Огромне БЈОД ‑ ове - фактор ризика у ИТ окружењу

"Ponesi svoj ureðaj" je nekad znaèilo telefone i laptopove. У већини окружења данас, то такође значи паметне сатове, фитнесс трацкерс, хеартаблс (паметне слушалице), паметне прстенове, повећане наочаре за реалност, медицинске носеће, и растућу листу сензор- богатих уређаја који се тихо повезују са корпоративним идентитетима, мрежама и подацима. Za IT timove, nosivi BYOD je bezbednosni problem jer širi površinu napada bez širenja vaše kontrolne površine. Ове уређаје је лако пропустити у инвентаријама средстава, тешко је управљати традиционалним крајњим тачкама за руковање, и често везани за лични телефон који постаје мост између корпоративних система и корисничких облака екосистема.

Obroci takođe menjaju prirodu "izlaganja podacima". Više se ne radi samo o napuštanju mreže. Radi se o sadržaju obaveštenja vidljivim na zglobu, mikrofonima aktiviranim u sali za sastanke, pasivnim bluetooth radijima koji se mogu analizirati u hodniku, i podacima o zdravlju ili lokaciji koji su izuzetno osetljivi po propisima o privatnosti. Rezultat toga je kategorija rizika koja se nalazi na raskrsnici bezbednosti krajnjih tačaka, identiteta, fizičke bezbednosti, privatnosti i upravljanja.

Zašto se nosivosti razlikuju od klasiènog BYOD-a?

Obroci su obično dizajnirani oko pogodnosti, uvek - o povezanosti, i duboke integracije sa potrošačkim ekosistemima. Čak i kada nosivi imaju preduzimljive prijateljske karakteristike, mnogi rasporedi i dalje se oslanjaju na telefon i usluge prodavca oblaka. Да архитектура ствара неколико безбедносних карактеристика које ИТ треба да третира као "подразумеване претпоставке":

• Obroci su često nevidljivi za upravljanje imovinom i otkrića jer se ne pridružuju domenu, ne vode konvencionalne agente, i možda nikada ne potvrđuju direktno korporativne usluge.
• Ureðaj je važan koliko i nosivi. Ako je telefon kompromitovan, nosivi postaju produžetak tog kompromisa putem obaveštenja, aplikacija i uparenih komunikacija.
• Korisnièko suèelje je ogranièeno. Korisnici odobravaju brzo, pogled na upozorenja, i prihvataju parove ili dozvole sa minimalnim kontekstom.
• Model bezbednosti je često specifičan i ažuriran na potrošačkoj kadenci, koja se možda ne uklapa u kontrolu promena preduzeća.
• Senzori i radio ureðaji su "svojstva", što znaèi da je ureðaj napravljen da hvata, prenosi i sinhronizuje informacije konstantno.

Za IT profesionalce, ključna stvar je da se nosivost ne može oceniti kao "mali telefoni". To su kompjuterski ureðaji. Njihov rizik se distribuira preko identiteta, vidljivosti podataka, fizičkog prostora i lanca snabdevanja.

Obični nosivi tipovi ulaze u preduzetničke prostore

Nosiva kategorija je šira od sata. U mnogim organizacijama, sledeće klase uređaja pojavljuju se u kancelarijama, laboratorijama i proizvodnim oblastima:

• Pametni satovi i fitnes tragaèi koji obavještavaju ogledala, podržavaju glasovne pomoænike, i ponekad pružaju æelijsku povezanost.
• Slušala koja integrišu mikrofone, glasovne pomoænike, upravljanje pozivima, i audio pase koji se mogu koristiti u osetljivim prostorima.
• Pametni prstenovi se koriste za pogodnosti, obaveštenja, zdravstvenu metriku, ili u nekim sluèajevima proksimiti- pristup.
• Naoèare AR / VR koriste se za daljinsku pomoæ, obuku, terensku službu, ili hvatanje liènih medija.
• Медицински носеви који се користе за праћење који могу да уведу регуларне личне податке у корпоративне мреже и дневнике.

Čak i kada nosivi nikada ne dodiruje Wi- Fi, uređaj i dalje može biti relevantan za korporativni rizik preko Bluetooth, NFC, ili povezivanje preko telefona sa pristupom korporativnom e-mailu, porukama i provajderima identiteta.

Površina napada: radio, aplikacije, identiteti i podaci o ambijentu

Rizik je najbolje razumeti kao skup preklapajuæih površina. Jedan smartwatch može istovremeno biti bluetooth krajnja taèka, alat za prepoznavanje identiteta, ogledalo za obavještenje, mikrofon i omotaè senzora. Kada mapirate pretnje, tretirajte svaki od ovih kao sopstveni kontrolni domen.

