26 сентября 2014

Новые функции iOS 8 в свете парадигмы BYOD и корпоративной безопасности

Бизнес

Итак, iOS 8 здесь – уже почти неделю. Фанфар было немного меньше обычного. Визуальных изменений тоже особых не наблюдается. Однако вот «под капотом» поменялось многое, в том числе, того, что касается информационной защиты. Во-первых, Apple объявила, что заделала целых 53 уязвимости, обнаруженных в прошлых версиях. Некоторые были чертовски серьёзными. Вот эта, например, позволяет (или позволяла) высчитать логин и пароль, предлагая LEAP-аутентификацию со скомпрометированной/вредоносной точки доступа Wi-Fi, а затем произвести криптографическую атаку на хэш MS-CHAPv1.

Некоторые другие, даже более, пожалуй, опасные, позволяли локальным пользователям повышать привилегии в системе и устанавливать неавторизованные приложения или даже запускать код с привилегиями системы или ядра. И вот примчалась «скорая помощь» в виде iOS8 – с пластырями, бинтами, гипсом и промышленными багодавилками. И то хлеб. Что интересно, Appleособенно подчёркивает новые функции, связанные с безопасностью корпоративного сектора. В этом ничего удивительного нет, учитывая, что устройства на базе iOSдавно уже командуют парадом на прежней вотчине достославных корпоративных смартфонов Blackberry. В целом, доля смартфонов Apple может уступать доле устройств на Android, однако подавляющее большинство приложений корпоративной направленности активируются именно под iOS – 88%, согласно подсчётам производителя корпоративного софта Good Technology (данные за второй квартал 2014 года). Android тоже подрастает, но пока остаётся далеко позади. Всё это указывает на мощный спрос на защитные функции для BYOD со стороны корпоративного сегмента. Чем ответила компания Apple?

  1. Расширенная защита данных: теперь общим паролем (Passcode) защищены все типы данных, включая сторонние приложения, а не только собственные программы Apple, такие как Календарь, Контакты, Почта, Сообщения и Напоминания. Все приложения защищены до момента разблокирования устройства после перезагрузки.
  2. Шифрование S/MIME для каждого сообщения позволяет, понятное дело, шифровать и снабжать цифровой подписью каждое отдельное письмо. Это сделано для более точного контроля над почтовым шифрованием. Это может играть важную роль, поскольку шифровать все сообщения необходимости, в общем-то, нет (к тому же не все почтовые клиенты до сих пор понимают S/MIME), однако вот сквозное шифрование сообщений, содержащих важные данные,  – необходимо. На сайте Apple можно найти описание всей процедуры.
  3. MDM-функции включают управления ограничениями: теперь это IT-отдел может решать, какие ограничения пользователь может выставлять, а какие нет, и имеет ли он полномочия стирать все данные с устройства. Это, понятное дело, сугубо «корпоративная» функция – своего рода страховка от случайного или не очень случайного удаления корпоративных данных текущим пользователем, кем бы тот ни был. IT-отделы также могут теперь отслеживать, когда в последний раз резервировались данные в iCloud и, стало быть, когда будет безопасно проводить какие-либо манипуляции с удалённым устройством. Новый интерфейс удалённого управления упрощает процессы регистрации и управления устройствами и делает их более прозрачными для пользователей.
  4. Поддержка сертификатов для единого входа (SSO) обеспечивает пользователям возможность авторизации в корпоративных приложениях по технологии единого входа на основании выписанных сертификатов. Проще говоря, пользователям не понадобится вводить пароль каждый раз при переходе из одного корпоративного приложения в другое. Представить страшно, если бы пароль приходилось вбивать при каждом движении…
  5. Правила управления документами: IT-работники могут контролировать, какие приложения могут открывать документы, скачанные из корпоративных доменов с использованием Safari. Они также могут устанавливать правила, какие приложения могут открывать документы, скачанные с iCloudDrive. Документы в формате iBooks, ePub и PDFможно централизованно и автоматически раздавать на устройства посредством упомянутых уже MDM-инструментов. Когда необходимость в материалах исчезает, их можно так же удалённо стереть.
  6. Always-on VPN– эта функция, вопреки прежним слухам, осталась в iOS 8. Так что пользователям по-прежнему не надо будет вручную переподключаться к VPN компании каждый раз. Что логично, не так ли
  7. API для фильтрации контента позволит сторонним разработчикам VPN-приложений создавать инструменты, которые заблокируют юзерам доступ к неподобающему контенту – как через браузер, так и через другие приложения. Может быть, это и драконовская мера, но в конечном счёте работодатели имеют право требовать, чтобы работники не посещали сомнительные ресурсы в рабочее время, используя корпоративные ресурсы. Это не только вопрос производительности труда, но и безопасности тоже.
wide

Необходимо признать, что iOS 8 в теории может создать некоторые новые проблемы. Мы упоминали о них в одном из более ранних постов. Первая из этих проблем заключается в том, что практически всё защищается одним-единственным паролем, а пароли, как известно, слабое место всегда и везде.

Вторая потенциальная проблема – это новый уровень открытости iOS. Разработчикам остаётся только радоваться от 4000 новых API, которые им раскрыты, но расширяется и «поверхность атаки». Естественно, Appleприложила немало усилий, чтобы атаки не случались, и в AppleAppStoreочень редко просачивается что-либо вредоносное. Однако, чем больше возможностей у разработчиков, тем больше будет плохо написанного кода, а оттуда баги, уязвимости, бреши и эксплойты для них. В конечном счёте, все разработчики делают ошибки, и даже с самой iOS случались «незадачи». Возможно, победить уязвимости в ПО не удастся никогда, однако правильно подобранные защитные меры и функциональность, учитывающая потенциальные угрозы, — это именно то, что нужно, чтобы минимизировать риски.