Статті

Безопасность мобильных ОС

12 ноября, 2013. 03:11 Олег Пилипенко
Лидеры на рынке мобильных ОС определились. Но какая из них защищена достаточно хорошо, чтобы гарантировать безопасность корпоративной информации при использовании личного гаджета в рабочих целях?

Немного статистики

Согласно оценкам компании Forrester Research, личными устройствами на работе пользуются около двух третей служащих, а в некоторых организациях их число достигает 75%. В то же время, эксперты Blue Coat Research указывают, что свыше 70% сотрудников работают с корпоративными ресурсами, применяя собственные мобильные гаджеты.

По прогнозам аналитиков, численность пользователей BYOD прирастает на 15% ежегодно. При этом, в соответствии с отчетом PricewaterhouseCoopers, только чуть более 40% компаний внедрили официальную корпоративную политику, оговаривающую применение личных мобильных устройств для работы.

ИТ-специалисты достаточно хорошо осведомлены о том, что тренд BYOD несет в себе угрозы для конфиденциальности корпоративных данных. Почти 80% респондентов, отвечающих за ИБ, признали, что применение личных устройств для рабочих целей может представлять значительные риски для организации. В таких условиях ИТ-службы должны обеспечить соответствующий уровень защиты корпоративных систем, доступ к которым осуществляется с устройства, принесенного пользователем.

Мобильные гаджеты прокладывают путь в корпоративный сегмент

Одним из первых драйверов тренда BYOD стали устройства Apple iPhone и iPad, которые с самого начала полюбились сотрудникам компаний, и в первую очередь – топ-менеджменту. Таким образом, iOS прочно прописалась в корпоративном секторе.

Однако Google Android, в которой первоначально достаточно мало внимания уделялось безопасности, очень быстро набирала силу. Немаловажную роль в этом укреплении сыграла компания Samsung и ее корпоративное расширение для ОС Android под названием SAFE (Samsung Approved for Enterprise). По задумке Samsung, именно SAFE должно было проложить путь к Android для бизнеса и обезопасить от вредоносного ПО.

Операционная система BlackBerry изначально разрабатывалась для применения в корпоративном сегменте, поэтому располагает множеством инструментов защиты. Гаджеты BlackBerry нередко выступали в роли основного корпоративного мобильного устройства во многих компаниях. Новая ОС BlackBerry 10 теперь поддерживает протокол Exchange ActiveSync (EAS), а также множество функций безопасности в обновленном сервере BlackBerry Enterprise Server 10.

Не забудем и про Windows Phone 8 — третью попытку Microsoft отвоевать свою долю пирога на рынке ОС для смартфонов. Вообще в этой системе никогда не уделялось особое внимание безопасности, однако именно в 8-й версии разработчики попыталась исправить данный недостаток.

Далее мы рассмотрим более подробно перечень инструментов защиты в каждой из вышеприведенных ОС. Отметим, что эксперты рассматривают мобильную безопасность с точки зрения поддержки двух основных технологий: политик Microsoft EAS и интеграции нативных API-интерфейсов. Напомним, что протокол Exchange ActiveSync (обычно известный под аббревиатурой EAS) предназначен для синхронизации электронной почты, контактов, задач и прочих данных между сервером сообщений и смартфоном. Кроме того, этот протокол также обеспечивает управление мобильными устройствами и выполнение политик.

Протокол EAS в современных ОС


По мнению аналитиков, ключевые политики EAS покрывают большинство потребностей компаний в сфере безопасности. Приложения Microsoft Exchange, Microsoft System Center 2012, Google Docs for Business и многие другие продукты от третьих разработчиков очень хорошо поддерживают политики EAS.

Apple iOS 4.2 стала первой современной мобильной ОС, работающей с протоколом EAS, и это помогло данной системе занять доминирующее положение в бизнес-сегменте. Однако разработчики Google также не сидели сложа руки, постоянно наращивая функционал EAS в каждой версии. В результате Android 4.2 поддерживает EAS-политики гораздо лучше, чем ранние версии. Кроме того, Samsung, который сегодня является ведущим производителем Android-устройств, добавил поддержку политик и API в большинство своих продуктов.

Что касается BlackBerry, то поддержка EAS появилась только в новейшей ОС BlackBerry 10. В более ранних версиях защита обеспечивалась за счет BlackBerry Enterprise Server.
А вот в Windows Phone 8, по сравнению с Windows Phone 7.5, с точки зрения поддержки EAS мало что изменилось. Правда, появилась поддержка шифрования – а ведь именно ее отсутствие в свое время являлось наибольшим барьером для продвижения Windows Phone в бизнес-сегменте.

Поддержка EAS в различных мобильных ОС

 Функции

Apple
iOS 6, 7

BlackBerry 10

Google Android 4.x

Microsoft Windows Phone 8

Samsung Android 4.x SAFE

Минимальная длина пароля

Определение сложности пароля

История паролей

Поддержка шифрования данных на устройстве

Поддержка шифрования данных на карте памяти

N/A

Отключение съемных накопителей

О. С.*

О. С.

Отключение Wi-Fi

О. С.

О. С.

Отключение Bluetooth

О. С.

О. С.

