close

Вход

Забыли?

вход по аккаунту

;doc

код для вставкиСкачать
«Сервисы защиты мобильных
устройств в сетях операторов связи»
Начальник отдела ОАО “МТС” Сикорский Александр Борисович
1
Архитектура информационной безопасности сетей
Как выглядит
информационная безопасность
связи согласно рек. ITU-Т X.805
Характеристики информационной безопасности - конфиденциальность, целостность, достоверность, доступность
2
Взаимодействие
понятий при
Как обеспечить
ИБ?решении задач
обеспечения информационной безопасности
Комплексное применение криптографических средств защиты информации совместно с мерами
технической защиты и организационными мероприятиями позволяет устранить уязвимости в системе
защиты и снизить риски нарушения ИБ до остаточного (приемлемого) уровня
3
Насколько надежно обеспечивается ИБ в сетях оператора
мобильной связи стандартным способом?
При
передаче
данных
между
2-мя
конечными
пользователями
сети
GSМ
возникают
угрозы
информационной безопасности
На участке радиодоступа (ME – BTS) использован
стандартный алгоритм шифрования – А5.1-А5.2,
при этом
перехват и расшифровка данных
занимает до 1 секунды при использовании
специализированного оборудования
На участке сети оператора GSM и транзитной
сети (шифрование отсутствует) возможен
перехват данных за счет НСД к корпоративной сети,
каналам связи и коммутационному оборудованию,
затраты злоумышленников составят от 1000 USD
При доступе в интернет риски перехвата данных
пользователя существенно возрастают
Основная причина доступности абонентских данных - отсутствие шифрования гарантированной стойкости на
всем маршруте прохождения данных, отсутствие
защиты
данных пользователя на самом мобильном
устройстве.
Примечание - Подтверждение стойкости алгоритмов шифрования обеспечивается системой сертификации
ФСБ России. В настоящее время сертификации подлежат только алгоритмы Российской разработки
4
Средства шифрования базового и повышенного уровня
ИБ на примере мобильного доступа к корпоративной
почте
Пример услуги оператора с использованием
стандартных алгоритмов шифрования
BTS
Um
BSC
PCU
Gb
Аутентификация
MS A8\A3,
Шифрование
GEAx
SGSN
IPSec
Аутентификация:
сертификаты открытых
ключей
ПУ
Защита трафика:
Gn
Компания 1
Server
Min 3DES+SHA1
Mid AES128-SHA256
Local
area
network
Компания 2
Server
Gn
GGSN
Firewall
Gi
Internet
Local
area
network
5
Использование дополнительного туннеля
“сквозного” шифрования по схеме “точка-точка”
Такой криптотуннель , в целом, решает задачу конфиденциальности и целостности данных, передаваемых
пользователями. В недалеком прошлом для этой цели применялись исключительно специальные
Мобильные устройства отечественной разработки, использующие ГОСТ 28147-89.
6
Защищенный доступ к корпоративной сети
Следующий шаг – защищенный доступ к собственной корпоративной сети, что открыло
широкий спектр возможностей . Теперь пользователь мог выполнять всю работу,
находясь в движении. И такие решения были внедрены операторами мобильной связи.
7
Пример – схема связи BlackBerry
Оператор связи
RIM London (NOC )
Frame Relay
Network Infrastructure
MTC
GGSN & Router
RIM Router & Relay Center
Internet
Корпоративная сеть клиента
MAPI
BES Server
MS Exchange or
Lotus Domino Server
Недостаток решения для России – заворот трафика
через недоверенные сервера, использование
зарубежных криптоалгоритмов
PC клиентов
8
Защищенный доступ с абонентского терминала к
данным, хранящимся в защищенном режиме на
публичных серверах электронной почты
Частное решение по хранению пользовательских данных в “облаке”,
но в зашифрованном виде
9
Пример – защищенный смартфон Анкорт –А7



Функционирование под управлением ОС
Windows CE
Использование всех возможностей сетей
GSM 2,5G, в том числе:
-поддержка GPRS;
-работа с INTERNET приложениями;
-работа с мультимедиа приложениями,
а также другие услуги, предоставляемые
оператором сети
Работа в режиме абонентского шифрования речи, данных (коротких сообщений
и т.п.) с уровнем “конфиденциально”
Устройство позволяет перед отправкой
шифровать почтовые отправления и файлы
10
А как защитить обычные телефоны ползователей?

До последнего времени повышенный
уровень информационной безопасности
обеспечивался специально –
специальными разработанными
телефонами и смартфонами,
прошедшими оценку соответствия ФСБ
России.

А как защитить стандартные средства
мобильной связи пользователей?
11
Что хотят пользователи ? Запросы и потребности
С чем связан рост заинтересованности абонентов и клиентов
оператора в защищенной мобильной связи?
1. Рост осведомленности населения о реальной возможности перехвата
переговоров и сообщений благодаря целой серии разоблачений о
работе спецслужб в средствах массовой информации.
2. Существенное увеличение скоростей и объемов потока информации
через информационно-телекоммуникационные сети связи, в
особенности, мобильные, развитии новых стандартов мобильной связи,
повсеместное использование WiFi, соц. сетей, использование новых
мобильных услуг, таких, как ДБО, услуг с использованием
местоположения и др.
3. Существенном расширении спектра продаваемых сложных абонентских
мобильных устройств, обладающих повышенной уязвимостью.
4. Ростом технической оснащенности злоумышленников, формирование
транснациональных ОПГ.
5. Стандартные методы защиты в сетях операторов не устраивают
определенные категории пользователей, которым есть что защищать.
12
Как “утекает “ информация?
В зависимости от скорости “устаревания” информации, снижается ее ценность. В какой-то
момент она становится ненужной, а иногда, при быстро изменяющейся обстановке –
дезинформацией. По каким каналам происходит утечка?
Каналы утечки информации
с мобильных устройств
1. За счет
несанкционированного доступа
к абонентскому устройству
(НСД)
Распространенность
-Возникает в большинстве случаях, если владелец не следит за своим мобильным
устройством , не следует элементарным требованиям безопасности. Может быть установлена
прямо или через эфир негласно установлена программа - шпион или вирус. Задача - сбор и
отправка злоумышленнику информации о пользователе. Вся информация, хранящаяся на
телефоне, информация о местоположении.
2. За счет недекларированных
возможностей (НДВ)
-Существует практически на всех мобильных устройствах.
заложеных производителем
2.1. Акустический или видео
- Микрофон или камеру могут включить дистанционно во время переговоров, передавая
канал , передача по запросу
конф.
Информацию, а также информацию, хранящуюся на мобильном устройстве.
данных пользователя.
3. Утечка за счет побочных
излучений
4. Радиоперехват трафика ,
который генерит мобильное
устройство , его расшифровка
5. Простое подслушивание
- Присутствует во всех мобильных устройсвах ввиду отсутствия спец. требований при их
разработке и производстве. Съем информации требует от злоумышленника наличия
соответствующей подготовки и спец. Техн средств.
- Требует от злоумышленника , как и в предыдущем случае, наличия соответствующей
подготовки и спец. Техн средств. Ограниченно распространено.
- Возможно при несоблюдении контролируемой зоны всегда и везде.
13
Средства защиты ?
Как защититься от перечисленных угроз? Какую инф. защищать?
И каким категориям пользователям нужна защита ?
Категории
пользователей
Корп.гос.клиенты
Вид защищаемой информации
Возможные способы защиты
Конф. инф. гос. значения, ПДн
Сертифицированные ФСБ моб. Устр.с СКЗИ по
ВК
Класс защиты – КА1
Сертифицированные ФСБ моб. Устр.с СКЗИ по ВК
Конф. инф. гос. значения, ПДн
Класс защиты – КА1
Силовые ведомства
КИ, КТ, БТ, ПДн
Крупные ком. Клиенты,
кредитн.орг
КТ, БТ, ПДн
Серт. ФСБ, ФСТЭК средства защиты Моб. Трафика с
исп. облачных решений
Класс защиты – КС1 – КС3
БТ, ПДн
Серт. ФСБ, ФСТЭК средства защиты Моб. Трафика
С исп. облачных решений
Класс защиты – КС1 – КС3
Средний и мелкий бизнес
Физические лица
(абоненты)
Физические лица
(абоненты)
Серт. ФСБ, ФСТЭК средства защиты Моб. Трафика С
