[Перевод] Корпоративное использование Android 5.0: рекомендации по безопасности

a3f8a60ae6044e93a6577b4dc9b6d4bd.jpg Android — одна из самых популярных мобильных операционных систем в мире. Ей пользуются около полутора миллиардов человек. Но, несмотря на подобную распространённость, до некоторых пор в корпоративной среде эту ОС старательно избегали, опасаясь угроз безопасности.

Такая ситуация сложилась не случайно. В Android, до 5 версии, было множество уязвимостей. Теперь же Google всерьёз взялась за безопасность. Вдобавок к поддержке шифрования данных и автоматической блокировке экрана, в устройствах, работающих под управлением свежих версий Android, приложения ограничены в правах. Это способствует повышению уровня защищённости платформы.
Ещё одно важное улучшение в данной области представлено новой инициативой Google для организаций — Android for Work. В рамках Android for Work предлагается, во-первых — безопасность корпоративного уровня, во-вторых — возможность контейнеризации рабочих пространств, разделения рабочих и личных данных пользователей.

Эти улучшения серьёзно меняют дело, позволяя смело использовать Android-устройства в бизнес-среде. Естественно, при условии, что организации будут прилагать усилия к устранению проблем с безопасностью, присущих, в силу её особенностей, платформе Android. В этом материале мы рассмотрим четыре рекомендации по управлению Android-устройствами. А именно:

  • Предотвращение получения пользователями повышенных привилегий на устройствах.
  • Защита от мобильных вредоносных программ.
  • Обязательное применение надёжных методов защиты информации.
  • Реализация политик управления устройствами.


Предотвращение получения повышенных привилегий


В Android-среде взлом устройств с целью получения повышенных привилегий называют «рутованием». Это жаргонное, но весьма распространённое слово — русский вариант английского «rooting». Означает оно «получение прав суперпользователя», который в среде Unix-подобных ОС называется «root». Фактически это — снятие ограничений, накладываемых производителем на устройство, и получение полного доступа к нему. Пользователи взламывают телефоны и планшеты самостоятельно. Всё дело в том, что на рутованное Android-устройство можно устанавливать любые приложения, в том числе — потенциально опасные. Можно настраивать, на любом уровне, операционную систему, менять прошивку аппарата.

c3c74cc15a60ef7f7db5ebf70e295521.jpg


Приложение для получения прав суперпользователя на Lenovo Yoga Tablet

Рутованные устройства представляют серьёзную проблему безопасности для организаций. Эти устройства находятся в группе повышенного риска заражения вредоносным ПО. Работая в корпоративной сети, они могут быть причиной «утечек данных», могут сделать сеть уязвимой к хакерским атакам.

Проблема, связанная с получением пользователем повышенных привилегий, характерна не только для платформы Android. Так, например, в среде мобильных устройств от Apple существует термин «джейлбрейкинг». Он произошёл от англоязычного «jailbreak», что в дословном переводе означает «побег из тюрьмы». Джейлбрейкинг — это снятие стандартных ограничений на устройствах от Apple, работающих на iOS. В частности, таких, как iPhone, iPod touch, iPad, второе поколение Apple TV. Снятие ограничений заключается в программной или аппаратной модификации устройств, благодаря которому пользователь получает полный доступ к файловой системе iOS. Ему открываются новые возможности по настройке устройства, по установке приложений, расширений и тем, которые недоступны в Apple App Store. Однако в результате страдает безопасность и теряется гарантия на аппарат.

Для борьбы с рутованием рекомендовано запрещать подключение взломанных Android-устройств к корпоративной сети. Кроме того, полезно проводить с сотрудниками занятия по информационной безопасности. В частности, на таких занятиях стоит поднять тему того, какую угрозу рутованные устройства представляют для организации, и того, к каким последствиям могут привести утечка данных или их безвозвратная потеря.

