Защита мобильных платформ – новейшие угрозы информационной безопасности

Размещено на http://www.allbest.ru/

23

Размещено на http://www.allbest.ru/

Реферат

на тему

Защита мобильных платформ - новейшие угрозы информационной безопасности

Введение

мобильный программный телефон защита

За последние годы использование мобильных устройств в корпоративной среде набирает всё большую популярность. Количество мобильных устройств, эксплуатируемых работниками различных организаций, возросло многократно. Переход пользователей и бизнеса на мобильные устройства практически неизбежен. Так, по оценкам Gartner , количество мобильных устройств, используемых в корпоративной среде, непрерывно увеличивается, и по прогнозам к 2015 году почти половина используемых в бизнесе устройств будет относиться к мобильным.

Рис. 1. График роста количества мобильных устройств в корпоративной среде.

Количество вредоносного кода и выявляемых уязвимостей в мобильном коде так же растет год от года практически с геометрической прогрессией.

В связи с высокой популярностью устройств компании Apple, где jailbreak стал достаточно популярным способом обхода правил установки приложений только через Apple AppStore, устройств на платформе Android -- в котором получение root-прав делается в пару прикосновений, проблема установки приложений из недоверенных источников, и, как следствие, увеличение вероятности непреднамеренного внедрения вредоносного кода на мобильное устройство, актуальна как никогда.

В условиях все большего вовлечения смартфонов и планшетов в бизнес-процессы организаций управление мобильными устройствами становится важнейшей задачей. Движущей силой «мобилизации» для большинства пользователей в первую очередь выступает возможность доступа к корпоративным информационным ресурсам организации. Стремление руководства удовлетворить данную бизнес-потребность своих сотрудников порождает ряд проблем с точки зрения информационной безопасности.

Проблема усугубляется так же тем, что значительное количество используемых устройств являются личными, а это означает, что работник может обращаться с ним как угодно.

1. ОБЗОР ОСНОВНЫХ УГРОЗ МОБИЛЬНЫХ УСТРОЙСТВ

В условиях все большего вовлечения смартфонов и планшетов в бизнес-процессы организаций управление мобильными устройствами становится важнейшей задачей. Движущей силой «мобилизации» для большинства пользователей в первую очередь выступает возможность доступа к корпоративным информационным ресурсам организации. Стремление руководства удовлетворить данную бизнес-потребность своих сотрудников порождает ряд проблем с точки зрения информационной безопасности:

· нарушение конфиденциальности информации в результате кражи или утери устройства;

· нарушение конфиденциальности информации в результате доступа посторонних лиц к устройству, оставленному без присмотра;

· доступ к конфиденциальной информации внешних нарушителей посредством использования вредоносного программного кода;

· хищение информации работником, имеющим легитимный доступ к информации и хранящий эту информацию на своем устройстве (путем отправки через личную почту, выкладывания в dropbox и проч.).

Все выше описанные проблемы в сочетании с активным проникновением мобильных устройств в корпоративную среду приводят к необходимости решения ряда задач:

· разработка политик управления мобильными устройствами, как выдаваемыми своим сотрудникам самими организациями, так и приобретаемыми сотрудниками самостоятельно на свои средства;

· обеспечение соблюдения политик и регламентов использования этих устройств, предоставление доступа, развертывание и обновление приложений;

· обеспечение соблюдения политик и регламентов использования мобильных устройств с технической точки зрения;

· оказание дальнейшей поддержки пользователям.

1.1 ПОТЕРИ ДАННЫХ, СВЯЗАННЫЕ С УТРАТОЙ МОБИЛЬНЫХ УСТРОЙСТВ

«В этом году будет утрачено 10 млн телефонов, включая более 900 тыс. смартфонов», -- считает Билл Хьюс, основной аналитик In-Stat.