выходом на собств корп сеть
Класс защиты – КВ1 – КВ2
Частная информация
Стандартные алгоритмы аутентификации и
шифрования - несертифицированные и выше
по желанию
14
Технологии
Особенности технической реализации и потребительские свойства
Особенности технической реализации
Потребительские свойства
Сертифицированные ФСБ моб. Устр.с СКЗИ по Высокая степень защищенности, низкая
ВК с выходом на собственную сеть КС
функциональность, орг. требования , высокая
стоимость
Серт. ФСБ, ФСТЭК средства защиты Моб.
серт. VPN, MDM - средняя и низкая степень
трафика с выходом на собственную корп. сеть защищенности, орг. требования , средняя
стоимость
Серт. ФСБ, ФСТЭК средства защиты Моб.
Невысокая степень защиты, условие наличия
Трафика с использованием облачных решений доверия.
Стандартные решения по шифрованию в
мобильных сетях
Неопределенность в части оценки
защищенности, т.к. решения не прошли оценку
соответствия ФСБ России.
15
В чем потребность оператора по обеспечению
повышенной защиты информации пользователей
в собственной сети?
В сети оператора есть стандартизованные способы защиты мобильного трафика. Реализация
усиленных мер защиты в рамках предоставляемых услуг, как правило, связана с
дополнительными инвестициями , требующих серьезной мотивации.
Варианты использования мер
дополнительной защиты
Целесообразность
1. Защита собственной информации (КИ и КТ)
-Как правило, только для ВИП, которых в крупной компании - от
десятков до сотен единиц. Для сотрудников - дорого и часто не
приносит ожидаемого эффекта.
2. Для повышения имиджа оператора,
позволяет демонстрировать высокий уровень
“зрелости”
-Как способ привлечения клиентов , может использоваться
минимальная лайт версия, не требующая больших вложений,
долгосрочный “пилот.”
3. Получение преимущества при участии в
тендерах , если такого решения нет у
конкурентов
4. Оказание услуг с использованием данной
технологии с целью извлечения прибыли
5. Выполнение требований регуляторов по
наращиванию защиты в сетях мобильной
связи
-Целесообразно , но может потребовать вложений, если Заказчик
будет настаивать на внедрении заявленного в тендере решения.
- Наиболее продуктивный подход. Требует маркетинговых
исследований.
- Не исключается. Пример: требования законодательства по защите
ПДн.
16
Какие возможности и ограничения для оператора
в случае реализации защищенного решения ?
Оператор связи, прежде чем принять решение об использовании того
или иного решения, должен будет оценить (качественные оценки):
-
наличие у него лицензий, позволяющих проводить тех. эксплуатацию,
передачу и оказание услуг с СКЗИ;
- В ряде случаев – наличие формы допуска к гостайне;
- какие категории пользователей могут потенциально быть
заинтересованными, степень целесообразности;
- как подавать эту услугу (самостоятельную или как сопутствующую для
повышения интереса к имеющимся или перспективным коммерческим
услугам;
- затраты на развертывание и поддержание такой услуги и предполагаемая
прибыль, т.е. расчет БК;
- оценка соответствия требованиям (сертификация) предлагаемого клиентам
решения, в т.ч. облачного - вопрос сохранения доверия к оператору со
стороны пользователей и государственных уполномоченных органов.
Необходима собственная или независимая экспертиза.
17
Многообразие решений по защите информации в
мобильных сетях . Как оценить целесообразность?
Качественные оценки возможны на основе проведения экспертных оценок
Количественные оценки затруднены в связи со сложностью получения
исходных данных для расчета
Например, в относительных показателях:
(Целесообразность) = (степень защищенности 1...10) / (стоимость
на 1 пользователя 1...10)* потребность (0...1).
Пороговое значение целесообразности использования того или иного
решения может = 0,8…1.
18

