Вячеслав Максимов, технический директор НИП «Информзащита»Что представляет собой современный ландшафт угроз для мобильных устройств корпоративных пользователей, прежде всего, российских?Ландшафт мобильных угроз для российских и зарубежных пользователей в целом един. Я не вижу здесь существенной разницы. Какие-то различия появились в связи с последними геополитическими событиями, но суть осталась прежней – основные мобильные платформы исходно не являются доверенными. Практически во всем, если мы говорим об активности обычных злоумышленников, не принимая во внимание действия спецслужб, набор угроз и рисков для российских и зарубежных корпоративных пользователей мобильных устройств совпадает. Эти угрозы традиционно связаны с наличием уязвимостей в операционных системах, системных компонентах, приложениях, которые устанавливаются на устройства. Вообще сам характер использования мобильных устройств делает их более подверженными атакам. Причем атаки могут быть направлены как на самих пользователей, так и на программные компоненты устройств, и в конечном счете могут привести к компрометации элементов корпоративной информационной инфраструктуры. Цель эксплуатации уязвимостей понятна: получить контроль над устройством и завладеть конфиденциальными данными. В последнее время, в условиях массового перехода на удаленную работу, это особенно актуально, и мобильные устройства становятся своеобразным мостиком в корпоративную информационную среду, а злоумышленники ищут способы незамеченными пройти по нему.
Изменился ли ландшафт за последние год-два? Как именно?Повторюсь: если не брать в расчет геополитическую ситуацию, то я существенных изменений ландшафта в целом не вижу. Отмечу лишь некоторые частные перемены. Появляется большое количество мошеннических приложений, в том числе распространяемых через официальные репозитории. Они нацелены на то, чтобы обмануть пользователя, скрывая от него (или обходя) процедуру согласия на те или иные действия – оформление подписки на платные сервисы, SMS-сервисы, выдачу избыточных разрешений приложениям и так далее.
Широкое распространение в связи с текущими событиями стали получать VPN-сервисы. Сотрудники предприятий активно используют их, особо не задумываясь, что весь трафик со своего устройства они заворачивают на чужие и априори недоверенные серверы. Этот трафик может содержать аутентификационные данные к внешним сервисам, используемым самим пользователем, или к части корпоративной инфраструктуры. Попадая на неизвестные серверы, такие данные могут быть скомпрометированы. Еще более широкое распространение получают приложения, которые у меня лично вызывают животный ужас. Помните, была такая игра Pokemon Go, где надо было бегать всюду и все подряд снимать на камеру. Это был отличный способ собрать информацию о физическом расположении конкретных объектов и о том, что там происходит. Другой пример – приложение GetContact, которое запрашивает доступ ко всем контактам на смартфоне и прочим данным. Под предлогом того, что пользователь узнает, как его называют другие люди в своих записных книжках. И многие люди на это ведутся (в какой-то момент это приложение даже было самым популярным в российском App Store), а в итоге передают всю свою личную информацию сторонней компании. И кто знает, что эта сторонняя компания будет с ней делать? А ведь эта информация крайне ценна как для изучения цепочек связей в обществе, так и для проведения OSINT в отношении отдельных лиц или целых групп. Эти данные можно отлично использовать при подготовке как веерных мошеннических атак, так и глубоко проработанной целевой атаки на конкретного человека. Итого: существенных изменений ландшафта я не вижу, но отмечаю, что злоумышленникам мобильные устройства становятся по-настоящему интересны, и на острие их атак – самое слабое звено под названием «пользователь».
Расскажите о наиболее актуальных векторах и сценариях атак на корпоративных пользователей мобильных устройств.В первую очередь я бы выделил фишинг. Причем, не только через почту, но и другие каналы и технологии: через мессенджеры, QR-коды, SMS. Например, человек получает SMS с текстом «ваш заказ принят, подробности по ссылке». Большинство людей заходит по этим ссылкам, что очень опасно.
Многие приложения в связи с санкциями были удалены из официальных магазинов, в том числе и банковские. И что делали банки? Публиковали на своих сайтах ссылки на мобильные приложения для Android. Или раздавали эти ссылки пользователям. А это ведь отличная возможность для злоумышленников установить через фишинговые ссылки поддельные банковские приложения на смартфоны своих жертв. Кстати, этот сценарий работает не только с приложениями банков, многие компании шли по этому пути. Фишинг – очень распространенный вариант атаки.