«Столица охвачена эпидемией преступлений, связанных с мобильными телефонами, -- сообщила CNews председатель Комитета по безопасности Мосгордумы Инна Святенко. -- На встречах с председателями родительских комитетов постоянно подчеркивается не только факт повального воровства и грабежей мобильных телефонов у школьников, но и причинения им тяжких увечий. У этой проблемы два аспекта. Во-первых, операторы не хотят взаимодействовать с правоохранительными органами, ссылаясь при этом на наиболее ”удобные“ для них законы и игнорируя остальные. Во-вторых, сотовые телефоны в Москве -- уникальный по ликвидности товар, который можно мгновенно сбыть с рук. Назрела необходимость упорядочения торговли подержанными аппаратами».

В октябре 2008 года был анонсирован выход NeoPwn -- телефона на базе Neo FreeRunner. Основной особенностью данного телефона является режим Pwn, в котором происходит поиск уязвимостей Bluetooth и Wi-Fi. Аппарат оснащен большим набором атакующего софта, включая Metasploit и Airhack. NeoPwn доступен в различных конфигурациях и стоит от 699 долл. Также можно приобрести программный пакет NeoPwn без самого телефона по цене от 79 долл. (http://www.neopwn.com).

Сегодня аппаратные средства стоят во много раз меньше, чем информация, содержащаяся на устройстве. Утраченные данные могут привести к потере репутации, потере конкурентоспособности и потенциальным судебным тяжбам.

Во всем мире уже давно вопросы шифрования данных регулируются соответствующими законодательными актами. Например, в США закон U.S. Government Information Security Reform Act (GISRA) требует обязательного шифрования данных для защиты конфиденциальной информации, принадлежащей правительственным органам. В странах ЕС принята директива European Union Data Privacy Directive. Канада и Япония тоже имеют соответствующие инструкции. Все эти законы предусматривают серьезные штрафы за утрату персональной или корпоративной информации.

Как только ваше устройство похищено (утеряно), ваши данные могут быть утрачены вместе с ним. Для запрета несанкционированного доступа к данным можно использовать две технологии:

· удаленное стирание данных;

· шифрование данных.

Данные могут быть стерты удаленно по специальной команде стирания или автоматически из-за нарушения политики безопасности (превышения количества неудачных входов в систему). Следует учесть, что удаленная команда стирания далеко не всегда эффективна, так как она не может быть передана, если устройство не подключено к Интернету или к беспроводной сети. В таком случае шифрование обеспечит куда более надежную защиту для ваших данных.

Кроме того, не стоит забывать о такой опасности, как несанкционированный доступ к данным во время ремонта (в том числе гарантийного) либо продажи устройств, бывших в употреблении.

1.2 ЗАРАЖЕНИЕ ВРЕДОНОСНЫМ ПО

Опасность вредоносного ПО на обычных ПК стала уже привычной. Сегодня для вирусописателей все более привлекательными становятся мобильные устройства. Перспективы распространения вредоносного ПО для мобильных устройств создают серьезные риски для корпоративных пользователей.

Встроенные возможности по управлению почтовыми и текстовыми сообщениями делают данные устройства чрезвычайно привлекательными для злоумышленников. Используя Wi-Fi и Bluetooth, вредоносное ПО потенциально может распространяться внутри образованной ими одноранговой сети. Не стоит забывать еще об одной проблеме -- о спаме! У пользователей, которые отвлекаются на присылаемые SMS, значительно снижается производительность труда. На рынке мобильной связи наблюдается устойчивая тенденция повышения уровня «интеллекта» средств мобильной связи. Резко увеличивается число смартфонов, что вполне естественно стимулирует рост числа проблем, ранее присущих только ПК. Вирусы, спам, шпионское и рекламное программное обеспечение -- увы, распространение подобного ПО -- это только вопрос времени. Вместе с тем стоит отметить, что сегодня смартфоны гораздо хуже защищены от вредного воздействия. О данной проблеме заговорили еще в июне 2004 года, после появления вируса Cabir для ОС Symbian. Причина вполне естественна -- количество вирусов для мобильных устройств так же, как когда-то вирусов для ПК, сегодня исчисляется несколькими десятками.

Большинство известных вирусов для смартфонов относится к классу троянских программ и использует для реализации своей функциональности уязвимости ОС.

