источники: Osterman Research, 2007 TechTarget, 2007 – Интел анонсировал 16 процессоров на 2008 International CES • Повсеместные высокоскоростные мобильные коммуникации – Wi-Fi + 150 операторов 3G/HSPA в 72 странах + WiMAX от Интела • Стандартизация и консолидация мобильных ОС и развитие корпоративных приложений для мобильных устройств 3 www.devicelock.com Угрозы мобильной консьюмеризации • В ближайшие время большинство работников будут использовать личные или «казенные» мобильные устройства в служебных целях • Дзэн-подобное «кооперативное» управление ИБ – в «единой команде» с забывчивыми, халатными, злонамеренными инсайдерами • Прогресс консьюмеризации ведет к резкому росту рисков ИБ для предприятий и организаций – рост утечек корпоративной информации через персональные мобильные устройства сотрудников – разработка коммерческого вредоносного мобильного ПО 4 www.devicelock.com «Дорожная карта» мобильного malware • Нарастающая «мобилизация» работников коммерческих предприятий • «Коммерческое» вредоносное мобильное ПО становится рентабельным – рост атак и компрометации мобильных устройств 4 кв. 2009 СЕГОДНЯ • Ускоренное развитие индустрии мобильных ОС и корпоративных приложений – Moorestown: мощность Pentium-II на системной плате смарфона при 10-кратном сокращении энергопотребления • «Дорожная карта» вредоносного ПО – «целевой рынок» должен развиться, чтобы оправдать вложения в разработку «продуктов» – первая «история успеха» ожидается в конце 2009 года 5 www.devicelock.com «Мобильная» утечка данных УГРОЗА УТЕЧКИ КОРПОРАТИВНЫХ ДАННЫХ ЧЕРЕЗ ПЕРСОНАЛЬНЫЕ МОБИЛЬНЫЕ УСТРОЙСТВА РАБОТНИКОВ • Неизбежна – человеческая натура: случайные ошибки, халатность, злой умысел, кражи и утери мобильных устройств • Насущна – реальна сегодня – новые технологии умножат последствия 6 www.devicelock.com Масштаб и прогнозы «мобильных» утечек СЕГОДНЯ ПРОГНОЗ • In-Stat: в 2007 году в США утеряно и урадено 8 млн мобильных телефонов – вероятность пропажи смартфона на 40% выше • Проекция сегодняшней статистики на прогнозы роста рынка мобильных устройств – 5 и 14 млн смартфонов будут потеряны или украдены в 2008 и 2010 гг. – утечка хранимых на них данных станет причиной 14% и 21% общих финансовых потерь от всех типов атак на корпоративные ИТресурсы • "2007 CSI Computer Crime and Security Survey" – 7% всего ущерба американских компаний от индицентов ИБ связано с потерей данных из-за краж мобильных устройств • МВД Великобритании – ежегодно похищается 2% личных мобильных телефонов – Источник: Tim Bojarin, Creative Strategies 7 www.devicelock.com Механика «мобильных» утечек ДВУХЭТАПНЫЙ ПРОЦЕСС УТЕЧКИ ДВУХУРОВНЕВАЯ ЗАЩИТА 1-й этап: неавторизованная передача данных с корпоративного сервера или ПК на мобильное устройство 2-й этап: бесконтрольный экспорт данных с устройства наружу 1-й уровень: фильтрация данных при их передаче на мобильные устройства во всех коммуникационных каналах с помощью DLP-компонентов на серверах, ПК и выделенных аппаратных комплексах 2-й уровень: средства защиты информации, резидентно работающие и предотвращающие утечку данных с мобильных устройств 8 www.devicelock.com Резидентные DLP-компоненты мобильных устройств • Резидентная криптография – единственный действительно эффективный механизм защиты от утечек данных с мобильных устройств – полное шифрование диска, файлов, каталогов или «контейнеров» – блокирование доступа к шифрованным данным во встроенной или съемной памяти пропавших мобильных устройств • Прочие резидентные СЗИ мобильных устройств не предназначены для информационной фильтрации данных или разграничения их типов – FW, VPN, Device/Port Control, AntiVirus/Anti-Malware, IDS, Application Control, NAC, User/Device Authentication • Удаленное уничтожение данных (Remote Data Wiping) – полезно, но ненадежно – достаточно выключить смартфон и удалить его съемную карту памяти для чтения на другом устройстве • Anti-Spam компоненты работают в «противоположном» направлении – защита от попадания нежелательных данных на устройство 9 www.devicelock.com Мобильная криптография – не панацея • «Полное шифрование • Утечки при штатном устройства» (“Whole использовании device encryption”) защищает от утечек – приложения данных с утерянных работают в ОЗУ с или украденных нешифрованными мобильных устройств данными – из активного сетевого ПО (email, web-browser, IM) пользователи могут случайно (95%) или намеренно (5%) послать открытые данные за пределы организации • Неприкосновенность личной информации на мобильных устройствах «двойного применения» – доля персональных мобильных устройств с корпоративными СКЗИ будет сокращаться – сегодня только 55% компаний в США используют криптографию для защиты хранимых данных - Источник: Ponemon • Не следует переоценивать резидентную криптографию – риски бесконтрольной утечки данных с мобильных устройств сохраняются Institute 10 www.devicelock.com Защита от утечек на мобильные устройства ТИПЫ КАНАЛОВ ПЕРЕДАЧИ ДАННЫХ • сетевые приложения • съемные карты памяти • локальные коммуникации с ПК (Local Sync) СЕТЕВЫЕ ПРИЛОЖЕНИЯ • на рынке множество эффективных DLP продуктов и решений для email, web-browsing, file transfer, web-mail, instant messaging и т.