Безопасность приложений, конечных точек
и мобильных решений

Например, это могут быть мобильные устройства, настольные компьютеры, виртуальные машины, встроенная аппаратура или серверы. Конечными точками также являются устройства Интернета вещей, такие как камеры, осветительное оборудование, холодильники, системы безопасности, интеллектуальные колонки и термостаты.

Предприятия становятся все более уязвимыми к атакам на конечные точки из-за роста мобильности рабочих ресурсов. Почему это происходит? Как правило, конечные точки находятся за пределами сетевого периметра безопасности, и за их защиту отвечают пользователи, которые часто допускают ошибки. Защита конечных точек от атак осложняется по мере того, как рабочие места становятся все более распределенными, а сотрудники все чаще работают на корпоративных устройствах из разных точек мира.

Уязвимы компании всех размеров. Согласно докладу Verizon, по результатам расследования нарушений безопасности данных 43 % кибератак направлены на малые предприятия. Небольшие компании становятся приоритетными целями, так как они часто не защищены от кибератак в должной мере и позволяют злоумышленникам проникнуть в системы более крупных предприятий.

Любая информация, которая хранится на компьютере, должна быть защищена не только от несанкционированного доступа и физических воздействий, но и от вредоносных программ.

Безопасность конечных точек охватывает целый спектр систем, стратегий и решений. Вот некоторые из них:

Но в основном для защиты конечных точек могут быть использованы различные решения, включая антивирусные средства защиты от вредоносных программ, решения для предотвращения потери данных и брандмауэры (межсетевые экраны). Пожалуй, самым распространенным средством безопасности эндпоинтов остаются традиционные программы для защиты от вирусов и вредоносного ПО, которые не позволяют злоумышленникам причинять вред устройствам, сетям и сервисам.

Примеры антивирусных программ: Bitdefender, Kaspersky, Norton, Avira.

На самом деле средства обеспечения безопасности эволюционируют и теперь включают более эффективные облачные и комплексные решения, помогающие обнаруживать угрозы, исследовать и нейтрализовывать их, а также управлять приложениями, устройствами и пользователями. Рассмотрим некоторые из них.

Чтобы проникнуть в информационную инфраструктуру, злоумышленники часто прибегают к запуску фишинговых рассылок c вредоносным содержимым. Стандартным средствам защиты информации не под силу распознать такие программы, разработанные под целевую инфраструктуру, поэтому для защиты нужны более совершенные инструменты. Для выявления атак подобного типа используются системы EDR (Endpoint Detection & Response).

В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. Этот инструмент фиксирует события на конкретных устройствах и взаимодействует с локальными данными.

Системы Endpoint Detection & Response в разы сокращают время распознавания атак. В результате удается вовремя принять меры и избежать существенного ущерба от действий злоумышленников.

Предотвращение потери данных является принципом безопасности. Главный источник угроз для информации — люди, которые ежедневно работают с этой информацией: создают, копируют, перемещают и изменяют. Лучший способ предотвратить утечку — создать механизм прозрачного взаимодействия пользователей с данными, и это возможно благодаря внедрению DLP-системы.

Такие системы обнаруживают и предотвращают несанкционированное использование (Data-in-use), передачу (Data-in-motion) и хранение (Data-at-rest) конфиденциальных данных.

Это делает брандмауэры мощным средством борьбы с вредоносным контентом на входе и корпоративными секретами на выходе. Как и на всех этих платформах, управляемых правилами, задача заключается в поддержании соответствующих наборов правил, которые улавливают «плохой» трафик.

IDS-система — незаменимый ассистент администратора, который предупредит об опасности в сети и предложит превентивные меры по устранению угрозы. IDS не может предотвратить атаку. IDS-система обнаруживает ее и останавливает до того, как она достигнет цели.

Хост-система обнаружения вторжений (HIDS) устанавливается на рабочей станции или сервере. HIDS обеспечивает защиту отдельного хоста, обнаруживая потенциальные атаки и защищая важные файлы ОС. HIDS работает в пассивном режиме — она только идентифицирует и предупреждает об угрозе.

Основной целью любой IDS является мониторинг трафика. Для HIDS этот трафик проходит через сетевую карту (Network Interface Controller, NIC).

Помимо мониторинга сетевого трафика, HIDS также способен отслеживать активность приложений на сервере. HIDS может обнаружить вредоносное ПО, которое пропустил антивирус. Поэтому многие организации устанавливают HIDS на каждую рабочую станцию в качестве дополнительного уровня защиты.