Кроме того, существуют мобильные вирусы-черви. Типичный пример -- Worm.SymbOS.Cabir.a, известный в других классификациях как SymbOS/Cabir.b (McAffe), SymbOS.Cabir.B (Symantec), SymbOS_CABIR.A (Trend Micro) или SymbOS/Cabir.A.worm (Panda). Это был первый сетевой червь, распространявшийся через Bluetooth.

Новые вирусы для мобильных устройств появляются примерно раз в месяц. Вместе с тем стоит отметить, что небезопасность мобильных устройств обусловлена в первую очередь человеческим фактором, а защищенность операционных систем не внушает доверия. Так, сегодня аппараты под управлением ОС Symbian очень легко вывести из строя. В соответствии с прогнозами экспертов защититься от мобильных вирусов большинству владельцев портативных устройств будет довольно трудно…

Другие возможные угрозы включают троянов в играх, заставках (screensavers) и других приложениях, приводя к ложному выставлению счетов, нежелательному раскрытию сохраненной информации, удалению, разрушению, изменению или хищению пользовательских данных. Подобные программы также могут использоваться для подслушивания и неправомочного доступа к корпоративным сетям. Сегодня вредоносное ПО создается уже не ради известности или удовлетворения любопытства, а для получения прибыли. Например, удаленный доступ, организованный с помощью троянского ПО и keylogger, позволяет скачать конфиденциальную информацию и т.д. Наиболее опасные вредоносные программы для мобильных телефонов создаются организованными преступными группами. В мире ПК спам- и онлайн-преступления уже приводят к многочисленным вспышкам вирусов. То же ожидает и мобильный мир. Наиболее вероятный сценарий развития событий состоит в том, что мобильные спамеры распространят вирусы, которые заразят большое количество телефонов. Затем зараженные телефоны будут рассылать SMS-спам и мультимедийные сообщения по всем номерам, имеющимся в их телефонных книгах, а владельцам телефонов придется все это оплачивать. По сообщениям McAfee, число подобных вирусов увеличивается на порядок быстрее по сравнению с аналогичными программами для персональных компьютеров. Кроме того, вредоносные программы для мобильных телефонов представляют куда большую угрозу, чем их компьютерные собратья. Статистические данные свидетельствуют о том, что программное обеспечение, необходимое для защиты мобильных телефонов от неблагоприятных внешних воздействий, не пользуется популярностью среди пользователей.

Какую опасность современные вирусы представляют для смартфона? Вирусы могут:

· незаметно для пользователя провести массовую рассылку SMS и MMS, за которые абоненту придется платить; несанкционированно звонить на платные номера;

· уничтожить данные пользователя (телефонная книга, файлы и т.д.) или похитить конфиденциальную информацию;

· заблокировать функции телефона (SMS, игры, камеру и т.д.) или аппарат в целом;

· разряжать аккумулятор телефона в несколько раз быстрее обычного;

· рассылать от вашего имени всеми возможными способами (e-mail, Wi-Fi, Bluetooth и т.д.) зараженные файлы;

· при синхронизации смартфона с компьютером переслать на ПК деструктивный код.

Способы проникновения вируса на смартфон:

· через Bluetooth-соединение;

· вместе с MMS-сообщением;

· при загрузке в смартфон ПО из ненадежного источника.

Каким мобильным телефонам могут вредить вирусы? Главным условием для начала вирусной эпидемии на мобильных устройствах является открытость платформы операционной системы и разнообразие предлагаемых ею функциональных возможностей. Стоит учесть, что в данном плане между основными популярными платформами смартфонов нет серьезных различий. Крупномасштабная вспышка вируса на открытой платформе возможна при наличии следующих условий:

· достаточное количество терминалов данной платформы, чтобы стать интересной целью для авторов вирусов;

· множество функциональных возможностей для действий вируса;

· возможность соединения для распространения вируса.

Заражению вирусом подвержены не только смартфоны. «Лаборатория Касперского» обнаружила вредоносные программы, способные заражать мобильные телефоны с поддержкой технологии Java (J2ME). В последние годы эта платформа устанавливается на все аппараты, поскольку с ее помощью запускаются приложения и игры. Оказавшись в мобильнике, троянец начинает рассылать сообщения на некоторые платные мобильные сервисы. При этом со счета пользователя снимается 5-6 долл. (вирус Redbrowser).

