19 февраля 2014 г.
Консьюмеризация ИТ и тенденция использования личных мобильных устройств (BYOD) в организациях привели к проблемам безопасности для ИТ-руководителей, указывает Gartner.Пользователи ждут простого и ясного взаимодействия с корпоративными системами, и это порой перевешивает соображения безопасности. Те же самые данные, защищенные сложными паролями и другими мерами безопасности на ПК, могут остаться без должной защиты на мобильных устройствах. Gartner прогнозирует, что к 2016 году 30% организаций будут использовать биометрическую аутентификацию на мобильных устройствах (сегодня - 5%).
«Мобильные пользователи упорно сопротивляются методам аутентификации, которые необходимы для защиты доступа с мобильных устройств», - пишет Ант Аллан (Ant Allan), вице-президент исследования Gartner.
Gartner указывает потенциальные направления влияния консьюмеризации на ИТ-безопасность и дает ряд рекомендаций руководителям ИБ в организациях.
Удобство vs. защищенность
Большинство организаций требуют надежного пароля на ноутбуках, однако смартфоны и планшеты часто имеют доступ к тем же самым приложениям и критически важным данным, но не такой же уровень защиты. Растущее количество используемых устройств также повышает уязвимость конфиденциальных данных. Внедрение стандартных политик ввода пароля при включении питания значительно затруднилось с принятием реалий BYOD, сделав неизбежным конфликт прав пользователя и прайвеси.
Сложные пароли могут быть особенно трудны для ввода на мобильных устройствах, но если эти устройства содержат корпоративные данные или предоставляют доступ к корпоративным системам (например, электронной почте) без дальнейшего логина, то даже пароль по умолчанию (из четырех цифр) неприемлем. С другой стороны, поддержка более надежной аутентификации при включении проблематична: лишь в некоторых мобильных операционных системах и устройствах возможна биометрическая аутентификации. Но даже там, где такая поддержка имеется, сама реализация может быть непригодна для деловой среды.
«Простой подбор восьмиразрядного цифрового пароля займет часы, и это охладит пыл случайных хакеров с заемным инструментарием, - пишет Джон Жирар (John Girard), вице-президент и ведущий аналитик Gartner. - Но даже шестиразрядный буквенно-цифровой пароль в нижнем регистре может дать миллиарды комбинаций. Для большинства целей хакеры просто не готовы пробовать столь большое количество комбинаций».
Gartner рекомендует, чтобы на устройствах, имеющих доступ к корпоративной информации, была введена политика использования паролей, требующая ввода как минимум шести буквенно-цифровых символов с запрещением словарных слов, реализованная средствами администрирования мобильных устройств (MDM).
Неполное «полное стирание»
Некоторые организации пытаются противостоять рискам, проистекающим из потери или кражи устройства, внедряя средства, стирающие с него все данные после определенного количества попыток ввода неверного пароля либо по команде, переданной дистанционно.
«Эта практика не полностью смягчает риск, поскольку твердотельную память (SSD) почти невозможно перезаписать, - пишет Жирар. - Лучший способ - это использовать шифрование, которое не привязано к первичной аутентификации при включении; это означает, что ключ не может быть извлечен из устройства после того, как выполнена операция программного стирания».
Также Gartner рекомендует использовать метод дополнительной аутентификации - как минимум, еще один пароль - для доступа к внутрикорпоративным приложениям и данным. Тогда, даже если хакер взломает защиту от включения, каждое новое приложение или склад данных будут создавать всё новые трудности, которые совокупно сделают эти его попытки не стоящими усилий.
В некоторых случаях требуется аутентификация более высокой надежности. С ПК (традиционно) могло использоваться отдельное устройство - аппаратный ключ, который служил для дополнительной аутентификации.
«Традиционная аутентификация такого рода часто отвергалась на мобильных устройствах из-за неудобств, связанных с большинством таких аппаратных жетонов, - пишет Аллан. - Это жонглирование с жетоном, телефоном и чашкой кофе упорно отвергалось пользователями мобильных устройств».
Программные токены (в частности, идентификация по стандарту X.509 на подключенном устройстве) открывают такую возможность, но часто требуют средств MDM и дополнительных способов контроля, чтобы обеспечить более надежную аутентификацию, необходимую в некоторых организациях.
Компромисс: биометрия
Gartner рекомендует руководителям ИБ рассмотреть методы биометрической аутентификации в ситуациях, где требуется большая надежность. Такими методами могут быть: интерактивность интерфейса, распознавание голоса или черт лица, а также радужной оболочки глаза. Эти методы могут использоваться вместе с паролем для достижения большей надежности аутентификации, не требуя сколь-нибудь значительных перемен в поведении пользователя.
Более того, поскольку само мобильное устройство представляет из себя целый склад контекстуальной информации, удостоверяющей владельца, то эта информация также может использоваться, чтобы повысить уверенность в его подлинности. Вполне вероятно, что такая комбинация пассивной биометрической аутентификации и контекстуальной аутентификации обеспечит достаточную уверенность в сценариях среднего риска, не требуя «пропускных» событий аутентификации с использованием паролей или токенов.
Важно также, планируя всеобъемлющую политику аутентификации, включающую мобильные устройства, принять во внимание бремя, которое ложится на организации и пользователей.
«Введение различных методов аутентификации для разных устройств станет в итоге невыносимым, - пишет Аллан. - Методы аутентификации, подходящие для мобильных устройств, должны быть также пригодными для ПК. Сочетание идентификации по X.509 на подключенном устройстве, простых биометрических методов и контекстуальной аутентификации, вероятно, даст то, что нужно».
Источник: Пресс-служба компании Gartner