д. • технологии протокольной и контентной фильтрации, контроля типов файлов СЪЕМНЫЕ КАРТЫ ПАМЯТИ • для инспекции этого канала модули фильтрации контента и типов данных интегрированы в продукты управления доступом к локальным устройствам и портам (Endpoint Device/Port Control) • серверные компоненты или выделенные аппаратные комплексы 11 www.devicelock.com «Унесенные Sync’ом» • Content-Based Filtering Content-Based Filtering • File Type Filtering File Type Filtering • NetApp Parsing / Proxy File System Call Interceptor FW Interface / Port Control Стэк защиты от утечек через сетевые приложения Стэк защиты от утечек через устройства хранения • Современные решения по защите от утечек данных (Data Leakage Prevention) реализованы как канально-специфичные Content-Based Filtering Программы локальной синхронизации данных мобильных устройств – также специфичны и не используют протоколы сетевых приложений File Type Filtering Существующие решения по контентной фильтрации и детектированию типов файлов не контролируют поток данных при локальной синхронизации мобильных устройств и ПК Единственная «заглушка» средствами Device/Port Control: полностью блокировать подсоединения мобильных устройств на уровне USB портов – но подключение мобильных устройств к не-USB портам не детектируется большинством продуктов Local Sync Parsing & Object Filtering Interface / Port Control Стэк защиты от утечек через локальную синхронизацию 12 www.devicelock.com Задача первостепенной важности • Организации перед выбором – полностью блокировать локальный sync и забыть про использование мобильных устройств в бизнесе? или – рисковать корпоративными данными при каждом нажатии на конпку “Sync”, передавая их на персональыне мобильные устройства бесконтрольно и бесследно? • Дефицит контроля каналов локальной синхронизации – серьезная угроза корпоративной ИБ уже сегодня СРОЧНО: СОЗДАНИЕ КОМПЛЕКСНОГО DLP-РЕШЕНИЯ ДЛЯ КАНАЛОВ ЛОКАЛЬНОЙ СИНХРОНИЗАЦИИ • Бездействие может превратить ее в одну из главных инсайдерских проблем ИБ предприятий при консьюмеризации их ИТ 13 www.devicelock.com Архитектура защиты от утечек через Local Sync – блокирует или фильтрует запрещенные элементы – детектирует и маркирует типы объектов для контроля другими механизмами – пропускает классифицированный поток данных к следующему уровню стэка • Централизованное администирование и управление на базе политик, мониторинг состояния агентов, событийное протоколирование и аудит, теневое копирование, отчетность Content-Based Filtering Central Administration & Policy Management – контролирует «свои» целевые типы параметров соединений и данных File Type Filtering Local Sync Parsing & Object Filtering Endpoint Interface/Port Control Centralized Logging, Shadowing, Monitoring, Alerting, Reporting • Стэк интегрированных механизмов ИБ, где каждый уровень Фильтрация Local Sync – ключевой компонент решения 14 www.devicelock.com DeviceLock – базисная платформа контроля Local Sync • Единственный продукт на рынке ИБ, обеспечивающий контроль и фильтрацию каналов локальной синхронизации мобильных устройств – патентуемая технология • Платформы – Windows Mobile 5, Windows Mobile 6 • Протоколы – Microsoft ActiveSync®, Windows Mobile Device Center • Гранулированность фильтрации: протокольные типы/объекты – Files, pictures, calendars, emails, tasks, notes,.. • Remote Code Execution Control: удаленное управление инсталляцией и исполнением приложений на мобильных устройствах 15 www.devicelock.com DeviceLock – базисная платформа контроля Local Sync • Детектирование присутствия мобильного устройства на любом порту и интерфейсе: USB, COM, IrDA, Bluetooth • Централизованное администирование и управление доступом к мобильным устройствам на основе политик – включая GPO-оснастку, полностью интегрированную в Microsoft AD – контроль USB-доступа к мобильному устройству по его модели и серийному номеру • Детальное событийное протоколирование и теневое копирование с автоматическим централизованным сбором и хранением данных – файлы и прочие данные, передаваемые на Windows Mobile устройства • Инструментарий просмотра и генерации отчетов 16 www.devicelock.com Развитие платформы: шире охват и функции • РАСШИРЕНИЕ ДИАПАЗОНА МОБИЛЬНЫХ ОС – фильтрация Palm HotSync – в версии 6.3 (бэта – в феврале) – iPhone и Symbian – прототипирование • РАСШИРЕНИЕ ФУНКЦИОНАЛА / DeviceLock 6.3 – гранулированное управление доступом к физическим и виртуальным принтерам при любом типе подключения – централизованный аудит печати документов – пользователь, время, приложение, принтер, файл – теневое копирование печатаемых документов с возможностью централизованного сбора, хранения в БД и визуального анализа 17 www.devicelock.com спасибо за внимание!