Простые рекомендации по повышению
защищенности пользовательских данных
Используйте на смартфонах, КПК и ПК только лицензионное ПО, проводите обновления только на официальных сайтах
Мероприятия
следующей
недели
производителей. Если включено
автообновление, убедитесь,
что система обратилась
именно к официальному сайту, а не
подставному.
По данным
исследований,
проведенных
SYMANTEC и
другими
источниками, от 50
до 70%
реализованных атак
на мобильные
устройства связано
с уязвимостями,
возникающими из-за
небрежности или
игнорирования
пользователями
общих правил
безопасности,
поэтому:

Используйте антивирусное обеспечение, своевременно обновляйте его.

Не оставляйте свой смартфон, КПК или ПК без присмотра даже на короткое время без включения блокировки. Чтобы
установить шпионскую программу или зловредный код может потребоваться не более 5 минут. Ремонт и апгрейд техники
проводите только в мастерских, которым можно доверять, при этом удаляйте всю без исключения личную информацию и
персональные данные.

Обращайте внимание на работу своих мобильных устройств. Если заметили, что аппарат стал работать заметно
медленнее, с задержкой реагирует на нажатия клавиш, выполняет незапрашиваемые действия, часто обращается в
интернет, постарайтесь через меню убедиться, что без вашего ведома не установился какой-то патч. Некоторые
шпионские программы невидимы в меню и не обнаруживаются антивирусами. Решение – очистка памяти и полная
переустановка ПО.

Если вы делаете банковские транзакции, для предотвращения последствий фишинг-атаки рекомендуется делать
дополнительно внешнюю аутентификацию и контроль транзакции через SMS или телефонный звонок на сотрудника
банка.

Старайтесь не использовать удаленный доступ в корпоративную сеть из общественных мест, где за вами возможен
визуальный контроль посторонних лиц.

Если к вам приходят из интернет почтовые сообщения, даже от знакомых, без вашего запроса, старайтесь их не
открывать, не убедившись предварительно по SMS или телефону, что оно послано именно тем адресатом. Отправления
могут содержать вирусы. Нужно также помнить, что заражение вирусами может происходить при посещении неизвестных
или подложных сайтов.

Возможно инфицирование посредством MMS, поэтому если не уверены в подлинности сообщения, никогда не нажимайте
YES, если поступает какой-то запрос. Такая команда может установить и активировать зловредный код.

Для исключения возможности установки злоумышленниками через ваш телефон негласного акустического контроля, при
проведении конфиденциальных переговоров выключайте телефон (лучше вынимать батарею) или используйте
специальные устройства, блокирующие сотовые телефоны или футляры, создающие акустический шум. Наиболее
радикальный способ борьбы, в данном случае – использовать специальные сертифицированные ФСБ РФ телефоны с
возможностью шифрования речи и данных, на которых функция прослушивания не работает.

Используйте для доступа к устройствам сложные пароли, шифрование конфиденциальных данных как при хранении их
на мобильном устройстве, так и при пересылке данных (протоколы SHTТP, PCT, SSL/TLS и др.).

При запросе контента с использованием SMS на короткие номера прежде чем их отправлять, проверьте стоимость SMS и
внимательно прочитайте текст соглашения, убедившись, что вас не используют мошенники.
19
В итоге:
Операторы мобильной связи заинтересованы в использовании
новых технологий защиты данных своих пользователей , но
решение об использовании той или иной технологии должно
приниматься по результатам объективных оценок и проведенных
пилотных проектов, а также расчетов окупаемости проектов.
СПАСИБО ЗА ВНИМАНИЕ
20
1/--страниц
Пожаловаться на содержимое документа