Бежична изложеност: Bluetooth Low Energy uparivanje, moduli za otkrivanje, i protokoli hirovi mogu stvoriti moguænosti za ispitivanje, praæenje ili eksploataciju u blizini. NFC može da omoguæi brze interakcije koje je teško proveriti. Ako ureðaj podržava Wi- Fi ili mobilni, može potpuno da zaobiðe korporativnu mrežu.

Aplikacije kompanjona i sinhronizacija oblaka: Aplikacija za telefon često sadrži žetone, dozvole i pravila sinhronizacije. Podaci mogu da teku od korporativnih obaveštenja do ličnih rezervnih rezervi oblaka ili sinhronizovanih uređaja. Oblak nosivog prodavca postaje deo vaše efikasne granice podataka.

Пречице са идентитетом: Oprema često omogućava "odobravanje slavinom", blizina otključava ili brzo reaguje. Prikladne karakteristike mogu smanjiti trenje za korisnike i takođe smanjiti trenje za napadače koji dobiju fizičku blizinu ili delimičnu kontrolu uređaja.

Ambient curenje: Обавештења приказана на зглобу могу открити осетљиве субјекте, имена клијената, идентификације карата, детаље инцидената, или једнократне временске везе. Mikrofon i kamere stvaraju dodatni sloj rizika u sobama za sastanke, SOC oblastima, laboratorijama i objektima sa zaštiæenom IP.

Сценарије ризика у свету ИТ тимови треба да планирају за

Огромна БЈОД ризик постаје јаснији када се преведе у сценарије да безбедносне операције, управљање и подршка ИТ могу да препознају и реагују на то. Poenta je da ne pretpostavljamo da je svako ko se nosi neprijateljski raspoložen. Poenta je da se izbegne iznenaðenje predvidljivim moguænostima neuspeha.

Izlaganje osetljivim obaveštenjima: Zaposleni prima poziv za incident, eskalaciju mušterija, ili email za resetovanje lozinki. Linija subjekata je vidljiva na smartwatch tokom sastanka, o javnom prevozu, ili u zajedničkom radnom prostoru. Èak i bez sadržaja poruke, metapodaci mogu biti štetni.

Snimanje sobe za sastanke: U toku razgovora o cenama, M & A, bezbednosnim incidentima, ili neobjavljenim detaljima proizvoda. Rizik nije samo zlonameran snimak, veæ ukljuèuje i sluèajnu aktivaciju i sinhronizaciju oblaka.

Zamor od odobrenja identiteta: Brza odobrenja su korisna za MFA i SSO, ali one takođe omogućavaju oblik "tap-to-odobravanja" ponašanja. Ако нападач активира поновљене брзине, ометени корисник може одобрити погрешан захтев, нарочито на малом носивом УИ.

Blizina i fizièki pristup komplikacije: Неки окружења користе проксимити- базирано откључавање на лаптоповима, вратима или програмима. Ako se nosilac koristi kao znak poverenja i izgubljen je, ukraden ili pozajmljen, organizacija može da nasledi bezbednosni rizik prerušen u pogodnu osobinu.

Veza sa senkom: Nosiva ćelijska sposobnost može da pomera podatke bez pridruživanja korporativnom Wi- Fi-u. Kompromitovani telefon može da koristi nosivi ekosistem za obavještavanje ogledala i izvoz podataka koji zaobilaze tradicionalne proksije ili kontrole mrežne segmentacije.

Регулисано мешање података: Медицинска одећа може индиректно да уноси здравствене податке у ИТ системе помоћним картама, снимцима, дневницима или разговорима о проблемима. To može da stvori obaveze koje nisi nameravao da prihvatiš.

Vlada: definišite šta "prihvatljivo" znači u vašem okruženju

Tehnièke kontrole rade najbolje kada organizacija ima jasna, provodljiva oèekivanja. Mnoge politike BYOD-a napisane su pre nego što su nosivosti postale mejnstrim i fokusirane na telefone, laptopove i uklonjive medije. Ажурирање управљања није о забрани уређаја универзално. Radi se o poravnanju nosivih sa riziènim i svemirskim redovima.

Programi zrelosti obično definišu "pravila prisustva uređaja" za različite zone:

• Visoko osetljive zone gde su mikrofoni, kamere i rekorderi sposobni da nose ogranièene, sa jasnim oznakama i sigurnim moguænostima skladištenja.
• Standardne poslovne zone gde su nosivosti dozvoljene, ali se obavještavanje i parenje pravila sprovode kroz identitete i kontrole držanja krajnjih taèaka.
• Posetioci i preduzimači vladaju da se odnosi na nosioce eksplicitno, ne implicitno.