Кроме того, расширяется объем присутствия злонамеренного ПО или ПО двойного назначения, как тот же GetContact. Корпоративные пользователи самостоятельно устанавливают программы, зачастую из неофициальных репозиториев (Google позволяет устанавливать приложения не только из Google Play), что влечет за собой большие риски. Еще отмечу появление серьезного специализированного ПО (например, нашумевший Pegasus). Такие программы могут быть использованы для удаленной эксплуатации известных и 0-day уязвимостей, они позволяют злоумышленнику или спецслужбе абсолютно незаметно для пользователя получить полный контроль над устройством – управлять его микрофоном, камерой, получать доступ к данным и так далее. Другой актуальный сценарий: многие люди сохраняют резервные копии данных в облачных сервисах производителей смартфонов, соответственно, подбор пароля от учетной записи в облаке – отличный способ получения доступа ко всем данным человека. Облачное хранилище также может иметь свои уязвимости в серверной части. Через эти уязвимости злоумышленник может получить доступ к резервной копии устройства и ко всем данным пользователя, сохраненным в облаке.
Можно ли назвать мобильную платформу, которая наименее защищена от атак либо ее пользователи атакуются чаще других?Помнится, раньше часто задавали вопрос: что безопаснее Windows или Linux? Принципиальный ответ на него: безопаснее то, защитой чего занимаются. Ну или хотя бы то, что меньше интересует злоумышленников. Так же и с мобильными платформами. Действительно есть ряд предпосылок или аргументов в пользу того, что Android менее безопасен. Например, Google дает возможность устанавливать на устройство программное обеспечение не из собственного репозитория, чего Apple не позволяет. Android используется в качестве ОС многими производителями смартфонов, а каждый из них самостоятельно определяет политику обновления ОС и системных компонентов. Потому что обновление может не очень хорошо работать с аппаратной платформой именно этого производителя. Тут сам вендор решает, как обеспечивать безопасность своих устройств и как устанавливать обновление. Это влияет на степень защищенности. Кроме того, Android шире используется, в России уж точно. Поэтому эта платформа интереснее злоумышленнику: найдешь критическую уязвимость в Android - получишь контроль над бОльшим числом пользователей. Поэтому это интереснее. Но, на мой взгляд, эти аргументы и их влияние на безопасность становятся ничтожными, если посмотреть на поведение самого пользователя. Какой бы платформой ты не пользовался, если путем взлома получаешь для себя права суперпользователя (root/jailbreak), модифицируешь прошивку устройства, все потуги производителя по обеспечению безопасности сам сводишь на ноль.
Какие интерфейсы, приложения и аксессуары сейчас несут в себе наибольшие риски для пользователей?Снова повторю, что наиболее уязвимый интерфейс – сам пользователь. Часы, беспроводные наушники и все остальные аксессуары не смогут так сильно повлиять на безопасность, как поведение владельца устройства. Если он бездумно устанавливает ПО, использует сомнительные внешние сервисы (VPN, анонимайзеры и др.), если банально не использует никаких инструментов для аутентификации или дает необоснованные разрешения приложениям, то он и несет в себе наибольшие риски. Например, зачем разрешать доступ к геолокации или микрофону приложениям, если именно ваш характер использования этих приложений или заявленный их функционал никак не связан с использованием этих средств?
Добавлю, что есть еще один интерфейс, с которым стоит обращаться осторожно – во многих местах сейчас есть возможность подзарядить свой телефон проводной зарядкой. Но кто знает, что может скрываться в устройстве, которое раздает электричество, не будут ли через него передаваться данные с вашего телефона злоумышленникам? Это касается подключения к зарядке в аэропортах, на вокзалах, в торговых центрах, других публичных местах. Опасно и просто подключение телефона к какому-то компьютеру, за которым ты временно работаешь в интернет-кафе или компьютерном клубе. Если вы пользуетесь такими публичными точками подзарядки, лучше использовать при этом не штатные провода, которые продавались вместе с устройством, а специально распаянные, без жил для передачи данных. Такие кабели легко можно купить, и они даже стоят дешевле. Что касается беспроводных интерфейсов, главные риски несет в себе WiFi. Мы вообще гораздо чаще подключаем смартфоны к беспроводным сетям, чем ноутбуки или стационарные компьютеры. При этом подключаемся мы к неизвестным публичным сетям, запоминаем эти сети, чтобы автоматически к ним подключиться, как только окажемся в зоне их действия. Все это дает возможность злоумышленникам подделывать бесплатные точки доступа и подключать к ним смартфоны жертв.