1.3 ВЗЛОМ МОБИЛЬНЫХ УСТРОЙСТВ

В дополнение к спаму и вредоносному ПО мобильные устройства могут быть подвергнуты обычному взлому с целью прекратить работу устройства. Как только произойдет атака подобного рода, ваш мобильный помощник просто перестанет работать!

2. Обзор средств защиты мобильных платформ

Как известно, безопасность обеспечивается совместными усилиями людей, процессов и технологий. Для защиты мобильных устройств и корпоративных сетей от потери данных (производительности) руководство организации должно предпринять следующие действия:

· создать в организации понятную политику использования мобильных устройств;

· определить порядок аутентификации пользователей и устройств для доступа к данным;

· зашифровать все данные;

· обеспечить защищенные соединения для доступа к данным;

· создать правила для межсетевого экрана и системы обнаружения вторжения для защиты от взлома;

· установить защиту от вредоносного ПО на мобильных устройствах;

· обеспечить централизованное управление этой защитой;

· обеспечить понимание пользователями необходимости мер безопасности.

2.1 ПОЛИТИКА ИСПОЛЬЗОВАНИЯ МОБИЛЬНЫХ УСТРОЙСТВ В ОРГАНИЗАЦИИ

В организации должна быть создана понятная политика безопасности мобильных устройств, скоординированная с ИТ-отделом, юристами и отделом HR.

Стоит учитывать, что помимо мобильных устройств, принадлежащих организации, сотрудники будут пользоваться и собственными. Так что политика безопасности по применению мобильных устройств должна быть однозначной независимо от принадлежности устройств.

Для построения политики безопасности необходимо точное знание типа и модели устройств, используемых в организации. Проанализировав применяемые типы устройств, администратор безопасности сможет разобраться в дефектах их системы защиты, а следовательно, составит более четкое представление о том, какие именно действия необходимо предпринять для надежной защиты корпоративной сети.

2.2 АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ И УСТРОЙСТВ ДЛЯ ДОСТУПА К ДАННЫМ

Мобильные устройства должны быть защищены с помощью устойчивой аутентификации, то есть мобильное устройство должно с момента включения питания надежно идентифицировать пользователя.

Стоит учесть, что централизованное управление процессом идентификации позволяет управлять политикой идентификации всех пользователей. В идеале ИТ-администратор должен иметь возможность установить глобальную политику, которая будет применима ко всем устройствам из одного места.

Решение для мобильной аутентификации должно предоставить администраторам возможность принудительно устанавливать политику аутентификации. Например, администратор должен быть способен предотвратить попытки входа в систему путем подбора пароля. При этом администратор должен иметь возможность выбора ответа на множественные отказы входа в систему типа:

· перезапустить мобильное устройство, а затем потребовать от пользователя ввести пароль включения питания для продолжения загрузки устройства;

· требовать административного входа в систему для разблокирования устройства;

· удалить все данные из мобильного устройства и любой вставленной в него карты памяти и восстановить заводские настройки по умолчанию.

Для достижения максимальной защиты данные могут быть стерты, даже если беспроводная сеть устройства выключена и устройство не может связаться с администратором.

2.3 ШИФРОВАНИЕ УСТРОЙСТВА

Шифрование является наиболее эффективным способом защиты данных при потере или краже устройства. Оно должно распространяться на флэш-карты, а также на всю возможную информацию, включая контакты, календари и т.д. При этом администратор должен иметь возможность конфигурировать устройство таким образом, чтобы зашифровать и сам используемый алгоритм шифрования.

Фактически устойчивость любой системы шифрования определяется применяемым алгоритмом шифрования. В данный момент наиболее распространены алгоритмы AES (Advanced Encryption Standard) и более ранний 3DES (Triple Data Encryption Standard).

Вместе с тем стоит учесть, что при увеличении длины ключа возрастает потребляемая мощность, а следовательно, сокращается срок службы аккумулятора, то есть ИТ-администратор должен уметь выбрать наиболее подходящий алгоритм шифрования 3DES и AES и соответствующую длину ключа в 128, 192 или 256 бит. При этом необходимо остановиться на том алгоритме (и длине ключа), который позволит соответствовать политике безопасности с минимальными затратами. Поскольку технология шифрования потребляет ресурсы центрального процессора, памяти и батареи, следует шифровать только то, что действительно необходимо.

При этом централизованное управление в идеале должно обеспечивать возможность восстановления зашифрованных данных пользователя в случае, если он забыл пароль шифрования.

2.4 БЕЗОПАСНОЕ СОЕДИНЕНИЕ ДЛЯ ДОСТУПА К ДАННЫМ

Помимо шифрования данных на устройстве требуется их безопасная передача, а именно шифрование электронной почты, данных, передаваемых по беспроводным сетям, и т.д. Для выполнения этого условия можно применить либо протокол SSL, либо VPN-решения. Однако стоит учесть, что использование SSL не потребует установки дополнительного клиентского ПО, а решение на базе VPN может оказаться относительно дорогим и потребует расхода ресурсов центрального процессора, а значит, уменьшит срок службы батареи из-за расхода на работу дополнительного клиентского ПО.

Установка защиты от вредоносного ПО на мобильных устройствах

Необходимо предусмотреть защиту мобильного устройства от вредоносного ПО так же, как защищаются рабочие станции и ноутбуки, ведь мобильные устройства используют сети, находящиеся вне периметра предприятия, но в момент соединения с корпоративной сетью могут заразить ИТ-системы. Таким образом, мобильные устройства нуждаются в программном обеспечении по защите от вредоносного кода.

Программное обеспечение, применяемое для защиты мобильных устройств, будет блокировать вредоносное ПО еще на этапе установки. Однако для большей эффективности такое ПО должно регулярно обновляться при условии минимального вмешательства со стороны пользователя и администратора.

Для усиления безопасности защита мобильных устройств должна обеспечиваться в реальном времени. При этом необходима защита самого устройства и внешних флэш-карт, в случае если они подсоединены к устройству. Также должна быть предусмотрена функция ручного сканирования с возможностью проверки Cab- и Zip-архивов.

2.5 МЕЖСЕТЕВОЙ ЭКРАН

Оптимальное решение для настройки межсетевого экрана должно иметь удобный в работе интерфейс, чтобы можно было легко установить соответствующую политику.

Наиболее подходящим вариантом является возможность выбора администратором одного из заданных по умолчанию уровней защиты:

· Low -- разрешить весь входящий и исходящий трафик;

· Medium -- разрешить весь исходящий трафик, однако запретить входящий;

· High -- блокировать весь входящий и весь исходящий трафик.

Кроме того, это решение должно позволить администратору определять список исключений, чтобы можно было отменить параметры настройки уровня защиты для соответствующего приложения.

2.6 ЦЕНТРАЛИЗОВАННОЕ УПРАВЛЕНИЕ

Наличие централизованного управления снизит сложность настройки мобильных устройств, ведь, как правило, мобильные устройства используются вне офиса. Централизованное управление гарантирует, что все мобильные устройства используют одну и ту же версию программного обеспечения, позволяет удалить несанкционированные приложения. Кроме того, централизованное управление облегчает процесс распространения программного обеспечения и обновлений.

Вместе с тем данные, содержащиеся на устройстве, должны быть удалены в случае, если происходят некоторые предопределенные события типа множественных неправильных попыток входа. Данные должны быть успешно удалены, даже если устройство отсоединено от сети и злоумышленник сменил sim-карту.

Не забудьте о необходимости обучать пользователей, вовлеченных в процесс работы с мобильными устройствами.