NIDS не может обнаруживать аномалии в отдельных системах или рабочих станциях, если аномалия не приводит к большим различиям в сетевом трафике. Кроме того, NIDS не может расшифровать зашифрованный трафик. Другими словами, NIDS отслеживает и оценивает угрозы в сети только из трафика, отправляемого в виде открытого текста или незашифрованного трафика.

Любой тип IDS-системы (HIDS или NIDS) может обнаруживать атаки на основе двух основных методов обнаружения — сигнатур и аномалий. HIDS отслеживает сетевой трафик, поступающий на его сетевую карту, а NIDS отслеживает трафик внутри сети.

Эти типы брандмауэров являются детальным способом защиты отдельных хостов от вирусов и вредоносных программ; они также нужны для контроля распространения этих вредоносных инфекций в сети.

В отличие от сетевых брандмауэров, брандмауэры на базе хоста — это программное обеспечение брандмауэра, установленное на компьютере. Брандмауэры на базе хоста обеспечивают защиту персональных компьютеров и операционных систем, отслеживают входящий и исходящий трафик, обнаруживают и блокируют вирусы, вредоносные программы и другие вредоносные скрипты, а также защищают компьютеры от вирусов и вредоносных программ. Например, брандмауэр Microsoft в системах Windows — это брандмауэр на базе хоста.

Преимущества брандмауэра на базе хоста:

Недостатки брандмауэра на базе хоста:

Приложения делятся на два класса: коммерческое программное обеспечение и программное обеспечение, созданное собственными силами. Собственные приложения с гораздо меньшей вероятностью проходят серьезную проверку безопасности в рамках своей сборки и с большей вероятностью содержат уязвимости.

Приложениями можно управлять в операционной системе во время запуска с помощью списков блокировки или разрешений.

Списки контроля доступа являются основой систем с избирательным управлением доступа.

Как правило, песочницы используют для запуска непроверенного кода из неизвестных источников как средство проактивной защиты от вредоносного кода, а также для обнаружения и анализа вредоносных программ. Кроме того, песочницы используются в процессе разработки программного обеспечения для запуска «сырого» кода, который может случайно повредить систему или испортить сложную конфигурацию.

Такие «тестировочные» песочницы копируют основные элементы среды, для которой пишется код, и позволяют разработчикам быстро и безболезненно экспериментировать с неотлаженным кодом.

Сегодня ни одно программное обеспечение не застраховано от уязвимостей безопасности, и единственный способ их предотвратить — немедленно выявлять и устранять их. Основная цель управления исправлениями программного обеспечения — защищать конечные точки от злоумышленников и поддерживать оптимальную работу систем.

Одним из самых важных аспектов обеспечения безопасности является регулярное обновление программного обеспечения.

Программное обеспечение, особенно операционные системы и приложения, подвержено постоянным угрозам безопасности со стороны хакеров и злоумышленников. Когда в открытом доступе появляется новая уязвимость, разработчики выпускают обновления, которые закрывают слабые места и укрепляют систему. Использование устаревших версий ПО может привести к взлому вашей системы или утечке данных.

В 2017 г. вирус WannaCry атаковал компьютеры по всему миру, используя уязвимость в старых версиях операционных систем Windows. Многие компании и организации, которые не обновлялись до последних версий Windows, потеряли доступ к своим данным и столкнулись с требованиями выкупа. Обновление программного обеспечения было мощным средством предотвращения этой атаки.

Обновления ПО также вносят исправления ошибок, которые могут негативно сказываться на безопасности данных. Баги в программном обеспечении, особенно связанные с безопасностью, могут быть использованы злоумышленниками для получения несанкционированного доступа к вашим данным или компьютерной системе. Регулярное обновление помогает устранить эти ошибки и обеспечить более надежную защиту.

Шифрование диска может обеспечить защиту данных, даже если диск удален из одной системы и помещен в другую. Зашифрованные данные на диске делают его непригодным для использования без соответствующих ключей.

Лучшие решения для шифрования диска сегодня встроены в операционную систему и используют аппаратное шифрование на самом диске. Это упрощает доступ операционной системы к данным при правильной загрузке и входе в систему, но в то же время их практически невозможно обойти, даже удалив диск и установив его на другой компьютер.

Виды беспроводных сетей:

Работники, которые постоянно находятся в разъездах, могут воспользоваться этой технологией: имея при себе переносные компьютеры или PDA (Personal Digital Assistants), они будут обмениваться электронной почтой, файлами и другой информацией.

Основные различия между этими типами сетей — параметры передачи. Локальные и расширенные локальные вычислительные сети используют передатчики и приемники, принадлежащие той организации, в которой функционирует сеть.

