Отражая новые угрозы: мобильная консьюмеризация

реклама
www.devicelock.com
Отражая новые угрозы:
мобильная консьюмеризация
корпоративных ИТ
и инсайдерский фактор
Алексей Лесных
СмартЛайн Инк
Москва 14.02.2008
www.devicelock.com
О чем речь
«ЦИФРОВЫЕ
АБОРИГЕНЫ»
(Digital Natives)
“CORPORATE”
≈
“CONSUMER”
радикально
меняют
управление и
инструментарий
корпоративных
информационных
технологий
потребительские
ПО и электроника
проникают в
производственные
информационные
процессы
ЗНАЧИТЕЛЬНЫЕ
ИЗМЕНЕНИЯ
ОТРАЖЕНИЕ
НОВЫХ УГРОЗ
в управлении и
средствах
корпоративной ИБ
• рост мощности и
расширение
функционала
персональных
мобильных
устройств
• изменения
профиля
инсайдерских
угроз ИБ
требует создания
эффективных
решений для
каждого аспекта
Endpoint Security
2
www.devicelock.com
Мобильный аспект консьюмеризации ИТ
ПЕРСОНАЛЬНЫЕ МОБИЛЬНЫЕ
УСТРОЙСТВА – УНИВЕРСАЛЬНОЕ
СРЕДСТВО ПОВЫШЕНИЯ ЛИЧНОЙ И
ПРОИЗВОДСТВЕННОЙ ПРОДУКТИВНОСТИ
МОБИЛЬНЫЕ УСТРОЙСТВА –
«АППАРАТНЫЙ» УСКОРИТЕЛЬ
КОНСЬЮМЕРИЗАЦИИ КОРПОРАТИВНЫХ
ИТ
• 2007: 15% сотрудников компаний в
Северной Америке использовали
мобильные устройства в бизнесе
• 2008: повышение доли до 25%
• Закон Мура действует
– Источники: Osterman Research, 2007
TechTarget, 2007
– Интел анонсировал 16 процессоров на
2008 International CES
• Повсеместные высокоскоростные
мобильные коммуникации
– Wi-Fi + 150 операторов 3G/HSPA в 72
странах + WiMAX от Интела
• Стандартизация и консолидация
мобильных ОС и развитие
корпоративных приложений для
мобильных устройств
3
www.devicelock.com
Угрозы мобильной консьюмеризации
• В ближайшие время
большинство работников
будут использовать личные
или «казенные» мобильные
устройства в служебных
целях
• Дзэн-подобное
«кооперативное»
управление ИБ
– в «единой команде»
с забывчивыми,
халатными,
злонамеренными
инсайдерами
• Прогресс консьюмеризации ведет к резкому росту рисков ИБ
для предприятий и организаций
– рост утечек корпоративной информации через
персональные мобильные устройства сотрудников
– разработка коммерческого вредоносного мобильного ПО
4
www.devicelock.com
«Дорожная карта» мобильного malware
• Нарастающая
«мобилизация»
работников
коммерческих
предприятий
• «Коммерческое»
вредоносное мобильное ПО
становится рентабельным
– рост атак и компрометации
мобильных устройств
4 кв. 2009
СЕГОДНЯ
• Ускоренное развитие
индустрии мобильных
ОС и корпоративных
приложений
– Moorestown: мощность
Pentium-II на системной
плате смарфона при
10-кратном сокращении
энергопотребления
• «Дорожная карта»
вредоносного ПО
– «целевой рынок»
должен развиться,
чтобы оправдать
вложения в разработку
«продуктов»
– первая «история
успеха» ожидается в
конце 2009 года
5
www.devicelock.com
«Мобильная» утечка данных
УГРОЗА УТЕЧКИ КОРПОРАТИВНЫХ ДАННЫХ
ЧЕРЕЗ ПЕРСОНАЛЬНЫЕ МОБИЛЬНЫЕ
УСТРОЙСТВА РАБОТНИКОВ
• Неизбежна
– человеческая натура: случайные ошибки,
халатность, злой умысел, кражи и утери
мобильных устройств
• Насущна
– реальна сегодня
– новые технологии умножат последствия
6
www.devicelock.com
Масштаб и прогнозы «мобильных» утечек
СЕГОДНЯ
ПРОГНОЗ
• In-Stat: в 2007 году в США утеряно и
урадено 8 млн мобильных телефонов
– вероятность пропажи смартфона
на 40% выше
• Проекция сегодняшней
статистики на прогнозы роста
рынка мобильных устройств
– 5 и 14 млн смартфонов
будут потеряны или
украдены в 2008 и 2010 гг.