Отключение камеры

Блокировка SMS-сообщений

Блокировка вложений email

Блокировка email POP3/IMAP4 

О. С.

Допускает использование личной почты

Допускает использование браузера

О. С.

О. С.

Настройка формата сообщений (HTML или plain text)

История email-сообщений

Усечение размера email (KБ)

Требует подписанных S/MIME-сообщений

Требует шифрования S/MIME-сообщений

Требует подписанного алгоритма S/MIME

Требует шифрования алгоритма S/MIME

О. С.* — означает, что функция возможна только при использовании отдельного MDM-сервера 

Нативные функции безопасности

Помимо EAS, каждая мобильная ОС предлагает API-интерфейсы для интеграции инструментов безопасности от сторонних разработчиков. Большинство систем MDM (Mobile Device Management) поддерживают различные мобильные ОС, обеспечивая единую консоль управления для ИТ-администратора. Некоторые продукты поставляются с клиентскими приложениями, которые предлагают дополнительную функциональность, отсутствующую в оригинальных API.

Apple предлагает множество API-интерфейсов, с помощью которых можно удаленно конфигурировать различные настройки iOS, а также управлять поведением приложений. Уже в 6-й версии iOS появились несколько новых политик, среди которых: возможность предотвращения удаления приложений, определение специального приложения для пользователя и блокирование покупки новых приложений.

BlackBerry, изначально ориентированная на корпоративный сектор, может похвастаться наличием BlackBerry Enterprise Server, который оснащен огромным числом инструментов для защиты. Технология Balance позволяет ИТ-службам создавать разделы на устройстве BlackBerry 10 для раздельного хранения персональных и рабочих данных и приложений. 

Рэдмонд, в свою очередь, встроил в Windows Phone 8 поддержку функций блокировки приложений, ограничения перенаправления электронной почты, удаленной регистрации устройств и удаленного обновления бизнес-приложений. Одна из важнейших возможностей Windows Phone 8, которая недоступна в других мобильных ОС, касается интеграции с Active Directory. Это является хорошим подспорьем для ИТ-службы. 

Вообще, Windows Phone и Google Android предоставляют намного меньше возможностей в своих API, хотя  Samsung и Google Motorola Mobility добавили несколько собственных API в устройства с Android. Например, Samsung SAFE API позволяет ИТ-администраторам отключать камеры, Bluetooth- и Wi-Fi-связь, запись голоса и SD-накопители.

Функции безопасности, встроенные в мобильные ОС

Функции  

Apple
iOS 6, 7

BlackBerry 10

Google Android 4.x

Microsoft Windows Phone 8

Samsung Android 4.x SAFE

Шифрование

AES 256

AES 256

AES 128, только некоторые модели поддерживают шифрование

 AES 128

 AES 256, не все модели поддерживают шифрование

S/MIME

VPN

Настройка VPN

● 

Ограничение/блокирование доступа к магазинам приложений

Ограничение/блокирование беспроводных сетей

Определение разрешаемых точек доступа

● 

Запуск только подписанных приложений

Избирательное удаление бизнес-приложений и данных

Удаленное обновление бизнес-приложений

«Песочница» для приложений

● 

Отключение функций копирования и вставки 

Безопасная загрузка

 *

Отключение синхронизации с iCloud/эккаунтом Microsoft / эккаунтом и хранилищем Google

* — для этой функции требуется MDM-сервер

Основные требования к MDM

Аналитики выделяют три основных группы требований к развитию систем Mobile Device Management. Первая группа касается конфигурирования и защиты утерянных и скомпрометированных устройств. Сюда входят политики по заданию сложности паролей, шифрования, удаленное блокирование и стирание данных, удаленное конфигурирование email, сертификаты для идентификации, удаленное конфигурирование подключений (таких как Wi-Fi и VPN) и обнаружение скомпрометированных ОС. Под компрометацией ОС имеются в виду: взлом ОС (jailbrake), получение root-доступа или инфицирование вредоносным ПО.

Вторая группа требований описывает предотвращение утечек данных (DLP), что охватывает регулирование приватности пользователя (например, его местоположение), контроль применения различных облачных сервисов (таких как iCloud, SkyDrive и Google Docs) и предотвращение утечки по email. Сюда входит возможность ограничить перенаправление почты и блокирование вложенных файлов. Кстати, именно задачи второй группы все еще не реализованы в Windows Phone. В то же время Android, BlackBerry и iOS уже поддерживают большую часть вышеописанных требований, хотя некоторая их часть решается с помощью внешних MDM-клиентов.

Третья группа требований касается управления и защиты бизнес-критических приложений. Например, iOS и Windows Phone располагают механизмами для выполнения, как минимум, базовых задач по управлению. Система Apple позволят прятать приложение так, что оно больше не будет доступно для пользователя, а Windows Phone 8 может обновлять корпоративные приложения удаленно. 

В целом, производители MDM уже сделали немало для обеспечения безопасности мобильных устройств. И все же реализация полноценной MDM-системы пока что весьма сложна. Бизнес пребывает в ожидании новых, более простых «коробочных» решений, которые предоставят компаниям возможность легко подключать к сети мобильные устройства сотрудников.

Комментарии: