Угрозы предприятию, связанные с использованием мобильных устройств, находящихся в собственности сотрудников, могут быть как сложными в реализации, например, направленная атака вредоносного программного обеспечения, разработанная для слежки за сотрудниками, так и простыми, как потерянный или украденный смартфон.
Эти угрозы вынуждают разрабатывать новые политики для снижения рисков. Внедрение подобных политик требует оглядки на то, чтобы не пострадала производительность, т. е. является компромиссом. На первом этапе мы должны понять, какие риски существуют и как снизить их уровень.
Jailbreaking и использование взломанных устройств
Сотрудники, которые требуют использования наиболее современных технологий, могут быть технически достаточно опытными и уметь самостоятельно настраивать свое устройство, получая полный доступ к нему на уровне системы.
Фактически Jailbreaking удаляет ограничения, наложенные производителем оборудования. При этом очень часто устраняются ограничения, разработанные для улучшения безопасности устройств. Владелец же получает полномочия на уровне администратора устройства. Он может установить и выполнить приложения, которые являются потенциально злонамеренными.
Не стоит забывать и о том, что в этом случае вредоносное ПО, выполняемое с правами данного пользователя, также будет обладать правами администратора. К чему это приведет, надеюсь, пояснять не нужно.
Обход настроенных ограничений
Организации, которые ограничивают сетевой доступ для определенных устройств, могут обнаружить, что сотрудники, в свою очередь, используют обходные решения. Определенные мобильные приложения могут позволить сотрудникам обмануть сетевые проверки управления доступом или по крайней мере позволить владельцу устройства получить доступ к корпоративной электронной почте, календарю и контактам.
Уязвимое программное обеспечение
Сотрудники могут использовать корпоративные данные, но вместе с тем не в состоянии применить обновление системы защиты программного обеспечения на своих устройствах. Кроме того, процесс обновления ПО также является проблемой для пользователей мобильных устройств. Apple сама предоставляет обновления системного ПО пользователям iOS, в то время как обновление устройств под управлением Android от Google гораздо больше зависит от поставщика услуг и производителя оборудования, в результате иногда возникают уязвимости, доступные атакующим в течение длительного периода времени.
Кроме того, предприятия никак не контролируют ошибки в сторонних приложениях, работающих на устройстве сотрудника. Соответственно, обновление такого ПО если и производится, то весьма и весьма нерегулярно.
Точки доступа
Некоторые устройства сотрудников (например, под управлением Windows Phone 8.1) сконфигурированы таким образом, чтобы идентифицировать и попытаться соединиться с любой открытой точкой доступа для получения данных через Интернет. Сегодня большинство организаций предоставляет безопасные точки доступа гостям, беспроводные точки есть во многих отелях и других публичных местах. Владельцы устройств, подключившихся к таким точкам доступа, могут подвергнуться опасности атак типа «человек посередине» и других шпионских атак. Чтобы снизить уровень таких угроз, организации могут использовать технологию VPN при получении доступа к корпоративным ресурсам.
Корпоративная электронная почта
Многие владельцы устройств не устанавливают PIN, чтобы заблокировать свой смартфон или планшет, который может попасть чужие руки и таким образом предоставить несанкционированный доступ к корпоративной электронной почте, пока содержимое устройства не будет удалено. Поэтому некоторые организации требуют от пользователей входить в систему каждый раз, когда они проверяют свою электронную почту на устройстве.
Бесплатное рекламное и шпионское ПО
Бесплатные мобильные приложения собирают много данных о владельце устройства, чтобы продать их рекламным сетям. Мобильное приложение считается бесплатным ПО с размещенной в нем рекламой или шпионским ПО, если оно собирает данные, не запрашивая разрешение владельца. Некоторые приложения также устанавливают на устройство управляемые поисковые системы, чтобы отправить пользователя на определенные веб-сайты рекламодателей.
Слишком обширные полномочия
Хорошие новости: у Apple, Google и Microsoft есть ограничения, которые вынуждают мобильные приложения запрашивать разрешения на доступ к ресурсам устройства, таким как камера и контакты. Дурные вести: большинство пользователей обычно не в состоянии читать мелкий шрифт и почти всегда предоставляют разрешения во время процесса установки мобильных приложений.
Специалисты по безопасности говорят, что приложения со слишком широкими полномочиями могут использоваться для утечки данных. Предоставление слишком широких полномочий может привести к тому, что ваши контакты, адреса электронной почты и данные геолокации будут передаваться злоумышленникам.
Облачные хранилища
Dropbox, iCloud, OneDrive и другие облачные хранилища, предлагаемые пользователям мобильных платформ, могут использоваться для утечки данных. Сотрудники могут использовать эти облачные хранилища, чтобы копировать туда данные компании, если организации не в состоянии запретить копирование уязвимых данных или не используют механизм, ограничивающий использование мобильных облачных хранилищ.
Вредоносное программное обеспечение Android
В последнее время наблюдается взрывоопасный рост вредоносного программного обеспечения для мобильных устройств под управлением Android. Это обусловлено не только тем, что таких устройств используется больше всего, но и внушающим опасения ростом числа уязвимостей в устройствах под управлением данной ОС.
Потерянные или украденные устройства
Потерянные или украденные устройства — самый большой риск для организаций, которые позволяют сотрудникам соединять находящееся в собственности сотрудника устройство с корпоративной сетью. Некоторые фирмы реализовали способы удаленно стирать любые корпоративные данные, например, электронную почту и контакты на потерянном устройстве. В связи с появлением сотрудников, которые не хотят давать беспрепятственный доступ работодателю к их устройству, все большую популярность получают технологии контейнеризации, когда корпоративные данные на устройстве отделяются от частных. При этом сотрудник ИТ-отдела может выборочно стереть корпоративные данные, если устройство потеряно, украдено или в случае увольнения сотрудника.
Автор статьи — MVP Consumer Security, Microsoft Security Trusted Advisor.