Politika bi takođe trebalo da pojasni stav organizacije o vidljivosti sadržaja i upravljanju podacima, kao što je da li je korporativno obaveštenje o e-mailovima dozvoljeno na nosivim osobinama, da li se pregovori o porukama moraju onemogućiti i koliko bi trebalo da se izdržava gubitak. Kada su pravila nejasna, primena postaje nedosledna i odgovor na incident postaje sporiji.

Tehničke kontrole koje smanjuju noseći BYOD rizik

Roba retko podržava iste kuke kao i laptopovi ili telefoni, tako da se najbolja kontrolna strategija fokusira na sisteme koje možete da kontrolišete: identitet, držanje telefona, pristup mreži i zaštitu podataka. Cilj je da se smanji uticaj, smanji verovatnoća i poboljša otkrivanje bez pretvaranja svakodnevnog rada u preopterećenje trenja.

Идентификација - прва спровођење: Koristite uslovni pristup da zahtevate jaku autentiènost i držanje ureðaja za korporativne aplikacije. Где је могуће, вежите приступ управљаним уређајима и ограничите високоризичне акције када се започиње сесија са непознатих или неуправљаних крајњих тачака. Ovo pomaže èak i ako je nosiv samo indirektno umešan.

Управљање телефоном као контролом проксија: Ako se nosi sinhronizacija preko telefona, tretirajte telefon kao provodljivu taèku. Управљање мобилним уређајем или уједињено управљање крајњим тачкама може да примени шифровање, закључавање екрана, ОС верзије базелина и управљање апликацијама за екосистем пратиоца.

Обавештење хигијена: Smanjite vrednost noseæeg obaveštenja ogranièavanjem onoga što se pojavljuje u obaveštenjima za korporativne aplikacije. Размислите о искључивању прегледа порука, примени "осетљив садржај скривен", и ограничавању активних обавештења које омогућавају одобрења или одговоре од закључаног ношења.

Мрежна сегментација и политика приступа: Osigurajte da nepoznati bežièni krajevi ne mogu da dostignu osetljive unutrašnje usluge. NAC, izolacija u gostujuæoj mreži, i strogi požarni zid smanjuju štetu ako nosivi ili njen pratilac pokuša da se kreće bočno ili otkrije.

Превенција губитка података и контрола облака: Tretirajte sinhronizaciju potrošaèa kao potencijalni izlaz. DLP politika, CASB kontrole, i ograničenja stanara mogu da svedu slučajno sinhronizovanje korporativnih podataka na lične račune, posebno preko telefona koji se slaže sa nosivim.

Logovanje i otkrivanje sa realnim očekivanjima: Možda ne vidite direktno nosivo, ali možete detektovati obrasce kao što su neobično ponašanje odobravanja, anomalije, iznenadni znakovi za osvežavanje ili pristup neočekivanim tipovima uređaja. Poravnaj SIEM-ove detekcije na dogaðaje identiteta, ne samo na krajnje taèke.

Fizièko obezbeðenje i "siguran prostor" su važniji nego ikada.

Oblici zamagljuju liniju između sajber bezbednosti i fizičke bezbednosti. Ako vaša organizacija ima mesta gde su mikrofoni i kamere problem, onda tretiranje nosivih kao "samo lièni dodaci" predstavlja prazninu. Најпрактичнији приступ је операција сигурних простора уместо покушавања неформално да полицајци.

Размотрите контроле које су поштујуће и корисне:

• Јасно зоне знак који експлицитно помиње носачи и ухватити способне уређаје.
• Ormariæi ili bezbedne torbe za zaposlene i posetioce koji ulaze u osetljive oblasti.
• Susret sa osetljivim temama koje ukljuèuju očekivanja uređaja unapred.
• Izuzeci i odobrenja koji su dokumentovani za slučajeve legitimne upotrebe kao što su potrebe za pristupačnošću.

IT bezbednosni program treba da se udruži sa objektima i HR da bi izbegao stvaranje pravila "bezbednosnog pozorišta" koja se ne mogu primeniti. Mali skup dobro definisanih zona sa konzistentnim sprovoðenjem obièno radi bolje od širih pravila koja niko ne poštuje.

Privatnost, poštovanje i skriveni troškovi noseæih podataka.