Что могут и должны сделать организации для купирования современных мобильных угроз?Прежде всего необходимо минимизировать объем корпоративной информации, работа с которой возможна с мобильных устройств. Нужно ограничить перечень данных и приложений, доступ к которым с мобильных устройств разрешен. Если в организации есть данные, к которым все-таки необходим такой доступ, а риски ИБ высокие, в идеале следует выдавать пользователям корпоративные устройства, которые находятся под полным контролем и управлением компании. И в части обновления, и в части средств защиты и политик безопасности. Если же невозможно выдать пользователям корпоративные смартфоны (дорого или неприменимо по другим причинам) и от концепции BYOD не отойти, тогда следует применять системы типа MDM/EMM (Mobile Device Management/Enterprise Mobility Management). И конечно при использовании мобильных устройств, будь они корпоративными или личными, необходимо определить и соблюдать правила приемлемого использования, сформировать стандарты безопасной настройки, применения антивирусных средств, корпоративных сервисов VPN для доверенного доступа к инфраструктуре компании. Так же важно применять средства контейнеризации приложений, использовать специально разрешенные доверенные офисные или бизнес-приложения со встроенной защитой.
Учитывая, что телефон или планшет для пользователя сейчас де-факто его Alter ego, нужно обучать сотрудников организации правильному поведению, повышать их осведомленность в части рисков и угроз, и в части методов защиты от этих угроз. Нужно рассказывать им о возможных последствиях опасных действий с мобильным телефоном. И требовать от пользователей не нарушать действующих политик, не обходить встроенные или дополнительные механизмы защиты, не устанавливать бездумно программное обеспечение, не подключать к телефону сомнительные устройства. Словом, соблюдать стандартные правила компьютерной гигиены, которые должны довести до пользователей службы безопасности.
Расскажите о практике внедрения MDM-решений, каковы их плюсы и, возможно, минусы, насколько они у нас популярны.У заказчиков действительно был интерес к решениям данного класса. В сегменте SMB они используются довольно широко. Но вот об их распространенности в enterprise-сегменте сейчас говорить не приходится. У многих крупных заказчиков, с которыми мы работаем, есть скепсис в отношении MDM. Зачастую у них находятся более приоритетные направления для расходования бюджетов ИБ. Наиболее очевидная причина - высокая стоимость внедрения MDM в расчете на один смартфон. Это тяжело обосновать перед руководством. Но есть и не менее важные проблемы совместимости. Не все приложения, которые использует заказчик, возможно разместить в защищенном контейнере. Нужна еще и поддержка от самого вендора мобильного приложения, чтобы обеспечить его работу в контейнере. И наконец большинство вендоров MDM сейчас ушли из России. А из наших отечественных решений я могу вспомнить лишь SafePhone от НИИ СОКБ и Kaspersky Security для мобильных устройств.
Вообще же, тема защиты мобильных устройств действительно актуальна, а внимания ей на сегодняшний день уделяется недостаточно. Ноутбуки, стационарные компьютеры все напичканы средствами защиты, а смартфоны, планшеты – вовсе нет. С учетом массового перехода на удаленную работу это особенно опасно. Корпоративное применение мобильных устройств становится уязвимой точкой, которая привлекает все больше злоумышленников.
Чем системные интеграторы могут помочь в вопросах защиты корпоративных мобильных пользователей?Прежде всего интеграторы могут помочь в пересмотре состава систем и данных, которые доступны с мобильных устройств, а также во внесении изменений в инфраструктуру, для того чтобы технически ограничить возможность избыточного доступа к ней с мобильных устройств. Во-вторых, мы можем помочь разработкой политик, корпоративных стандартов безопасности и правил приемлемого использования мобильных устройств. Третье направление – это обучение и повышение осведомленности пользователей, формирование для них программ обучения, доведение их до конкретных слушателей. Наконец, интеграторы участвуют в проектировании и внедрении средств защиты информации, которые будут нацелены на минимизацию рисков, связанных с мобильными устройствами.
Как в обозримом будущем будет меняться ландшафт мобильных угроз? Какие перспективные векторы и сценарии атак вызывают наибольшее беспокойство у специалистов?Очевидно, что будут появляться новые уязвимости в операционных системах и программном обеспечении, с которыми придется работать. В том числе с уязвимостями нулевого дня, которые будут, пусть и не широко, но очень качественно использоваться в специализированном ПО для проведения целевых атак на мобильных пользователей. Понятно, что поскольку мобильные устройства это уже часть сознания конечного пользователя, будут расширяться атаки на сотрудников организаций, и они будут становиться все более интеллектуальными или изощренными. Тот же самый GetContact (который на самом деле легко может быть и прекрасной, предельно честной компанией) – это хороший пример вовлечения пользователей в добровольную, но неосознанную передачу всех секретов, которые в дальнейшем можно использовать в злонамеренных целях. Придумываешь новое интересное приложение, заинтересовываешь пользователя, и из любопытства пользователь отдаст все свои, чужие и корпоративные данные только для того, чтобы как-то развлечься. Таких угроз будет больше. Но вот радикальных изменений ландшафта я пока не вижу.
Источник - safe-surf.ru