3. Обзор безопасности основных мобильных платформ

В Apple iOS. Исторически начала развиваться из Apple OS X 10.4, ядро которой, носящее название Darwin, включало в себя компоненты операционных систем Unix и BSD. Также OS X является высокозащищенной серверной операционной системой, сертифицированной OpenBrand как Unix 03 (актуальный сертификат здесь). Несмотря на то, что iOS не является серверной операционной системой, и даже не поддерживает работу ни на каких платформах кроме ARM, подходы к безопасности системы в целом, заложенные в ней, дублируют решения материнской ОС -- OS X, что практически исключает в этой ОС наличие системных проблем в безопасности, которыми так славится, к примеру, Android. Более того, встроенный в процессор крипточип, обеспечивающий механизмы шифрования и работу с электронной подписью, очень крепко связывает iOS с аппаратной платформой. Именно этим объясняется тот факт, что производством процессоров для iPhone, iPad и iPod Touch занимается сама Apple несмотря на то, что производством остальных компонентов и итоговой сборкой заняты сторонние производители -- Foxconn, Quanta и Pegatron. Именно поэтому в настоящее время iOS является самой защищенной из мобильных операционных систем.

RiM PlayBook от известного "ежевичного" производителя использует операционную систему BlackBerry Tablet OS, основанную на разработке другого канадского производителя -- QNX, базирующейся на UNIX операционной системе реального времени Neutrino. Несмотря на то, что выбор операционной системы реального времени кажется сомнительным сам по себе, материнская ОС закладывает очень высокие стандарты безопасности, что, кстати, косвенно подтверждает и целевая аудитория планшета -- корпоративный сектор.

Google Android. Эта платформа появилась, как результат портирования для мобильных ARM-решений современной реализации Linux (хотя затем появилось решение и доя х86 архитектуры). Открытость ОС, изобилие средств для разработки сделали свое дело -- платформа стала очень популярной, однако именно ее открытость и привела к тому, что, с одной стороны, существовала возможность проведения анализа уязвимостей самой ОС, с другой, - постоянные дрязги с правообладателем технологий Java, корпорацией Oracle (Sun), привела к тому, что изготовителю Android, поисковому гиганту Google приходило полностью перерабатывать значительные компоненты операционной системы. Еще одной особенностью, влияющей на безопасность ОС, является ее фрагментированность: если последняя версия iOS 5.1 установлена практически на всех i-устройствах, то для Android характерна ситуация, при которой телефоны и планшеты старше одного года с большой долей вероятности обновления операционной системы не получают, как следствие, не получают и различных "заплаток" и иных мер защиты.

Рассмотрим безопасность двух наиболее распространенных мобильных платформ для планшетных компьютеров -- iOS и Android сравнительно.

Если говорить кратко, у iOS проблем с безопасностью нет, а вот у Android их очень и очень много. И эти проблемы можно условно разделить на две группы: уязвимости и вредоносное ПО. Уязвимости есть у любых систем, более того, они выявляются и продолжают выявляться и под Windows, Mac OS X, UNIX. К примеру, именно поиск и эксплуатация уязвимостей дает возможность устанавливать на iOS сторонние приложения посредством процедуры джайлбрейка. Однако эта процедура необычайно сложна и с каждым поколением операционной системы становится все сложнее и сложнее: так, взлом iPad 2 был произведен за 4 месяца, и этот срок все увеличивается. Боле того, появилась выраженная фрагментированность в используемых уязвимостях -- то, что подходит для одного устройства, может не подходить для другого. Можно говорить об однозначном росте безопасности платформы iOS в целом.

Вся информация о том, что под iOS появились вирусы и т.д., касалась только взломанных Jailbreak'ом систем. Таким образом, единственная возможность искусственно снизить безопасность iOS -- это добровольно от нее отказаться, выполнив для этого целый ряд технических процедур ("танцы с бубном"). И вот счастливый обладатель взломанной iOS может после этого рапортовать об отправке платных SMS-сообщей и прочих сомнительных удовольствиях. Владельцы же Android-планшетов могут испытывать подобные радости жизни всегда - с момента покупки устройства. Для того же, чтобы этого не происходило, практически все производители продуктов и систем безопасности -- Касперский, Symantec и др. выпускают собственные решения, но за отдельную плату.

