По прогнозу аналитиков, рынок решений в области мобильной безопасности уже через пару лет вырастет почти на 300%. Офисные сотрудники все чаще предпочитают использовать на работе личные мобильные устройства, и этот факт требует пересмотра подходов в организации корпоративных систем информационной безопасности.
Угроза обнаружена
Рынок решений в области мобильной безопасности, по прогнозам компании IDC, к 2016 году вырастет на 298% и составит $1,77 млрд. И это понятно: одними из самых сильных тенденций, несущих риски безопасности корпоративным информационным системам, являются консьюмеризация и политика Bring Your Own Device. Сотрудники компаний все чаще хотят использовать сервисы, устройства и ПО то же самое, что и за пределами офиса. Причем задействовать в своей работе офисные служащие предпочитают свои личные устройства, а не корпоративные. Согласно февральскому исследованию Forrester, проведенному по заказу компании TrendMicro, 78% руководителей высшего звена в Европе и США уже столкнулись с тем, что их сотрудники используют свои личные устройства для работы. В России такая практика еще не настолько распространена, но уже создает серьезные проблемы специалистам по корпоративной безопасности. Компания «Астерос» говорит о 30-процентном проникновении этого тренда в отечественный бизнес.
Все это происходит на фоне постоянно растущей активности киберпреступности. В третьем квартале текущего года, по данным «Лаборатории Касперского», в рейтинге стран по количеству вредоносных хостингов Россия потеснила лидера (США): в нашей стране располагается 23,3% «мировых запасов», что на 3% больше показателя Штатов. Правда, есть и хорошие новости: Россия наконец-то перестала возглавлять список самых опасных для веб-серфинга стран мира. Это место занял Таджикистан, где 61,1% пользователей сталкиваются со срабатыванием антивируса при работе в интернете.
Мобильность дает многочисленные преимущества для бизнеса, но вместе с тем ведет и к повышению рисков. Как и прогнозировала компания TrendMicro, этот год ознаменовался постоянным увеличением числа зловредных программ под мобильные платформы. Только во втором квартале «Лабораторией Касперского» было обнаружено 14,9 тыс. вредоносных программ по Android — почти в три раза больше, чем кварталом ранее. Кража мобильных устройств также один из самых популярных способов получить доступ к корпоративным ресурсам компаний. Этот метод используется в 35% всех атак, если верить данным исследований Ponemon Institute за 2011 год.
Крепкий фундамент
Как защитить корпоративные информационные системы от всех этих угроз? Региональный директор TrendMicro в России и СНГ Вениамин Левцов рассказывает, что и сегодня, и в будущем классический набор инструментов ИБ будет по-прежнему необходим. Его основные составляющие — система политик ИБ предприятия и регулярных аудитов состояния информационной безопасности, мощный аппаратный корпоративный firewall, антивирусы на конечных станциях, почте и веб-шлюзах, система корпоративного антиспама, механизмы внутрисетевой безопасности, служащие для предотвращения сетевых атак. «Рост интереса к «облачным» технологиям и виртуализации вызывает быстрые изменения ландшафта IТ-инфраструктуры, и, как следствие, меняется спектр IТ-угроз»,— добавляет господин Левцов. Эта область, безусловно, продолжит развиваться. Глава представительства VMware в России и СНГ Александр Василенко уверен, что компаниям нужно менять архитектуру и подходы к корпоративной инфраструктуре. «Требования, которые идут от бизнеса,— получать больше при меньших ресурсах и затратах — невозможно реализовать на старой платформе, именно поэтому виртуализация и «облака» сейчас так востребованы»,— говорит господин Василенко.
По мнению Вениамина Левцова, повестка завтрашнего дня на рынке систем корпоративной безопасности будет сосредоточена вокруг следующих трендов. В связи с проникновением «облачных» технологий и механизмов становится актуальным перенос акцентов защиты с конечных точек на серверные емкости. Объем данных растет, значит, гораздо эффективнее производить обновления и вычисления централизованно, а конечные точки использовать в рамках идеологии терминального доступа. Технически защита серверов сейчас фактически означает интеграцию средств ИБ с интерфейсом платформы виртуализации.
Второй тренд — использование автоматизированных систем патч-менеджмента. «На сегодняшний день еще далеко не все компании выстроили надежную систему обнаружения уязвимостей и автоматизированного патчинга (установке обновлений. — «Ъ»)», — заключает господин Левцов. Также все более активно используются Web Application Firewall — межсетевые экраны, контролирующие поведение конкретных приложений. А рост таргетированных атак (APT), особенно на крупные организации, требует внедрения соответствующих решений.
Закомплексованная защита
Представители компании КРОК подтверждают, что интерес заказчиков к теме информационной безопасности в России растет. Одна из причин — требования регуляторов относительно соблюдения закона N152-ФЗ «О персональных данных». Кроме того, повышенное внимание к защите необходимо в свете распространения «облаков» и виртуализации, дистанционного банковского обслуживания и т. д.
Михаил Башлыков, руководитель направления информационной безопасности компании КРОК, рассказывает, что сегодня на рынке существуют решения, актуальные практически для всех крупных компаний, например DLP-системы для защиты от утечки конфиденциальной информации. Также с распространением мобильных технологий все большую популярность приобретают соответствующие решения: помимо ограничений доступа к устройству с помощью паролей и шифрования хранящейся там информации распространяются MDM-системы для централизованного управления параметрами безопасности, виртуальные защищенные пространства для удаленного взаимодействия с корпоративными системами и т. д.
«Общий тренд в сфере безопасности — комплексный подход, — утверждает Михаил Башлыков. — Сейчас большинство проектов мы начинаем с аудита, находим уязвимые места в информационных системах и интегрируем средства защиты с существующими бизнес-приложениями так, чтобы эффект был максимален без существенных изменений в работе пользователей».
Алексей Ивлев, руководитель практики консалтинга в области информационной безопасности Accenture, полагает, что для создания полноценной защиты необходимо применять комплексный подход, основанный на нескольких составляющих: стратегический уровень, защита мобильных устройств, сетевая защита, защита мобильных приложений, защита back-end систем. На стратегическом уровне должна быть разработана стратегия, которая определяет критичные направления посредством анализа рисков и позволяет четко спланировать действия по защите мобильных устройств и технологий.
По словам господина Ивлева, защита мобильных устройств обязана включать целый комплекс мероприятий по обеспечению безопасности девайсов и данных, хранящихся на них. Должна быть предусмотрена возможность удаленного блокирования устройств, сброса к заводским установкам или выборочного удаления информации на них, выполнения резервного копирования конфигурации, данных и приложений на мобильных устройствах, использования средств централизованного обновления ОС и ПО на мобильных устройствах и т. п. На уровне сетевой защиты господин Ивлев рекомендует не забывать про VPN-каналы, а также защиту периметра корпоративной сети компании посредством межсетевых экранов и средств IDS/IPS.
Защита мобильных приложений должна включать создание каталога корпоративных программ, черных и белых списков для ограничения использования несанкционированного ПО, анализ безопасности кода при разработке собственных корпоративных мобильных приложений. «Также необходимо помнить о защите самих back-end систем, к которым осуществляется доступ с мобильных устройств,— добавляет Алексей Ивлев.— Однако это скорее теоретическая модель безопасности, на практике по нашему опыту, как правило, все значительно проще: компании ограничиваются только базовым набором мер защиты, поскольку выполнение полного спектра мероприятий довольно затратно и не всегда оправданно имеющимися рисками ИБ. Особенно это актуально для российских компаний, которые только начинают внедрять мобильные технологии в корпоративную среду».
