Mobileszközök biztonsági auditálásának kérdései Krasznay Csaba
Bevezetés • 2011 egyik a smartphone-ok robbanásszerű elterjedését hozta • Ezzel hirtelen számos új biztonsági kockázat jelent meg • Az előadás során a következő témákat érintem: • Mobileszközök biztonsági kérdései • Piaci megoldások • ISACA kontroll és audit elvek
Mobileszközök • Az ISACA szerint mobileszköz: • a smartphone, • a laptop és a netbook, • a tablet, • a PDA • az USB eszközök, mint pl. az MP3 lejátszó és a HSDPA modem, • a digitális kamerák, • az RFID eszközök, • az IrDA eszközök. • Az előadásomban kizárólag a smartphone-okkal foglalkozom (iOS, Android, WinMo, WebOS, Blackberry…)
Piaci trendek Share of worldwide 2011 Q2 smartphone sales to end users by operating system, according to Gartner.
Okostelefonok a nagyvállalatoknál • Az okostelefonok lehetőséget és veszélyt is jelentenek egyben • Lehetőség, mert a munkavállaló korábban nem tapasztalt hatékonysággal éri el • céges jeit • naptárát • névjegyeit és az ügyféladatokat • a vállalatirányítási rendszert • dokumentumokat (Sharepoint, megosztások) • a távfelügyeleti rendszereket • A smartphone-ok ráadásul remek üzleti lehetőséget is jelentenek, hiszen nagyon könnyen lehet a céghez kötődő alkalmazásokat fejleszteni, és azt széles körben eljuttatni az ügyfelekhez • A gyártók által jelenleg favorizált tabletek betörésével a határ a csillagos ég – hacsak nem bizonyulnak evolúciós zsákutcának 5x8-as munkavállalóból 7x24-es lesz, önként!
Okostelefonok a nagyvállalatoknál • A veszélyek az előző felsorolásból egyértelműen adódnak. • A felhasználónak hirtelen egy készülékbe költözött a személyes szórakoztatóeszköze, az internetes végpontja, a PC-je – és bizony a vállalati munkaeszköze is. • Különbség egy PC-hez képest, hogy sokkal könnyebben elfeledkezik az ember arról, hogy a vállalat beleköltözött a telefonba, egy gombnyomásra elérhet nagyon sok információt – hiányzik a világos elhatárolás! • Ráadásul sokszor nem is a vállalattól kapja a telefont, hanem saját maga veszi meg, mert ez egy „szexi” eszköz. És ha már a kezében van, nem fél használni – mindenhol. Pontosan ez a veszélyek forrása...
Sebezhetőségek, fenyegetések, kockázatok SebezhetőségFenyegetésKockázatMegjegyzés Az adatok vezetéknélküli hálózaton közlekednek. Kártékony külső felhasználók kárt okoznak a szervezetnek. A nem védett hálózaton közlekedő információk megszerzése kárt okoz. Főleg a nyílt WiFi kapcsolatok jelentenek kockázatot. A mobilitás lehetővé teszi a védett hálózaton kívüli munkavégzést. A védett hálózaton kívül működő mobileszközt kártékony kód fertőzi meg, ami utána a vállalati hálózaton is elterjed Kártékony kód fertőzés, mely többek között adatszivárgáshoz vezethet. A hangsúly nem elsősorban a kártékony kódon van, hanem a szervezet védett határainak elvesztésén! A Bluetooth kapcsolatok gyakran bekapcsolva maradnak. A hackerek felderíthetik a Bluetooth kapcsolatokat és támadást indíthatnak. Érzékeny adatok szivároghatnak ki. Nem tartom releváns kockázatnak. Az adatok titkosítatlan módon vannak tárolva. Az eszköz elvesztése esetén az adatok olvashatók maradnak. Érzékeny adatok szivároghatnak ki. Régóta komoly kockázat, ld. „celebhackek”. Forrás: ISACA, Securing Mobile Devices, Center/Research/Documents/SecureMobileDevices-Wht-Paper-20July2010-Research.pdf
Sebezhetőségek, fenyegetések, kockázatok SebezhetőségFenyegetésKockázatMegjegyzés Az elvesztett adatok befolyásolják a dolgozó produktivitását. A mobileszközökön található adatokat nem mindig mentik. Amennyiben nincs mentés az elveszett adatokról, a munkavállaló nem tud dolgozni. A webes alkalmazások és főleg a cloud hozott némi javulást, de továbbra is nehézkes a megfelelő mentés elkészítése. A mobileszközön nincsen megfelelő authentikáció aktiválva. Az authentikáció hiányában az elveszett eszköz adataihoz könnyű hozzáférni. Érzékeny adatok szivároghatnak ki. Ez főleg akkor okoz gondot, ha az eszköz távolról hozzáfér a belső hálózathoz, hiszen így egy eszköz az egész szervezetet veszélyezteti. A vállalat nem menedzseli az eszközt. A felhasználók a saját, nem menedzselt eszközeiket használják. Érzékeny adatok szivároghatnak ki. Smartphone esetében működik az ún. costumerization és a BYOD elv. Az eszközre megbízhatatlan alkalmazásokat installálnak. Az alkalmazás kártékony kódot tartalmazhat vagy adatokat szivárogtathat ki. Érzékeny adatok szivároghatnak ki, kártékony kódok terjedhetnek el. Érdekes megemlékezni a gyártók és fejlesztők által gyűjtött információkról!
