Hirdetés
. Hirdetés

Biztonságos mobilitás

|

Növelik a termelékenységet és kiterjesztik a vállalati erőforrásokat az irodán kívülre a mobileszközök, használatuk azonban olyan, korábban nem létező biztonsági veszélyekkel jár, amelyek speciális intézkedéseket igényelnek.

Hirdetés

Kulcsszó lett a mobilitás a vállalatoknál: a céges erőforrásokhoz való helytől független hozzáférés természetes igénnyé vált mind a szervezetek, mind az alkalmazottak körében. Sok vállalatnál vezetnek be a munkavállalók saját eszközeinek használatát szabályozó BYOD-előírásokat, vagy alkalmaznak hibrid megközelítést, amikor is az alkalmazottak saját és céges tulajdonú eszközöket egyaránt használnak a munkavégzéshez. A „hozott” eszközök biztonságossá tétele, a legkülönfélébb mobil operációs rendszerek támogatása komoly kihívások elé állítja az IT-részlegeket.

Hirdetés

BYOD-aggályok
Amilyen hatalmas mértékben növekedett a mobileszközök használata az utóbbi években, olyan ütemben nőtt a kifejezetten ezeket támadó rosszindulatú programok száma. Ráadásul a mobilvírusok egyre fejlettebbek, mivel mind nagyobb haszonnal kecsegtet a mobileszközökön tárolt adatok megszerzése. A munkavégzéshez is használt mobileszközök kaput nyithatnak a rosszindulatú programok számára a vállalati hálózatokhoz. A korábban kiépített végpontvédelem és a kívülről történő jogosulatlan hozzáférést megakadályozó tűzfal mit sem ér, ha felügyelet nélküli okostelefonokkal és tabletekkel elérhetővé válnak az üzleti rendszerek és adatok.

További veszélyekkel jár, hogy az alkalmazottak saját eszközein vegyesen lesznek vállalati és személyes adatok. A bizalmas üzleti információk hatékony megvédéséhez elengedhetetlen ezek elkülönítése. Ha ugyanis egy alkalmazott távozik a cégtől, a saját eszközén tárolt vállalati adatokat szétválasztás esetén sokkal egyszerűbb eltávolítani úgy, hogy a művelet ne érintse a személyes információkat. Ugyancsak főhet a feje a rendszergazdáknak amiatt, hogy a BYOD bevezetésével egy rakás új platformot kell kezelniük. Az egyenként akár két-három mobileszközzel is rendelkező alkalmazottak a legkülönfélébb márkájú, típusú és operációs rendszerű berendezéssel járulnak hozzá a vállalati IT-infrastruktúra sokszínűségéhez.

Ez nem csupán azt jelenti, hogy olyan átfogó biztonsági megoldást kell bevezetniük, amely leegyszerűsíti a többféle platform kezelését, hanem azt is, hogy gondoskodniuk kell az eszközökön futó különféle mobil operációs rendszerek és alkalmazások rendszeres frissítéséről. Ugyanis a szoftverek nem javított sérülékenységeinek kihasználásával a hackerek ellenőrzést szerezhetnek a mobileszközök felett, s hozzájuthatnak többek között a vállalati hálózatba való bejelentkezésre szolgáló azonosítóhoz és jelszóhoz. Vagy akkor kerülnek illetéktelen kezekbe üzleti adatok, amikor egy megfertőzött mobileszközt tulajdonosa a vállalati számítógépével szinkronizálja.

 

Egy BYOD-t bevezető vállalatnál nyilvánvalóan előfordul az is, hogy az alkalmazottak otthoni számítógépükkel ugyancsak szinkronizálják mobileszközeiket. Ilyenkor a személyes dokumentumok, fényképek átmásolása mellett – akarva-akaratlanul – sor kerülhet vállalati adatok átvitelére is. Ez több szempontból aggályos. Egyrészt ha egy otthoni gép vírussal fertőzött, esetleg egy bothálózat része, vagy kijavítatlan sérülékenységei vannak, és bármikor áldozatául eshet egy támadásnak, a hackerek mintegy ajándékként jutnak hozzá értékes információkhoz.

Másrészt léteznek olyan többplatformos fenyegetések, amelyek képesek a számítógéphez USB-n keresztül csatlakoztatott mobileszközöket megfertőzni és onnan adatokat lopni. Ezért feltétlenül fontos annak meghatározása, hogy egy BYOD-ba bevont eszköz miképpen használható, és minden körülmények között gondoskodni kell a céges adatok védelméről. Akkor is, ha a mobileszköz elvész vagy ellopják, ami gyakran megesik a viszonylag kisméretű berendezésekkel.