Выйти из сумерек
У российских компаний сильно разнится отношение к желанию сотрудников использовать личные устройства и привычные сервисы на работе. Сергей Орлик, директор центра корпоративной мобильности «АйТи», говорит, что «наиболее простая, рефлекторная реакция, часто наблюдаемая в крупных организациях, проявляется в первоначальном решении «запретить»». Но при этом доступ к корпоративной информации с мобильных устройств — реальная потребность руководителей всех уровней и сотрудников, стремящихся повысить продуктивность своей деятельности.
Господин Орлик рассказывает, что ИБ-решения, которые необходимы в связи с этим частным компаниям, требуют инвестиций, причем существенно отличающихся от стоимости приложений или игр в AppStore. «Но только полноценная инфраструктура корпоративной мобильности может превратить смартфоны и планшеты в удобные для пользователя и безопасные для организации мобильные рабочие места, необходимость в которых пользователи уже подтвердили массовым использованием современных гаджетов,— убежден он.— По сути, системность подхода в организации мобильных рабочих мест заключается в том, что в отношении практически всего ИБ-ландшафта организации необходимо добавить новый срез, или, если хотите, новое измерение, связанное с мобильными рабочими местами. Если этого не сделать, оставшись в традиционном контексте формального запрета, возникают «теневые IТ», с которыми связаны и несоизмеримо более высокие риски, и непосредственные затраты на последующий «вывод из тени»».
Валерий Андреев, заместитель директора по науке и развитию компании ИВК, убеждает в том, что сегодня руководители компаний уже понимают, что многие нововведения, как аутсорсинг или BYOD, действительно полезны предприятию. Поэтому запрещать становится все труднее и приходится проблему решать. Но не имея типовых практик, необходимо искать и находить свои пути решения новых старых проблем и научиться их защищать на основе имеющихся методик построения моделей угроз, создания полных и непротиворечивых систем защиты и пр. «При этом компании должны учесть, что между подходами к созданию систем ИБ сегодня и вчера существует огромная разница. В прежние годы функциональность информационной системы всегда ставилась во главу угла, а системы ИБ докручивались (или даже и не докручивались) потом. Это и раньше создавало практически неразрешимые проблемы информационной безопасности. Но нынешние вызовы ИБ изначально столь опасны, что без применения интегрированных средств защиты уже сама функциональность ИС ставится под сомнение», говорит господин Андреев.
Гэри Кларк, вице-президент компании SafeNet в регионе EMEA, добавляет: «В конечном счете, самая большая угроза в 2013 году останется неизменной: конечный пользователь. Это всегда будет слабым местом. Причина проста. Многие компании все еще полагаются на ненадежные пароли для защиты доступа к данным, и до сих пор атаки на пароли были самым простым путем получения доступа к системе и приложениям, особенно когда компании все еще не шифруют свои данные для необходимой степени защиты». По мнению господина Кларка, все компании должны сделать два основных шага: избавиться от паролей и заменить их на одноразовые, а также зашифровать все конфиденциальные данные. Эту точку зрения поддерживает Катажина Хоффманн, региональный менеджер по продажам решений логического доступа компании HID Global в Восточной Европе: «Для того чтобы доверять корпоративным пользователям и эффективно управлять их доступом к информационным ресурсам, компаниям необходимо комплексное решение, обеспечивающее идентификацию».
Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies, добавляет: «Кто всерьез воспринимал социальные сети как опасность пять-семь лет назад? А сейчас для всех очевидно, что пользователи, в том числе крупные руководители, бездумно размещают в интернете весьма конфиденциальные документы, информацию о клиентах, планах компании». При этом блокирование подобных ресурсов не даст эффекта: сотрудники научились для этого пользоваться личными устройствами. Господин Разумов считает, что гораздо эффективнее контролировать пользователей, обучать их, предупреждать, когда они делают что-то неправильное.
К сожалению, на данный момент значительное количество IT-специалистов не обладает достаточными знаниями о современных киберугрозах. Кроме того, низкий уровень компьютерной грамотности персонала является одной из причин заражения IT-инфраструктуры компании и утечки конфиденциальной информации. Поэтому обучение всех сотрудников компании основам информационной безопасности не менее важно, чем установка современного защитного ПО.