Защита от мобильных вредоносных программ


Пользователи Android-устройств могут устанавливать приложения не только из Google Play, но и из других источников. Среди программ, установленных из ненадёжных источников, немало таких, которые несут в себе вредоносную составляющую. Риск установки вредоносного приложения, хотя и очень небольшой, благодаря политике безопасности Google, существует и при работе исключительно с Google Play. Это способно повлиять на организации, в которых работают пользователи, так как вредоносные программы могут красть логины и пароли для доступа к критически важным ресурсам, открывать доступ в корпоративные сети посторонним лицам, могут быть причиной потери важных данных.

Лучший способ защиты корпоративных ресурсов от мобильного вредоносного ПО заключается в установке защитных приложений на тех устройствах, которые подключаются к сети организации. Вот небольшой список решений, который стоит рассмотреть при выборе защиты от вредоносных программ:

  • Dr.Web Antivirus
  • Antivirus and Mobile Security (Avast)
  • Mobile Security and Antivirus by ESET
  • Armor for Android
  • AntiVirus Security Free by AVG
  • Mobile Security and AntiVirus by Avast
  • Zoner AntiVirus Free
  • BitDefender AntiVirus Free
  • Hornet AntiVirus Free
  • Norton Security Antivirus


Кроме того, нужно учесть, что защитному приложению должны быть доступны все приложения, установленные на устройстве пользователя. Оно должно обладать функцией обнаружения вредоносных программ в реальном времени, возможностью вести «чёрные списки» потенциально опасных приложений. В идеале, для распространения и обновления разрешённых в организации приложений, нужно, чтобы защитное ПО поддерживало использование безопасного корпоративного каталога или хранилища таких приложений.

Применение надёжных методов защиты информации


Если к корпоративной сети могут подключаться мобильные устройства — для защиты информации нужны надёжные меры безопасности. Конкретные подходы к обеспечению безопасности в разных организациях могут различаться, они зависят от специфики деятельности. Мы хотим предложить набор базовых рекомендаций, которые стоит включить в корпоративную политику управления мобильными устройствами.

  • Пароли для доступа к ресурсам обязательно должны быть сложными.
  • Нужно везде, где возможно, применять шифрование данных.
  • Требуется контролировать использование приложений, основываясь на информации о подключении устройства к Wi-Fi-сетям предприятия, и, на основании политик доступа и сведений о примерном местоположении устройства, блокировать некоторые функции. В частности, к таким функциям относятся копирование и вставка данных, службы определения местоположения, электронная почта и приложения для обмена сообщениями, использование камеры и микрофона.


Обзор возможностей Google for Work


В дополнение к вышесказанному, здесь мы хотели бы сделать обзор возможностей Google for Work, которые основаны на передовых подходах к организации удобной и безопасной работы мобильных корпоративных пользователей.

Безопасность и разделение данных. При развёртывании Android for Work используется аппаратное шифрование и политики безопасности, управляемые администратором. Это позволяет разделить бизнес-данные и данные пользователя. Данные организации оказываются в безопасности, они защищены от вредоносного ПО. Информация пользователя при этом недоступна никому, кроме него.

Поддержка корпоративных устройств и личных устройств сотрудников. Пользователи Android for Work могут безопасно применять одно и то же устройство и для рабочих, и для личных целей. Компании могут предоставлять предварительно подготовленные корпоративные устройства работникам, а так же — настраивать рабочие профили на устройствах, которые принадлежат сотрудникам.

Удалённое управление. Администраторы могут удалённо управлять политиками безопасности, связанными с работой организации, приложениями и данными. Критически важные данные можно удалить с устройства дистанционно, при этом не затронув личных данных пользователя.

Удобная работа с личными и корпоративными приложениями. Android for Work позволяет создать однородную рабочую среду на всех устройствах. Личные и рабочие приложения находятся в одних и тех же списках установленных и недавно использованных приложений. Переключаться между разными видами приложений очень просто. К тому же, иконки для запуска рабочих приложений выделены особыми значками, которые чётко отличают их от личных приложений.