Стоит упомянуть и возможность установки в Android-устройствах приложений их произвольных источников в противовес iOS-шению в виде использования централизованного репозитория приложений AppStore, в который приложения могут попасть только после предварительного их одобрения изготовителем устройства -- компаний Apple. Рассматривая по аналогии с Windows, какие приложения ставишь, такие получаешь проблемы. Отдельную лепту в вопрос снижения безопасности платформы Android вносят и производители устройств, которые повышают маркетинговую привлекательность собственной продукции, устанавливая на систему программное обеспечение собственной разработки. Зачастую это ПО обладает собственными уязвимостями. Однако бывают и более вопиющие факты, когда предустановленное вендорами ПО осуществляет функции сбора и передачи личной информации о пользователе.

Таким образом, Google Android на текущий момент - система с выраженно низким уровнем безопасности. Более того, пользователь получает в руки инструментарий для того, чтобы снизить безопасность еще сильнее. Это -- одна из главных причин того, что Android является откровенно непривлекательной платформой для разработки корпоративного программного обеспечения ввиду высокого уровня рисков утраты либо хищения данных, способных нанести ущерб как непосредственно пользователю устройства, так и компании в целом.

В заключение хотелось бы привести данные из июльского доклада компании Symantec под названием «Окно в мобильную безопасность: оценка подходов к безопасности в платформах Apple iOS и Google Android» ("A Window into Mobile Device Security: Examining the security approaches employed in Apple's iOS and Google's Android"). Отчет представляет собой детальную техническую оценку двух доминирующих мобильных платформ: iOS компании Apple и Android компании Google -- с целью помочь корпоративным заказчикам понять риски безопасности в связи с использованием этих систем в корпоративной сети.

Рис. 2. Сравнение безопасности iOS и Android

4. ОТЕЧЕСТВЕННЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ МОБИЛЬНЫХ ПЛАТФОРм

На российском рынке стали появляться отечественные продукты по защите мобильных платформ, которые либо уже сертифицированы регуляторами, либо находятся в процессе сертификации, либо могут быть сертифицированы. К таким продуктам можно отнести (в порядке вспоминания мной):

· Kaspersky Mobile Security - продукт Лаборатории Касперского для защиты Android, Blackberry, Symbian и Windows Mobile.

· S-Terra VPN Client for CIUS - продукт S-Terra для защиты Cisco CIUS на платформе Android.

· ViPNet Client - VPN-клиенты Инфотекса для платформ iOS и Android .

· "Континент-АП" для iOS - VPN-клиент Информзащиты для своего Континента для платформы iOS.

· Safephone - продукт НИИ СОКБ и Газинформсервиса для защиты платформы Symbian (iOS будет в первой половине 2012 года, а Android - во второй).

· Green-Head - продукт одноименной отечественной компании для платформ (в зависимости от функционала) Android, Blackberry и Symbian.

И немного особняком стоят отечественные продукты для защиты мобильной связи:

· Voice Coder Mobile - продукт Сигнал-КОМа для защиты речевого сигнала на платформе Windows Mobile.

· Специальные сотовые телефоны М-500 и М-633С - готовые мобильные телефоны НТЦ "Атлас" для защиты речевого сигнала. Ориентированы на госорганы.

Заключение

В ходе данной работы, мы рассмотрели основные типы угроз мобильным устройствам, показали актуальность данной темы, ведь жизнь современного человека невозможно представить без мобильных устройств.

В завершение можно сказать, что для корпоративного применения желательно использовать одну и ту же платформу (а лучше -- одинаковые устройства) с установленным ПО корпоративного класса, которое можно конфигурировать и обновлять централизованно. Из текста статьи очевидно, что необходимо разработать и внедрить политику ИБ в отношении мобильных устройств, осуществлять проверки ее исполнения и обязательно использовать Exchange-сервер для задания политик EAS. В данной статье не была рассмотрена BlackBerry OS (ввиду практически полного отсутствия на российском рынке), однако стоит отметить, что данная платформа является корпоративным стандартом во многих странах мира.

Список литературы

1. http://www.compress.ru/article.aspx?id=19761&iid=909

2. http://www.leta.ru/services/information-security/mobile-security.html

3. http://support.kaspersky.ru/mobile

4. http://www.xakep.ru/post/57058/

5. http://www.osp.ru/os/2011/09/13011558/

6. http://www.securitylab.ru/blog/personal/Business_without_danger/20308.php

Размещено на Allbest.ru