– утечка хранимых на них
данных станет причиной
14% и 21% общих
финансовых потерь от
всех типов атак на
корпоративные ИТресурсы
• "2007 CSI Computer Crime and Security
Survey"
– 7% всего ущерба американских
компаний от индицентов ИБ
связано с потерей данных из-за
краж мобильных устройств
• МВД Великобритании
– ежегодно похищается 2% личных
мобильных телефонов
– Источник: Tim Bojarin,
Creative Strategies
7
www.devicelock.com
Механика «мобильных» утечек
ДВУХЭТАПНЫЙ
ПРОЦЕСС УТЕЧКИ
ДВУХУРОВНЕВАЯ
ЗАЩИТА
1-й этап: неавторизованная передача данных с корпоративного
сервера или ПК на мобильное устройство
2-й этап: бесконтрольный экспорт данных с устройства наружу
1-й уровень: фильтрация данных при их передаче на
мобильные устройства во всех коммуникационных каналах с
помощью DLP-компонентов на серверах, ПК и выделенных
аппаратных комплексах
2-й уровень: средства защиты информации, резидентно
работающие и предотвращающие утечку данных с мобильных
устройств
8
www.devicelock.com
Резидентные DLP-компоненты мобильных устройств
• Резидентная криптография –
единственный действительно
эффективный механизм защиты от утечек
данных с мобильных устройств
– полное шифрование диска, файлов,
каталогов или «контейнеров»
– блокирование доступа к
шифрованным данным во встроенной
или съемной памяти пропавших
мобильных устройств
• Прочие резидентные СЗИ мобильных
устройств не предназначены для
информационной фильтрации данных или
разграничения их типов
– FW, VPN, Device/Port Control, AntiVirus/Anti-Malware, IDS, Application
Control, NAC, User/Device
Authentication
• Удаленное уничтожение данных (Remote
Data Wiping) – полезно, но ненадежно
– достаточно выключить смартфон и
удалить его съемную карту памяти
для чтения на другом устройстве
• Anti-Spam компоненты работают в
«противоположном» направлении
– защита от попадания нежелательных
данных на устройство
9
www.devicelock.com
Мобильная криптография – не панацея
• «Полное шифрование • Утечки при штатном
устройства» (“Whole
использовании
device encryption”)
защищает от утечек
– приложения
данных с утерянных
работают в ОЗУ с
или украденных
нешифрованными
мобильных устройств
данными
– из активного
сетевого ПО (email,
web-browser, IM)
пользователи могут
случайно (95%) или
намеренно (5%)
послать открытые
данные за пределы
организации
• Неприкосновенность
личной информации на
мобильных устройствах
«двойного применения»
– доля персональных
мобильных
устройств с
корпоративными
СКЗИ будет
сокращаться
– сегодня только 55%
компаний в США
используют
криптографию для
защиты хранимых
данных
- Источник: Ponemon
• Не следует
переоценивать
резидентную
криптографию
– риски
бесконтрольной
утечки данных с
мобильных
устройств
сохраняются
Institute
10
www.devicelock.com
Защита от утечек на мобильные устройства
ТИПЫ КАНАЛОВ
ПЕРЕДАЧИ ДАННЫХ
• сетевые приложения
• съемные карты памяти
• локальные
коммуникации с ПК
(Local Sync)
СЕТЕВЫЕ
ПРИЛОЖЕНИЯ
• на рынке множество
эффективных DLP
продуктов и решений для
email, web-browsing, file
transfer, web-mail, instant
messaging и т.д.