Упрощённая установка приложений. Администраторы могут использовать Google Play для поиска разрешённых в организации приложений, добавления их в белый список и для установки бизнес-приложений на устройства, работающие в системе Android for Work. Кроме того, Google Play можно использовать и для развёртывания собственных приложений компаний, предназначенных только для внутреннего использования. Подробнее об этом можно узнать в справочном центре Google Play for Work.

Отдельный набор приложений для работы. Пользователи, у которых нет Google Apps for Work, могут пользоваться полным набором безопасных рабочих приложений, специально созданных для применения в рамках Android for Work, но работающих и самостоятельно. В набор входят почтовая программа, календарь, записная книжка, список задач и менеджер загрузок.

Google предлагает систему Android for Work вместе с набором приложений Google Apps for Work. Всё это подходит для немедленного развёртывания. Система позволяет администраторам приложений пакета Google Apps for Work пользоваться функционалом корпоративного управления мобильными устройствами с помощью административной консоли. Это расширяет возможности по управлению устройствами.

Реализация политик управления устройствами


ИТ-служба компании должна иметь возможность централизованного управления Android-устройствами и их настройки. Рекомендовано выполнять дистанционную очистку потерянных или украденных устройств. Кроме того, очистку нужно проводить после некоторого количества неудачных попыток разблокировки смартфона или планшета. Весьма полезно организовать систему применения политик безопасности, основанную на местоположении устройства.

О безопасности в экосистеме Android


Google, работая над ОС Android и площадкой Google Play, стремится сделать экосистему Android безопаснее. Этой целью руководствуется команда Android Security, которая делает всё возможное для того, чтобы Android-устройства были как можно меньше подвержены угрозам.
Google применяет многоуровневый подход к безопасности. Первый уровень — это предотвращения самой возможности возникновения угрозы. Далее — это выявление вредоносных приложений и быстрая реакция при возникновении каких-либо проблем. А именно, вот что в Google делается ради повышения безопасности:

  • Компания стремится предотвратить возникновение проблем с безопасностью. Делается это с помощью анализа архитектуры решений, тестирования систем на проникновение, аудита кода.
  • До выпуска новых версий Android и Google Play проводится анализ безопасности.
  • Исходный код Android открыт, доступен всем желающим. Как результат, его может анализировать большое сообщество разработчиков, выявляя проблемы и помогая сделать Android самой безопасной мобильной платформой в мире.
  • Делается всё возможное для того, чтобы свести к минимуму последствия проблем с безопасностью. В частности, с помощью таких решений, как изолированная среда исполнения приложений.
  • Приложения в Google Play проходят регулярную проверку на уязвимости и проблемы с безопасностью. Если приложение может представлять угрозу для устройств или данных, его удаляют с площадки.
  • Ведётся плотная работа с партнёрами, направленная на как можно более быстрое устранение обнаруженных проблем с безопасностью и выпуск обновлений.


Команда разработки Android тесно сотрудничает с сообществом экспертов в области безопасности, обсуждая идеи, применяя в работе передовые решения, совершенствуя систему. Android является частью Google Patch Reward Program. Программа предусматривает вознаграждение для разработчиков, которые вносят вклад в повышение безопасности популярных проектов с открытым исходным кодом, многие из которых являются основой для Android Open Source Project (AOSP). Кроме того, Google является членом Forum of Incident Response and Security Teams (FIRST).

Заключение


Усилия Google сделали Android безопаснее, Android for Work позволяет взять под контроль мобильные устройства, которыми сотрудники пользуются для решения бизнес-задач. Однако не стоит забывать о том, что не существует абсолютно защищённых компьютерных систем.
На базе решений Google можно наладить безопасную работу Android-устройств в организации, но только в том случае, если будут учтены особенности такой работы, в том числе — человеческий фактор. Надеемся, этот материал поможет вам в построении безопасной мобильной рабочей среды.

© Habrahabr.ru