Беспроводные локальные сети используют четыре способа передачи данных:

Виды беспроводных сетей:

По дальности действия:

По топологии:

По области применения:

Кратким способом классификации может служить одновременное отображение двух наиболее существенных характеристик беспроводных технологий на двух осях: максимальная скорость передачи информации и максимальное расстояние.

Основные составляющие сотовой сети — это сотовые телефоны и базовые станции, которые обычно располагают на крышах зданий и вышках. Телефон и станция поддерживают постоянный радиоконтакт, периодически обмениваясь пакетами. Если телефон выходит из поля действия базовой станции (или качество радиосигнала соты ухудшается), он налаживает связь с другой.

Современная базовая станция универсальна и, как правило, содержит поддержку трех поколений: 2G, 3G и LTE. Всякая базовая станция работает на определенном частотном диапазоне, от которого зависит радиус действия вокруг нее. Чем ниже частота, тем он больше: за городом LTE в нижних диапазонах может «бить» на почти 20 км. В городе, где много препятствий, а частоты буквально «друг на друге», базовая станция часто покрывает до нескольких сотен метров. В особенности это касается высокочастотной мобильной сети пятого поколения.

Телефон без сим-карты не регистрируется в сети, но устанавливать связь с базовой станцией способен. Благодаря этому, например, можно совершать экстренные вызовы.

Мобильные приложения часто собирают и хранят конфиденциальную информацию (например, личные данные и финансовую информацию), что привлекает киберпреступников. Обеспечение безопасности приложения является неотъемлемой частью защиты этой ценной информации и обеспечения целостности самого приложения. Уязвимость в безопасности может привести к финансовым потерям и ухудшению репутации компании.

Для контроля активности мобильных приложений, запускаемых на устройстве пользователя, вы можете использовать контейнеры.

Программа упаковывается в специальную оболочку-контейнер, внутри которой — среда, необходимая для работы. И работодатели, и сотрудники хотят, чтобы контейнер защищал их секреты. Только секреты каждой из сторон находятся по разные стороны контейнера: секреты работодателя находятся внутри контейнера, а секреты сотрудника — снаружи.

Поэтому работодатели хотят, чтобы сотрудники не могли вынести данные из контейнера, а сотрудники желают, чтобы работодатель не имел доступа к данным вне контейнера. Сотрудники готовы мириться с ограничениями типа запрета установки приложений из непроверенных источников, но даже потенциальная возможность доступа к их личным данным не стоит для них возможности удаленной работы со своего смартфона или планшета.

Полное шифрование диска, в отличие от создания зашифрованных разделов или папок, позволяет защитить конфиденциальную информацию, о которой пользователь мог забыть или не знать, например служебные и временные файлы. Даже если злоумышленник извлечет диск и установит в свое устройство, он не сможет получить доступ к данным, если не знает пароля или ключей шифрования.

Рекомендуется использовать полнодисковое шифрование на портативных устройствах, которые в большей степени подвержены риску кражи или утери, чем стационарные.

Например:

Все приложения Android исполняются в изолированной среде и обычно не имеют доступа к другим компонентам платформы и их данным. Разделы, содержащие системные файлы, монтируются в режиме только для чтения. Данные ограничения призваны защитить систему от вредоносного ПО, потенциально опасной модификации системных настроек пользователем и обеспечить защиту платных приложений от неправомерного копирования.

Пользователь root имеет неограниченный доступ к любому файлу системы независимо от выставленных ограничений прав доступа. Соответственно, приложение, исполняемое от имени root-доступа, также имеет неограниченные права.

Основными целями рутинга являются снятие ограничений производителя либо оператора связи, манипулирование системными приложениями и возможность запуска приложений, требующих прав администратора и получения доступа к системным файлам. Устройство, прошедшее процесс рутинга, называется рутированным.

Практически схожая с рутингом операция для устройств на базе Apple iOS называется Jailbreak, а для устройств на базе Windows Phone — HardSPL.

Джейлбрейк позволяет владельцу устройства получить полный доступ к операционной системе и всем функциям. Термин «джейлбрейк» чаще всего используется в отношении iPhone, поскольку iPhone считается самым «заблокированным» мобильным устройством из имеющихся на рынке.

Основная мотивация многих взломщиков — сделать iOS более похожим на Android. Джейлбрейк был и остается способом установки приложений, не одобренных Apple, а также способом настройки интерфейса.

При взломе основные функции устройства не меняются. Со взломанного iPhone или iPad по-прежнему можно приобретать и загружать приложения из App Store. Однако для загрузки приложений, отклоненных Apple, и для использования дополнительных функций, полученных в результате взлома, используются независимые магазины приложений.

Преимущества применения BYOD:

Недостатки BYOD: