1 / 19

Mobileszközök biztonsági auditálásának kérdései

Mobileszközök biztonsági auditálásának kérdései. Krasznay Csaba. Bevezetés. 2011 egyik a smartphone-ok robbanásszerű elterjedését hozta Ezzel hirtelen számos új biztonsági kockázat jelent meg Az előadás során a következő témákat érintem: Mobileszközök biztonsági kérdései Piaci megoldások

tracey
Télécharger la présentation

Mobileszközök biztonsági auditálásának kérdései

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Mobileszközök biztonsági auditálásának kérdései Krasznay Csaba

  2. Bevezetés • 2011 egyik a smartphone-ok robbanásszerű elterjedését hozta • Ezzel hirtelen számos új biztonsági kockázat jelent meg • Az előadás során a következő témákat érintem: • Mobileszközök biztonsági kérdései • Piaci megoldások • ISACA kontroll és audit elvek

  3. Mobileszközök • Az ISACA szerint mobileszköz: • a smartphone, • a laptop és a netbook, • a tablet, • a PDA • az USB eszközök, mint pl. az MP3 lejátszó és a HSDPA modem, • a digitális kamerák, • az RFID eszközök, • az IrDA eszközök. • Az előadásomban kizárólag a smartphone-okkal foglalkozom (iOS, Android, WinMo, WebOS, Blackberry…)

  4. Piaci trendek Share of worldwide 2011 Q2 smartphone sales to end users by operating system, according to Gartner.

  5. Okostelefonok a nagyvállalatoknál • Az okostelefonok lehetőséget és veszélyt is jelentenek egyben • Lehetőség, mert a munkavállaló korábban nem tapasztalt hatékonysággal éri el • céges emailjeit • naptárát • névjegyeit és az ügyféladatokat • a vállalatirányítási rendszert • dokumentumokat (Sharepoint, megosztások) • a távfelügyeleti rendszereket • A smartphone-ok ráadásul remek üzleti lehetőséget is jelentenek, hiszen nagyon könnyen lehet a céghez kötődő alkalmazásokat fejleszteni, és azt széles körben eljuttatni az ügyfelekhez • A gyártók által jelenleg favorizált tabletek betörésével a határ a csillagos ég – hacsak nem bizonyulnak evolúciós zsákutcának • 5x8-as munkavállalóból 7x24-es lesz, önként!

  6. Okostelefonok a nagyvállalatoknál • A veszélyek az előző felsorolásból egyértelműen adódnak. • A felhasználónak hirtelen egy készülékbe költözött a személyes szórakoztatóeszköze, az internetes végpontja, a PC-je – és bizony a vállalati munkaeszköze is. • Különbség egy PC-hez képest, hogy sokkal könnyebben elfeledkezik az ember arról, hogy a vállalat beleköltözött a telefonba, egy gombnyomásra elérhet nagyon sok információt – hiányzik a világos elhatárolás! • Ráadásul sokszor nem is a vállalattól kapja a telefont, hanem saját maga veszi meg, mert ez egy „szexi” eszköz. És ha már a kezében van, nem fél használni – mindenhol. • Pontosan ez a veszélyek forrása...

  7. Sebezhetőségek, fenyegetések, kockázatok Forrás: ISACA, Securing Mobile Devices, http://www.isaca.org/Knowledge-Center/Research/Documents/SecureMobileDevices-Wht-Paper-20July2010-Research.pdf

  8. Sebezhetőségek, fenyegetések, kockázatok

  9. Fő biztonsági kockázatok • A Forrester* szerint: • Készülékek ellopásának/elvesztésének kockázata növekszik a hordozhatósággal. • A mobilitás és hordozhatóság növeli az adatbiztonsággal kapcsolatos kockázatokat. • Egy újabb platform keletkezik az adatszivárgásokhoz. • A kártékony kódok egyre jobban áttérnek a mobil platformokra. • Saját kiegészítés: • A mobilitás, a cloud és a közösségi média konvergenciája egészen új helyzetet teremt. • A technika pedig folyamatosan fejlődik (pl. NFC, geolokáció, adatvédelem átalakulása…) * Managing The Security And Risk Challenges Of Personal Devices In The Workplace

  10. Védelmi stratégiák • Alapvetően a mobil védelmi stratégia két elemből áll: • szabályozzuk a területet a meglévő elvek alapján, • vezessünk be olyan támogató eszközt, amely segít kikényszeríteni a szabályok betartását (Mobile Device Management – MDM) • A szabályozásnak két megközelítése lehet: • Egészítsük ki a meglévő szabályokat a „smartphone” szóval. • Írjunk speciális, smartphone-ra vonatkozó szabályokat, amiben a szervezeti elveket ültetjük át. • Véleményem szerint az első út akkor járható, ha van saját eszközzel végzett távmunkára szabály, vagy a cég adja ki a smartphone-okat. • Más esetekben területi szabályozás javasolt.

