6 minute read
Možnosti zabezpečení mobilních zařízení
Jan Hanáček
S trochou nadsázky se dá říct, že najít v současnosti hlášení bezpečnostních expertů, které jako jeden z kritických bodů neuvádí bezpečnost mobilních zařízení, je skoro nadlidský výkon. Skoro jako by se odborníci předháněli, kdo bude na toto téma více apelovat. Nemůžeme se jim ale divit. Společnosti utrácejí hezkou část rozpočtu za svou kybernetickou ochranu, a přesto stačí mnohdy jediný zaměstnanec, který si na nechráněném telefonu otevře přílohu e-mailu nebo klikne na odkaz na podezřelých stránkách, a je zaděláno na pořádný firemní malér.
Mobilní zařízení jsou vstupním bodem do sítě, ať už jsme si toho vědomi, nebo ne. Kolik z nás každé ráno vejde do kanceláře a ani si nevšimne, že se náš smartphone automaticky připojil na vnitřní, zaheslovanou firemní Wi-Fi? Útoky přes mobilní zařízení jsou dnes bohužel běžné a pro útočníky také výhodné. I v případě, že se jim nepodaří proniknout do samotné firmy, alespoň ovládnou zařízení uživatele. Minulý rok byl na tyto útoky štědřejší než leckterý firemní Ježíšek, a v tom novém roce se z tohoto pohledu sotva co změní. Změnit se tedy musí chování uživatelů.
Útoky jsou nápaditější každým rokem
V dřívějších letech bylo provedení útoků poměrně primitivní. Uživatel si v domnění, že instaluje certifikovanou aplikaci do zařízení, nasadil aplikaci falešnou, často z nebezpečného webu třetí strany, a s ní i kdesi v jejím kódu implementovaný malware. Dnes jsou nástroje kyberzločinců mnohem nápaditější, využívají zranitelností sítí, zero-day zranitelností operačních systémů, útočí na vzdálené servery nebo třeba na cloudové služby, na nichž mnohé aplikace běží. Málokdy se cílí na samotné mobilní zařízení, snadnější přístup je skrze tu delší, důmyslnější cestu a hrozby dnes kombinují více metod, čímž zvyšují svou pravděpodobnost úspěchu.
Typickým příkladem mezi kyberzločinci stále oblíbenější metody jsou phishingové útoky. Ty po rocích útlumu zažívají malou renesanci. V jejich jednoduchosti je síla a skutečnými důvody jejich opětovného rozšíření je minimální bezpečnostní povědomí uživatelů mobilních zařízení, nepřítomnost ochrany a také fakt, že jsou tyto útoky čím dál personalizovanější. Pro útočníka není nic snazšího než si na sociální síti najít váš profil a napsat falešnou zprávu obsahující škodlivý kód, která se tváří jako nákupní seznam od vaší drahé polovičky. Podobně funguje i přesměrování pomocí SMS zprávy. Ta vypadá jako legitimní výzva k vyzvednutí balíku na poště, ve skutečnosti jde o infikovaného „dvojníka“ skutečné zprávy, kterou malware zachytil a duplikoval. Když na ni pak jakkoliv zareagujete, posíláte svá data útočníkovi. Podobně infikované zařízení uvnitř špatně nakonfigurované firemní sítě může způsobit katastrofu.
Jak se může chránit firma?
Firmy s tímto nelibým trendem mohou bojovat, jen je třeba znát správné nástroje. Slabá místa v infrastruktuře je možné odhalit pomocí metody řízení zranitelností, kterou nabízí mnoho bezpečnostních firem. To dovolí lépe analyzovat a pochopit, co se v tomto směru ve firemní síti děje, najít zranitelnosti a začít s jejich odstraňováním. Podíváme-li se však na věci od základu, několik kroků k lepší ochraně mobilních sítí mohou společnosti vykonat i bez komplexní znalosti své sítě, a tak mohou pomoci komukoliv.
Jedním z těchto kroků je mít přehled o zabezpečení vzdáleného přístupu ke své síti. Jinými slovy, je důležité vědět, kdo se k vám připojuje a proč, popřípadě znemožnit přístup do sítě těm, kteří v ní nemají co pohledávat. Zvýšit bezpečnost sítě může pomocí 802.1x autentizace a autorizace libovolný technik, stejně tak pomůže s nasazením řešení pro řízení přístupu k síti (NAC) a šifrováním dat při přenosu uvnitř sítě. NAC zajistí autorizaci uživatelů, pak je třeba ochránit data při samotném přenosu. Toho můžete docílit nasazením šifrovaných protokolů, jako jsou IPSec, PPTP nebo SSL.
Dalším krokem je ochrana sítě před malwarem. S tím pomůže licencovaný firewall od profesionální bezpečnostní společnosti, není dobré spoléhat pouze na integrovaná řešení ve firmwaru, která dodávají výrobci. Ochrana routerů a jiných přístupových bodů v tomto směru není dokonalá, rozhodně nezastaví alespoň trošku šikovného zločince od cíleného útoku, ale postačuje, pokud se zaměstnanec rozhodne otevřít nakaženou přílohu běžně rozesílaných malware zpráv. Doporučení bezpečnostních expertů se shodují, střední a velké firmy by rozhodně měly využít komplexních služeb, které bezpečnostní IT firmy nabízejí. Jinými slovy, mít ochranu od jednoho specializovaného poskytovatele. Jednotná a unifikovaná řešení jsou často lépe vybalancovaná než složitá bezpečnostní architektura složená z produktů mnoha společností.
Posledním z kroků je pak kontinuální správa bezpečnosti a zavedení jednotné bezpečnostní politiky. Vypořádání se s těmito aspekty sice začíná na úrovni samotné firmy, ale nakonec leží na bedrech každého jednotlivého uživatele. Zaměstnanci by měli vědět o hrozbách, které jejich společnost trápí, obeznámenost a jejich vzdělání je v tomto směru základní předpoklad. Tam, kde vzdělávání nepřinese kýžené ovoce, musí nastoupit kontrola. Jednou z možností, kterou firmy pro správu bezpečnosti mají, je technologie na západě označovaná jako MDM neboli Mobile Device Management. Tu dnes do svých smluv a plánů implementují všechny velké komunikační společnosti. Jde o určitý typ bezpečnostního softwaru, který slouží k monitoringu, správě a zabezpečení mobilních zařízení zaměstnanců firmy, tedy jakási nadřazená bezpečnostní platforma, která funguje nezávisle na tom, jaký typ zařízení, výrobce nebo operátora využívají.
V rámci otevřené firemní politiky známé jako BYOD (Bring Your Own Device neboli „Přines si své vlastní zařízení“) je MDM schopné kontrolovat, která zařízení mají jaké stupně oprávnění přístupu do sítě, a do jisté míry i ovlivňovat, co uživatelé na svých zařízeních mohou dělat. V mnoha případech dovoluje posílat upozornění na novější verze aplikací a firmwaru, kontroluje licence, jejich nastavení a autorizaci, sleduje odesílaná a přijímaná data a také uděluje aplikacím oprávnění.
Pokud tedy zaměstnanec přinese do firmy zařízení s nainstalovanou aplikací ve verzi, o které databáze vědí, že představuje bezpečnostní riziko, zařízení nebo samotnou aplikací systém updatuje, popřípadě zcela izoluje od firemní sítě. Nic na světě ale není dokonalé, a tak už se několikrát stalo, že hackeři ke svému prospěchu zneužili samotou MDM platformu. Pokud je však zabezpečená a společnost se o svou vnitřní síť stará, je riziko průniku minimální.
A co může pro bezpečnost udělat samotný uživatel?
Firma může mít tu nejlepší kontrolu nad svou sítí, ale konečnou zodpovědnost za bezpečnost svých i firemních dat nese zaměstnanec. Jak už to tak ale bývá, člověk je nejslabším článkem tohoto řetězu, a tak ke většině potíží vede cesta právě přes nepozorného uživatele. Shrňme si, co může každý z nás na mobilním zařízení udělat, aby naše virtuální identita a data byla v bezpečí.
Zaheslujte své zařízení. Ačkoliv jde o snadný krok, moderní biometrická hesla, například při otisku prstu, je pro útočníky často obtížné překonat. Opět se doporučuje zabezpečit telefon či tablet více úrovněmi, kombinací složitého hesla se speciálními znaky a biometrickou autentizací. Už taková drobnost mnoho útočníků odradí od dalších pokusů.
Používejte veřejné sítě jen velmi obezřetně. Sítě, o jejichž bezpečnosti se můžete jen dohadovat, mohou být vstupním bodem do zařízení, kterým pak přinesete do sítě firemní i to, po čem netoužíte. Snažte se připojení na veřejné sítě co nejvíce omezit.
Instalujte jen ověřené a certifikované aplikace a nikdy ty, které se nacházejí na webech třetích stran. Vezměte v úvahu, že ani Google to s bezpečností na své platformě Play nepřehání a zdejší aplikace mnohdy obsahují adware. Používáte-li firemní zařízení, dávejte si pozor i na takové appky, které se tváří důstojně, ale mohou odesílat data do oblastí, kde mohou být zneužita. To se týká především sociálních sítí. Podobné zábavné programy raději používejte na vlastním, domácím zařízení.
Aplikace pravidelně aktualizujte, stejně tak firmware zařízení a jeho operační systém. Android s rok starými záplatami je asi tak bezpečný, jako je antivirový program s rok starými databázemi užitečný.
S bezpečnostní svých dat, ať už osobních, nebo firemních vám mohou pomoci cloudová úložiště. Ta jsou často chráněna lépe než firemní úložiště a k údajům zde uloženým můžete mít přístup odkudkoliv. Obecně však platí, že na veřejném cloudu by citlivá firemní data být uložena neměla, pokud ho tedy k těmto účelům nevyužívá samotná firma.
Zabezpečení mobilních zařízení nemusí být ze strany uživatele náročné, ale je třeba o něj dbát neustále. Žijeme v době, kdy kromě svého vlastního okolí a bezpečí musíme mít na paměti i bezpečí zařízení, která nosíme po kapsách. Jejich bezpečí může být dokonce křehčí než naše vlastní.