• технологии протокольной
и контентной фильтрации,
контроля типов файлов
СЪЕМНЫЕ КАРТЫ
ПАМЯТИ
• для инспекции этого
канала модули
фильтрации контента и
типов данных
интегрированы в
продукты управления
доступом к локальным
устройствам и портам
(Endpoint Device/Port
Control)
• серверные компоненты
или выделенные
аппаратные комплексы
11
www.devicelock.com
«Унесенные Sync’ом»
•
Content-Based
Filtering
Content-Based
Filtering
•
File Type
Filtering
File Type
Filtering
•
NetApp Parsing
/ Proxy
File System
Call Interceptor
FW
Interface / Port
Control
Стэк защиты
от утечек через
сетевые
приложения
Стэк защиты
от утечек через
устройства
хранения
•
Современные решения по защите от
утечек данных (Data Leakage Prevention)
реализованы как канально-специфичные
Content-Based
Filtering
Программы локальной синхронизации
данных мобильных устройств – также
специфичны и не используют протоколы
сетевых приложений
File Type
Filtering
Существующие решения по контентной
фильтрации и детектированию типов
файлов не контролируют поток данных
при локальной синхронизации мобильных
устройств и ПК
Единственная «заглушка» средствами
Device/Port Control: полностью
блокировать подсоединения мобильных
устройств на уровне USB портов
– но подключение мобильных устройств
к не-USB портам не детектируется
большинством продуктов
Local Sync
Parsing &
Object Filtering
Interface / Port
Control
Стэк защиты
от утечек через
локальную
синхронизацию
12
www.devicelock.com
Задача первостепенной важности
• Организации перед выбором
– полностью блокировать локальный sync и
забыть про использование мобильных
устройств в бизнесе?
или
– рисковать корпоративными данными при
каждом нажатии на конпку “Sync”,
передавая их на персональыне мобильные
устройства бесконтрольно и бесследно?
• Дефицит контроля каналов локальной
синхронизации – серьезная угроза
корпоративной ИБ уже сегодня
СРОЧНО:
СОЗДАНИЕ
КОМПЛЕКСНОГО
DLP-РЕШЕНИЯ
ДЛЯ КАНАЛОВ
ЛОКАЛЬНОЙ
СИНХРОНИЗАЦИИ
• Бездействие может превратить ее в одну из
главных инсайдерских проблем ИБ
предприятий при консьюмеризации их ИТ
13
www.devicelock.com
Архитектура защиты от утечек через Local Sync
– блокирует или фильтрует запрещенные
элементы
– детектирует и маркирует типы объектов для
контроля другими механизмами
– пропускает классифицированный поток данных
к следующему уровню стэка
• Централизованное администирование и управление
на базе политик, мониторинг состояния агентов,
событийное протоколирование и аудит, теневое
копирование, отчетность
Content-Based
Filtering
Central Administration
& Policy Management
– контролирует «свои» целевые типы параметров
соединений и данных
File Type Filtering
Local Sync
Parsing & Object
Filtering
Endpoint
Interface/Port
Control
Centralized Logging, Shadowing,
Monitoring, Alerting, Reporting
• Стэк интегрированных механизмов ИБ, где каждый
уровень
Фильтрация Local Sync – ключевой компонент решения
14
www.devicelock.com
DeviceLock – базисная платформа контроля Local Sync
• Единственный продукт на рынке ИБ, обеспечивающий контроль и фильтрацию
каналов локальной синхронизации мобильных устройств
– патентуемая технология
• Платформы
– Windows Mobile 5, Windows Mobile 6
• Протоколы
– Microsoft ActiveSync®, Windows Mobile Device Center
• Гранулированность фильтрации: протокольные типы/объекты
– Files, pictures, calendars, emails, tasks, notes,..
• Remote Code Execution Control: удаленное управление инсталляцией и
исполнением приложений на мобильных устройствах
15
www.devicelock.com
DeviceLock – базисная платформа контроля Local Sync
• Детектирование присутствия мобильного устройства на любом порту и
интерфейсе: USB, COM, IrDA, Bluetooth
• Централизованное администирование и управление доступом к мобильным
устройствам на основе политик
– включая GPO-оснастку, полностью интегрированную в Microsoft AD
– контроль USB-доступа к мобильному устройству по его модели и
серийному номеру
• Детальное событийное протоколирование и теневое копирование с
автоматическим централизованным сбором и хранением данных
– файлы и прочие данные, передаваемые на Windows Mobile устройства
• Инструментарий просмотра и генерации отчетов
16
www.devicelock.com
Развитие платформы: шире охват и функции
• РАСШИРЕНИЕ ДИАПАЗОНА МОБИЛЬНЫХ ОС
– фильтрация Palm HotSync – в версии 6.3 (бэта – в феврале)
– iPhone и Symbian – прототипирование
• РАСШИРЕНИЕ ФУНКЦИОНАЛА / DeviceLock 6.3
– гранулированное управление доступом к физическим и
виртуальным принтерам при любом типе подключения
– централизованный аудит печати документов
– пользователь, время, приложение, принтер, файл
– теневое копирование печатаемых документов с возможностью
централизованного сбора, хранения в БД и визуального анализа
17
www.devicelock.com
спасибо
за внимание!
Скачать