Obroci stvaraju i èuvaju osetljive liène informacije, ukljuèujuæi obrasce lokacije, otkucaje srca, podatke o spavanju, a ponekad i medicinske indikatore. Čak i ako organizacija ne namerava da obradi ove podatke, može da uđe u korporativnu sredinu indirektno kroz kanale za podršku, alate za saradnju, snimke scenarija ili istrage incidenata.

ИТ професионалци треба да раде са правним и приватним деоничарима да разјасни:

• Да ли се неки подаци у вези са ношењем сматрају под надзором корпорације.
• Kako bi reakcija na incident trebala da se nosi sa ureðajima koji sadrže podatke o liènom zdravlju.
• Ono što se odnosi na zadržavanje i pristupna pravila, ako noseći podaci postanu deo karte ili dosijea istrage.

Ovo nije samo legalna briga. Utièe na poverenje. Pretjerano agresivno nadgledanje može stvoriti pushback zaposlenika i sjene workarounds. Najzdraviji programi su transparentni oko toga šta se nadgleda, zašto i kako se štiti.

Operativna spremnost: rukovanje izgubljenim nosivim i osumnjičenim zloupotrebom

Nosivi incidenti su èesto "mali" dok nisu. Izgubljeni smartwatch možda sadrži nedavna obaveštenja, detalje kalendara i mapu korisnikovog dana. Kompromitovani telefon može da pretvori nosivost u uvek sadašnji signal. Udžbenici bi trebalo eksplicitno da uključe nosive stvari tako da posluživanje stolova i SOC timovi ne improvizuju.

Korisna priprema ukljuèuje:

• Јасан пут за изгубљене или украдене носаче, сличан изгубљеним телефонима и значкама.
• Navoðenje za ukidanje sednica, rotirajuæe akreditive, i poništavanje žetona kada su navedeni raèuni ugroženi.
• Standardna lista za procenu da li su osetljive informacije ili odobrenja možda otkrivene.
• Dokumentacija o kojoj korporativne aplikacije dozvoljavaju korisna obaveštenja i šta ta obaveštenja uključuju.

Uverite se da je proces dovoljno jednostavan da ga zaposleni stvarno koriste. Ako se izveštavanje oseća kažnjivo ili komplikovano, ljudi čekaju, a čekanje je ono što je ono što može da se upravlja incidentima pretvara u velike ekspozicije.

Практична "носива БИД" база за ИТ тимове

Ako vaša organizacija poèinje od nule, i dalje možete brzo postiæi znaèajan napredak fokusirajuæi se na osnovnu liniju koja smanjuje najèešæi rizik. Следеће праксе су широко примењиве и не захтевају инвазивну контролу уређаја:

• Укључите условни приступ и јаку аутентификацију, са корисничким заштитом од случајних дозвола.
• Zahtjev za držanje telefona kompanjona kada se koristi za pristup korporativnom e-mailu, chatu ili protoku identiteta.
• Минимизирајте излагање подацима ограничавањем предвиђања и осетљивог садржаја у упозоравању стила закључавања екрана.
• Definišite bezbedne zone gde su kapaciteti ogranièeni i obezbeðuju praktiène opcije skladištenja.
• Сегментне мреже и ограничи непознате бежичне крајње тачке, чак и ако се појаве кратко.
• Ажурирајте политички језик БЈОД-а да експлицитно укључите носеће, са јасним очекивањима и поштовањем.
• Dodajte korisne scenarije za reagovanje na incidente, fokusirajte se na ukidanje sednica, kreditivnu higijenu i brzo izveštavanje.

Osnova nije cilj. To je poèetna taèka koja smanjuje verovatnoæu i uticaj dok vaša organizacija sazreva svoj pristup zasnovan na stvarnim upotrebljivim sluèajevima i toleranciji rizika.

Zaključak: tretirajte nosive kao bezbednosni domen, a ne fusnotu

Oružani BYOD nije privremeni trend. To je deo šireg pomaka ka kompjuterskom ambijentu, gde identitet prati korisnika preko uređaja, senzora i prostora. Za IT profesionalce, pravi pristup nije ni panika ni poricanje. To je disciplinovano upravljanje rizikom: definišite gde su nosivosti prihvatljive, smanjite izloženost podacima dizajnom, sprovedete pristup kroz kontrolu identiteta i operacionalizujte bezbedne prostore i reagovanje incidenata.

Kada organizacije tretiraju nosive kao prvorazredni deo BYOD - pored telefona i laptopova - dobijaju jasniju vidljivost, manje iznenađenja, i bezbednosni stav koji odgovara realnosti modernog rada.