Fő biztonsági kockázatok • A Forrester* szerint: • Készülékek ellopásának/elvesztésének kockázata növekszik a hordozhatósággal. • A mobilitás és hordozhatóság növeli az adatbiztonsággal kapcsolatos kockázatokat. • Egy újabb platform keletkezik az adatszivárgásokhoz. • A kártékony kódok egyre jobban áttérnek a mobil platformokra. • Saját kiegészítés: • A mobilitás, a cloud és a közösségi média konvergenciája egészen új helyzetet teremt. • A technika pedig folyamatosan fejlődik (pl. NFC, geolokáció, adatvédelem átalakulása…) * Managing The Security And Risk Challenges Of Personal Devices In The Workplace
Védelmi stratégiák • Alapvetően a mobil védelmi stratégia két elemből áll: • szabályozzuk a területet a meglévő elvek alapján, • vezessünk be olyan támogató eszközt, amely segít kikényszeríteni a szabályok betartását (Mobile Device Management – MDM) • A szabályozásnak két megközelítése lehet: • Egészítsük ki a meglévő szabályokat a „smartphone” szóval. • Írjunk speciális, smartphone-ra vonatkozó szabályokat, amiben a szervezeti elveket ültetjük át. • Véleményem szerint az első út akkor járható, ha van saját eszközzel végzett távmunkára szabály, vagy a cég adja ki a smartphone-okat. • Más esetekben területi szabályozás javasolt.
Védelmi stratégiák KockázatStratégia Elveszett/ellopott eszközKözponti eszközmenedzsment, amely képes a helymeghatározásra, a távoli törlésre, a jelszócserére és az erős authentikációra. Az adatok legyenek titkosítva. (MDM) Különböző eszközök támogatásának hiányaKözponti eszközmenedzsment (MDM) Nem biztonságos adatáramlásBiztonságos távoli hozzáférés authorizációval, titkosítással (VPN) Nem jogosult szinkronizálásKözponti ellenőrzés az adatok átadására (DLP) A konzumeráció elterjedéseFelhasználói tudatosság építése Elszámoltathatóság hiányaA mobileszköz használatának követése (naplózás) Nem-megfelelőségKözponti konzol a megfelelőség bizonyítására (MDM) Forrás: ISACA, Securing Mobile Devices, Center/Research/Documents/SecureMobileDevices-Wht-Paper-20July2010-Research.pdf
Mobile Device Management • A smartphone-ok kontrollálásának és ellenőrzésének műszaki alapköve tehát egy megfelelő MDM megoldás implementálása. • A VPN megoldások általában elérhetők mobil platformokon is, • A naplózás megléte jó esetben következik az MDM implementálásából. • A mobil DLP, mint fogalom már ismert, de egyelőre csak tapogatózás van ebbe az irányba. • A „jó” MDM ismérvei biztonsági oldalról a Gartner* szerint: • rendelkezik minimum a jelszókikényszerítés, a távoli törlés, a távoli lezárás, a naplózás és a jailbreak detektálás képességével; • legalább 3 mobil OS-t támogat; • van benne szabályzat és megfelelőség támogatás; • képes az alkalmazások valamilyen kontrolljára; • eszközleltárt lehet vele készíteni. * Magic Quadrant for Mobile Device Management Software
Mobile Device Management piac
COBIT és Risk IT folyamatok KockázatReleváns ISACA folyamatok Elveszett/ellopott eszközCOBIT DS5 (Ensure Systems Security), Risk IT RR3 Különböző eszközök támogatásának hiányaCOBIT PO1 (Define a Strategic IT Plan), PO6 (Communicate Management Aims and Direction), DS5, Risk IT RR2 Nem biztonságos adatáramlásCOBIT DS5, Risk IT RR2, RR3 Nem jogosult szinkronizálásCOBIT DS5, DS11 (Manage Data), Risk IT RR2 A konzumeráció elterjedéseCOBIT DS5, DS11, PO9 (Assess and Manage Risks) Risk IT RR2, RR3 Elszámoltathatóság hiányaCOBIT PO6, Risk IT RR1, RE3 Nem-megfelelőségCOBIT PO4 (Define the IT Processes, Organisation and Relationships), ME3 (Ensure compliance with established regulations), Risk IT RR1 Forrás: ISACA, Managing Mobile Devices and Relevant Framework Processes, Center/Research/Documents/SecureMobileDevice-Chart-21July2010-Research.pdf
Audit lépések 1. Az audit megtervezése és hatókörének meghatározása 2. Mobilbiztonság ellenőrzése 2.1 Mobilbiztonsági szabályzat 2.1.1Szabályzat meghatározása (Legyenek a mobileszközökre vonatkozó szabályozások) 2.2 Kockázatmenedzsment Kockázatfelmérés (Készüljön kockázatelemzés a mobileszközök használata előtt, és ez legyen később folyamatos tevékenység) Kockázatfelmérés irányítása (A felelős vezető vegyen részt a kockázatfelmérésben) 2.3 Eszközmenedzsment Eszközök követése (Az érzékeny adatokat kezelő eszközök központilag legyenek menedzselve és adminisztrálva) Eszköz kiadása, visszavétele (Az érzékeny adatokat kezelő eszközök a szerepkörhöz rendelten legyen kiosztva és visszavonva) 2.4 Hozzáféréskontroll Hozzáférési szabályok (Az eszközhozzáférés szintje a rajta tárolt adatok érzékenysége szerint legyen kikényszerítve)
Audit lépések 2.5 Tárolt adatok Tárolt adatok titkosítása (A vállalati adatok legyenek titkosítva az eszközön, a titkosítás legyen központilag kezelt) Adatátvitel (Legyen szabályozva az, hogy milyen adatok tárolhatók mobileszközökön és ezek milyen módon legyenek védve) Adatmegőrzés (Legyen adatmegőrzési szabályzat a mobileszközökön tárolt adatokra) 2.6 Kártékony kódok elleni védelem Kártékony kódok (Legyen kártékony kód elleni védelem implementálva, ha ez a kockázat releváns) 2.7 Biztonságos adattovábbítás hálózaton Biztonságos kapcsolatok (Távoli hozzáférés esetén legyen biztonságos adatkapcsolat, pl. VPN implementálva) 2.8 Tudatossági oktatás Mobilbiztonsági tudatossági tréning (A dolgozók tudatossági oktatásának legyen része a mobilbiztonság) Mobilbiztonsági tudatossági oktatás irányítása (Az oktatásnak legyen visszacsatolása a menedzsment felé) ISACA, Mobile Computing Security Audit/Assurance Program,
Érettségi szintek • PO6: A mobileszközök felhasználói rendszeres és egyértelmű üzenetet kapnak arról, hogy az eszközök nem megfelelő használata milyen kockázatot jelentenek a vállalatra nézve. • PO9: A menedzsment megértette a mobileszközök jelentette új kockázatokat, és támogatja a szükséges kontrollok bevezetését. • DS5: A mobileszközökre is teljesülnek a vállalat biztonsági szabályzatai. • DS11: A mobileszközök elérik és használják a vállalati adatokat, a szabályzatoknak megfelelően. • ME3: A mobileszközök teljesítik a külső szabályokból eredő követelményeket.
Összefoglalás • A kiberbiztonság alapvetően megváltozott az elmúlt 2 évben. • Ennek a változásnak az egyik legfontosabb előidézője a mobilitás, sőt kimondottan a smartphone-ok elterjedése. • Ez rengeteg hasznot hoz, de számos új, korábban nem tapasztalt biztonsági kihívást is jelent. • A biztonsági elvek nem változnak, de a védelmi technikák és hangsúlyok igen. • A legfontosabb változás, hogy el kell felejtenünk azt, hogy tudunk határokat védeni! • Új biztonsági szemléletre van szükség, amely alkalmazkodik a mindenhol jelen levő számítástechnika (Ubiquitous computing) szemlélethez!
Köszönöm a figyelmet! web: twitter: twitter.com/csabika25twitter.com/csabika25