Трансформация BYOD-компетенций

Валентин Гребенев, директор по технологическому развитию компании «Код безопасности»

Понятие BYOD пришло в мир ИБ достаточно давно – об этом говорят уже лет пять. Однако до сих пор не найдено решение, позволяющее безопасно подключать личные устройства к информационным системам компаний. Это связано с большим количеством противоречий, которые не получится разрешить без обновления компетенций сотрудников ИБ-служб.

Защита без вторжения

Пользователи не хотят, чтобы к их личным устройствам имели доступ какие-нибудь сисадмины, но вовсе не против получать с этих устройства доступ к корпоративным ресурсам и информации, ведь это позволяет им выполнять свои обязанности не только на рабочем месте, но и, например, из дома. В результате у безопасников возникают дополнительные проблемы, ведь конфиденциальная корпоративная информация обрабатывается на неконтролируемых устройствах.

Многие производители MDM-решений ратуют за применение контейнеризации, позволяющей изолировать на персональном мобильном устройстве ту область, в которой запускаются и хранятся корпоративные приложения. Передача информации из одной области в другую контролируется или блокируется. Поскольку MDM-система управляет только выделенным контейнером, у системного администратора нет возможности выйти за его пределы и влезть в личные данные владельца смартфона. Если телефон будет потерян либо сотрудник уволится, сисадмин дистанционно удалит корпоративную информацию, а остальной контент – по желанию владельца.

На наш взгляд, можно говорить о трансформации BYOD и возникновении новой концепции. Из относительно новых трендов назовем перенос в мобильную сферу концепции VDI, которая позволяет виртуализировать стационарные компьютеры. Фактически, все приложения запускаются в облаке, а пользователь на своем рабочем месте видит только изображение экрана. Получается, что физические компьютеры информации не содержат, но данные никуда не утекают, и можно централизованно управлять ими и системой, «накатывать» обновления.

По аналогии была придумана концепция виртуальных мобильных устройств Virtual Mobile Infrastructure (VMI). Принцип ее работы остался тем же, только вместо компьютера используется мобильное устройство, а в качестве ОС – мобильная ОС. В облаке запускается виртуальная копия, образ мобильного устройства, а на физическом устройстве отображается либо рабочий стол с иконками, либо непосредственно приложения. Это – относительно новый подход, и соответствующие решения только появились и сейчас развиваются, но некоторые компании уже их предлагают.

С помощью VMI тоже достигается решение проблемы защиты от утечек информации через мобильные устройства. Данные фактически не передаются на такие устройства: они хранятся и обрабатываются в облаке. Кроме того, решаются проблемы обновления, закрытия уязвимостей в ОС (в том числе мобильных) и проблемы совместимости приложений с различными версиями мобильных ОС.

Изменение компетенций ИБ-специалистов

Возникает вопрос: меняются ли в связи с изменениями в концепции BYOD требования к компетенциям ИБ-специалистов? Теоретическая база остается неизменной, ведь речь всегда идет о защите информации (в сети, на ПК или мобильном устройстве). Принципы и подходы также одинаковы: это – анализ угроз, выявление уязвимостей системы, реагирование, принятие мер для защиты от рисков.

Однако, в соответствии со спецификой BYOD, специалист должен, в первую очередь, знать и понимать угрозы, характерные для мобильных устройств и ОС, хорошо разбираться в мобильных ОС, понимать различия между ними. Кроме того, доступ пользователей с личных устройств осуществляется по Сети из неконтролируемых точек, на которых могут применяться разные методы атак, вплоть до man in the middle. А значит, нужно разбираться в вопросах сетевой защиты и соответствующих рисках. Наконец, если ИТ-ландшафт включает в себя средства виртуализации, то специалист по ИБ должен знать и распознавать связанные с ними уязвимости, угрозы и риски, выбирать и применять эффективные меры защиты.

Как показывает практика, большинство ИБ-специалистов что-то слышали про MDM, но досконально не понимают разницу между работой с такими решениями и удаленным администрированием компьютеров. Тут важен следующий нюанс: мобильные операционные системы изначально разрабатывались не как корпоративные, а как индивидуальные, поэтому по управляемости они в значительной мере уступают современным ОС для ПК.

Весьма важен и этический аспект. Если компания применяет MDM-решение, которое технически позволяет системному администратору получать доступ к информации об устройстве, то у руководства должна быть уверенность в порядочности этого администратора, в том, что он не станет предпринимать какие-либо противоправные действия.

В целом, на рынке не очень много ИБ-специалистов, которые способны качественно работать с мобильными устройствами, используемыми по принципу BYOD. Новая область деятельности, которая только разворачивается в российском корпоративном сегменте, подразумевает необходимость получения ИБ-специалистами и новых специфических знаний. 

Тэги: 
Оцените материал:
Total votes: 12

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.