Céges adatok védett konténerben
Nyilvánvaló az előbbiek alapján, hogy a BYOD-környezetekben speciális biztonsági intézkedéseket szükséges bevezetni. Mindenekelőtt a BYOD-ba bevont valamennyi informatikai eszközt védeni kell egy ismert gyártótól származó, megbízható vírusellenes megoldással. Nem véletlenül említjük a „megbízható” szót. Ez arra utal, hogy a szoftvernek a hagyományos vírusaláírás-alapú védelem mellett rendelkeznie kell heurisztikus és felhővel támogatott védelemmel is. Az utóbbi kettő képes megóvni az eszközöket az ismeretlen, új – úgynevezett nulladik napi vagy még ennél is frissebb – fenyegetések ellen, amelyeknek még nem készült el a lenyomata (aláírása). A heurisztika viselkedés alapján azonosítja a fenyegetéseket, a felhőalapú szolgáltatás pedig az antivírus-program más használóinak gépén tapasztalt rosszindulatú műveletek figyelésével rendkívül gyorsan tud reagálni a legújabb veszélyekre.

A vállalati és személyes információk, illetve alkalmazások fentebb említett teljes szétválasztása az egyik legfontosabb biztonsági óvintézkedés BYOD-környezetekben. Szóba jöhető módszer a virtualizáció – melynek során a mobileszközön két teljesen elkülönített virtuális rendszert hoznak létre –, de csak elméletben, mivel a mai okostelefonok és táblagépek nem rendelkeznek a folyamat megvalósításához szükséges teljesítménytöbblettel.

Ugyanakkor kivitelezhető és hatékony megoldást kínál az úgynevezett konténerizáció, amelynek során külön konténert hoznak létre a mobileszközökön az összes vállalati alkalmazás számára. Az ily módon különválasztott alkalmazások egymás között megosztott adataihoz a konténeren kívüli alkalmazások nem férhetnek hozzá. Ráadásul lehetőség van a konténerben lévő adatok és alkalmazások titkosítására, így egy újabb védelmi réteg alakítható ki, amely rendkívül megnehezíti a hackerek számára a mobileszközökön tárolt vállalati információkhoz való hozzáférést.

Többrétegű védelem MDM-mel
A mobileszközök használatával kapcsolatos biztonsági problémák átfogó kezelésére hivatottak a mobileszköz-felügyeleti (mobile device management, MDM) megoldások. Ezek lehetővé teszik és egységes felületükön megkönnyítik a rendszeradminisztrátorok számára többek között a biztonsági és más alkalmazások telepítését és eltávolítását (akár távolról történő végrehajtással), a vállalati hálózathoz való hozzáférést szabályozó előírások betartatását, az adatok titkosítását, az antivírus-programok beállítását, valamint a mobileszközök ellopása vagy elvesztése esetén a rajtuk lévő adatok törlését.

Többféle védelmi réteg hozható létre velük, amelyek együttes alkalmazásával jelentősen csökkenthető az adatvesztés valószínűsége.

Használható az MDM az olyan alkalmazottak kezelésére is, akik folyton-folyvást újabb és újabb, nem a munkájukkal kapcsolatos alkalmazásokat telepítenek okostelefonjukra. Mivel ezek egy részének használata biztonsági kockázatokkal járhat, az MDM segítségével lehetőség van az alkalmazások futtatásának korlátozására. Kétféle megközelítés alkalmazható: az egyik a feketelistára helyezetteken kívül minden alkalmazás futtatását engedélyezi, míg a másik alaphelyzetben minden alkalmazást blokkol, és csak a fehérlistán lévő appok futtatását engedi.

Az utóbbi kiverheti a biztosítékot a BYOD-ba bevont eszközöket használó alkalmazottak körében, mindazonáltal szükséges lehet az alkalmazása, ha igen kritikus adatok védelmét kell megvalósítani.

Mivel sokszor elég meglátogatni egy hackerek által feltört weboldalt ahhoz, hogy mobileszközünk megfertőződjön, a vállalati információk védelme érdekében szükség lehet a kockázatos, a nem kívánatos tartalmakat kínáló vagy a munkakörnyezetbe nem illő weboldalak blokkolására is az MDM segítségével.

Végső megoldásként törlés
Ugyancsak a mobileszköz-felügyelet feladata annak biztosítása, hogy az elveszett vagy ellopott eszközökön lévő adatok ne kerüljenek illetéktelen kezekbe. Ilyenkor megoldástól függően lehetőség van a mobiltelefon használatának blokkolására, üzenet megjelenítésére a képernyőn, amely arra kéri a megtalálót, hogy jutassa vissza jogos tulajdonosának az eszközt, illetve a mobil helyének felkutatására a beépített GPS-funkciók segítségével. Ezzel párhuzamosan történhet az eszközön tárolt adatok megsemmisítése, amely végrehajtható szelektív módon, amikor is a tulajdonos személyes adatait nem törlik.

Erre olyankor lehet szükség, ha nem biztos, hogy ellopták az eszközt, egyszerűen csak nem találja a használója, vagy ha egy alkalmazott kilépett a vállalattól. Egyébként jöhet a mindenre kiterjedő teljes törlés, amely gyári alapállapotába helyezi vissza az eszközt. Egyes megoldások a SIM-kártya cseréje esetén is képesek a távolról történő törlésre, így ez a lelepleződés elkerülésére gyakran alkalmazott trükk sem lehet akadálya a céges adatok megóvásának.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.