  11. Védelmi stratégiák Forrás: ISACA, Securing Mobile Devices, http://www.isaca.org/Knowledge-Center/Research/Documents/SecureMobileDevices-Wht-Paper-20July2010-Research.pdf

  12. Mobile Device Management • A smartphone-ok kontrollálásának és ellenőrzésének műszaki alapköve tehát egy megfelelő MDM megoldás implementálása. • A VPN megoldások általában elérhetők mobil platformokon is, • A naplózás megléte jó esetben következik az MDM implementálásából. • A mobil DLP, mint fogalom már ismert, de egyelőre csak tapogatózás van ebbe az irányba. • A „jó” MDM ismérvei biztonsági oldalról a Gartner* szerint: • rendelkezik minimum a jelszókikényszerítés, a távoli törlés, a távoli lezárás, a naplózás és a jailbreak detektálás képességével; • legalább 3 mobil OS-t támogat; • van benne szabályzat és megfelelőség támogatás; • képes az alkalmazások valamilyen kontrolljára; • eszközleltárt lehet vele készíteni. * MagicQuadrantfor Mobile Device Management Software

  13. Mobile Device Management piac

  14. COBIT és Risk IT folyamatok Forrás: ISACA, Managing Mobile Devices and Relevant Framework Processes, http://www.isaca.org/Knowledge-Center/Research/Documents/SecureMobileDevice-Chart-21July2010-Research.pdf

  15. Audit lépések • 1. Az audit megtervezése és hatókörének meghatározása • 2. Mobilbiztonság ellenőrzése • 2.1 Mobilbiztonsági szabályzat • 2.1.1Szabályzat meghatározása (Legyenek a mobileszközökre vonatkozó szabályozások) • 2.2 Kockázatmenedzsment • 2.2.1 Kockázatfelmérés (Készüljön kockázatelemzés a mobileszközök használata előtt, és ez legyen később folyamatos tevékenység) • 2.2.2 Kockázatfelmérés irányítása (A felelős vezető vegyen részt a kockázatfelmérésben) • 2.3 Eszközmenedzsment • 2.3.1 Eszközök követése (Az érzékeny adatokat kezelő eszközök központilag legyenek menedzselve és adminisztrálva) • 2.3.2 Eszköz kiadása, visszavétele (Az érzékeny adatokat kezelő eszközök a szerepkörhöz rendelten legyen kiosztva és visszavonva) • 2.4 Hozzáféréskontroll • 2.4.1 Hozzáférési szabályok (Az eszközhozzáférés szintje a rajta tárolt adatok érzékenysége szerint legyen kikényszerítve)

  16. Audit lépések • 2.5 Tárolt adatok • 2.5.1 Tárolt adatok titkosítása (A vállalati adatok legyenek titkosítva az eszközön, a titkosítás legyen központilag kezelt) • 2.5.2 Adatátvitel (Legyen szabályozva az, hogy milyen adatok tárolhatók mobileszközökön és ezek milyen módon legyenek védve) • 2.5.3 Adatmegőrzés (Legyen adatmegőrzési szabályzat a mobileszközökön tárolt adatokra) • 2.6 Kártékony kódok elleni védelem • 2.6.1 Kártékony kódok (Legyen kártékony kód elleni védelem implementálva, ha ez a kockázat releváns) • 2.7 Biztonságos adattovábbítás hálózaton • 2.7.1 Biztonságos kapcsolatok (Távoli hozzáférés esetén legyen biztonságos adatkapcsolat, pl. VPN implementálva) • 2.8 Tudatossági oktatás • 2.8.1 Mobilbiztonsági tudatossági tréning (A dolgozók tudatossági oktatásának legyen része a mobilbiztonság) • 2.8.2 Mobilbiztonsági tudatossági oktatás irányítása (Az oktatásnak legyen visszacsatolása a menedzsment felé) ISACA, Mobile Computing Security Audit/AssuranceProgram, http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Audit-Programs/Documents/Mobile-Computing-Security-Audit-Prgm-21Oct2010-Research.doc

  17. Érettségi szintek • PO6: A mobileszközök felhasználói rendszeres és egyértelmű üzenetet kapnak arról, hogy az eszközök nem megfelelő használata milyen kockázatot jelentenek a vállalatra nézve. • PO9: A menedzsment megértette a mobileszközök jelentette új kockázatokat, és támogatja a szükséges kontrollok bevezetését. • DS5: A mobileszközökre is teljesülnek a vállalat biztonsági szabályzatai. • DS11: A mobileszközök elérik és használják a vállalati adatokat, a szabályzatoknak megfelelően. • ME3: A mobileszközök teljesítik a külső szabályokból eredő követelményeket.

  18. Összefoglalás • A kiberbiztonság alapvetően megváltozott az elmúlt 2 évben. • Ennek a változásnak az egyik legfontosabb előidézője a mobilitás, sőt kimondottan a smartphone-ok elterjedése. • Ez rengeteg hasznot hoz, de számos új, korábban nem tapasztalt biztonsági kihívást is jelent. • A biztonsági elvek nem változnak, de a védelmi technikák és hangsúlyok igen. • A legfontosabb változás, hogy el kell felejtenünk azt, hogy tudunk határokat védeni! • Új biztonsági szemléletre van szükség, amely alkalmazkodik a mindenhol jelen levő számítástechnika (Ubiquitouscomputing) szemlélethez!

  19. Köszönöm a figyelmet! web: www.krasznay.hu e-mail: csaba@krasznay.hu twitter: twitter.com/csabika25

More Related