Мобильная безопасность в изменчивом мире

http://www.pcweek.ru/security/article/detail.php?ID=175807

Автор: Владимир Безмалый

08.07.2015

Во всем мире служащие все чаще используют собственные мобильные устройства на рабочем месте, а вне рабочего времени или места пользуются ими же для доступа к рабочей информации и корпоративному программному обеспечению (ПО).

По идее, это должно быть разрешено лишь на определенных условиях. То есть служащие могут использовать любую технику — смартфон, планшет, ноутбук или другое мобильное устройство — и получить доступ к корпоративной сети, пока и поскольку соглашаются на определенную политику. В действительности же часто оказывается, что им просто «доверяют».

Обеспечение безопасности мобильных устройств сегодня является одним из приоритетных направлений в сфере ИТ. Действительно, мобильные служащие могут работать когда угодно и где угодно (в том числе вне традиционного периметра корпоративной сети), что повышает их производительность. В связи с этим не удивляет растущий интерес к BYOD. Все популярнее становятся и облачные технологии, например Microsoft Office 365 и другие. Но при такой организации труда существующие средства управления доступом и обеспечения безопасности совершенно недостаточны. Организации нуждаются в специализированной политике мобильного доступа и средствах управления.

Сегодня более 80% приложений аутентифицируют пользователей по паролю, но это означает серьезные риски для предприятия. Смартфон или планшет могут украсть, его можно потерять, и что тогда?

Мобильные пользователи должны доказывать свое тождество не только с помощью пароля. Например, под контроль можно взять тип устройства, местоположение, характер активности и т. д. Соответственно, технологии безопасности должны учитывать разные контекстные факторы, чтобы оценить, действительно ли пользователь тот, за кого себя выдает.

Примером использования контекста в другой сфере может служить выявление ситуации, когда операция по платежной карте инициируется где-то в Африке, тогда как ее владелец, судя по недавним предшествующим операциям, не выезжал из Москвы. Банк непременно должен обратить на это внимание. Примерно так же должна действовать и система защиты мобильных устройств.

Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.

Реклама

One Response to Мобильная безопасность в изменчивом мире

  1. Oleg:

    Честно говоря, мне не очень нравятся методы защиты с помощью мониторинга. Наверное на сегодняшний день, в некоторых случаях это единственно возможный способ, но мне кажется, он рано или поздно приведёт к тому, что на мониторинг будут тратиться огромные ресурсы, как людские, так и финансовые, что в конечном итоге приведёт к снижению его эффективности либо к невозможности использования ввиду нехватки тех самых ресурсов.
    Для меня более приемлемым является использование более защищённых сервисов. Приведу пример.
    Все мы используем пластиковые платёжные карты. К конфиденциальной информации относятся номер карты, дата окончания действия и код CVV2/CVC2.
    Международные платёжные системы ( VISA, MasterCard и другие) разработали целый стандарт по безопасности (PCI DSS), который требует выполнять кучу рекомендаций и требований, в том числе и по мониторингу. Но при этом все конфиденциальные данные платёжной карты нанесены непосредственно на ней же!!! Я ещё удивляюсь, как это не додумались наносить на карту ещё и ПИН код, чтобы облегчить задачу при снятии денег в банкомате 🙂 Это тоже самое, как если бы мы оставляли ключи прямо в дверях машины, оставляли дверь распахнутой, но при этом решали бы сложную задачу, как защитить её от похитителей. Выставляли бы переносную камеру наблюдения, нанимали бы охранника, который будет следить за машиной и т.д. Абсурд…
    Почему не заменить дырявую систему на защищённую, которая на порядок снизит возможность мошенничества? Ведь в настоящее время есть множество средств, таких как многофакторная аутентификация и авторизация, 3-D secure и т.д. В конце концов постепенно перейти на принципиально новые технологии пластиковых карт, а не плодить версии стандартов, выполнение которых требует значительных людских ресурсов и при этом не гарантирует безопасность. Может начать с элементарных вещей? Например перестать наносить CVV2 непосредственно на карту, а выдавать его отдельно. Тем самым хотя бы защитить владельцев карт от кассиров магазинов, официантов и заправщиков…
    Я к тому, что всё должно свестись к тому, что если транзакция совершена, то это означает, что её провел хозяин карты или кто-то с его разрешения с вероятностью 99%, а не 50 на 50!

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: