В уходящем 2018 году мы видели многочисленные кибер-атаки на компании и учреждения, где мобильные устройства сыграли важную роль. Одной из ведущих причин является тот факт, что многие компании по-прежнему основное внимание уделяют информационной безопасности своих сетей, платформ, серверов и настольных компьютеров, игнорируя те атаки, которые могут использовать мобильные устройства сотрудников (личные или корпоративные) в качестве вектора атаки.
По этой причине компании и их сотрудники, являющиеся владельцами и/или пользователями мобильных устройств, должны знать о следующих четырех видах рисков безопасности, имеющие отношения к таким устройствам. Пользователям необходимо быть начеку, а компаниям следует принять это во внимание при формировании своих стратегий безопасности и для максимально эффективного противостояния этим угрозам.
1. Криптоджекинг
Этот вид атаки представляет собой несанкционированное использование устройства для майнинга криптовалют. Последствия такой атаки могут быть разными: от снижения скорости работы и производительности устройства до его физического повреждения. И хотя криптоджекинг стал ориентироваться на настольные компьютеры и ноутбуки, все же в этом году мы видели значительные всплески атак на мобильные устройства. Как мы подчеркивали в нашей белой книге, криптоджекинг стал ведущей угрозой безопасности электронных устройств в 2018 году, хотя он и не привлекал к себе такое широкое внимание общественности через СМИ, как другие виды кибер-атак.
Мы уже говорили об этом много раз: как и в случае с большинством атак, предотвращение является ключевым фактором, а в случае с мобильными устройствами оно включает в себя и привитие сотрудникам того, что важно безопасно работать в Интернете, избегать подозрительных и вредоносных сайтов, не скачивать неизвестные приложения и периодически проводить ревизию, регулярно обновлять свои устройства и установленные на них приложения.
2. Нарушения данных
Согласно отчету Ponemon, в ближайшие два года с вероятностью 28% компании могут пострадать от любого инцидента, связанного с нарушением данных. Со вступлением в силу нового европейского законодательства о защите персональных данных (GDPR) этот вопрос стал особенно чувствительным для компаний, т.к. некоторые из них уже получили относительно высокие штрафы за его нарушение.
В случае с мобильными устройствами, хотя инциденты с нарушением данных могут показаться незначительными по сравнению с теми, в которые вовлечены настольные компьютеры, где сотрудники обычно работают с файлами, содержащими данные, все же они могут представлять серьезный риск по другой причине: чем чаще не хватает памяти у таких устройств, тем больше пользователей хранят некоторые свои приложения и файлы с данными в публичном облаке, а оно может быть (чаще всего так и есть) не подконтрольно компании. И в прошлом такого рода облака, как iCloud, уже пострадали от многочисленных атак, от которых, кстати, пострадали даже некоторые знаменитости.
Сведение к минимуму риска нарушения данных на мобильных устройствах, - это, как всегда, профилактика и, конечно же, уверенность в том, что сотрудники осторожны при обработке информации. В качестве последнего барьера существуют такие решения, как Panda Data Control, который постоянно отслеживает все конечные устройства для того, чтобы обнаруживать аномальное поведение при управлении файлами, содержащим данные.
3. Небезопасные сети
Мобильные устройства компании находятся в постоянном движении и как таковые они взаимодействуют со многими сетями, неконтролируемыми компанией. Самый распространенный случай – это открытые небезопасные Wi-Fi соединения в общественных местах. Кибер-преступники могут использовать такие сети для кражи с устройства конфиденциальной информации или даже для получения контроля над ним. Один из наиболее опасных методов – это атаки типа Evil Twin AP (подделка точки доступа). Кибер-преступники используют такие же значения SSID, как и подлинная точка доступа, в результате чего пользователь ошибочно подключается к поддельной сети, позволяя преступникам красть информацию.
Повышение осведомленности сотрудников о рисках информационной безопасности для мобильных устройств – это, опять же, первый эффективный шаг: нельзя подключаться к подозрительным Wi-Fi сетям и нельзя передавать/использовать конфиденциальную информацию и финансовые данные в общественных Wi-Fi. Но также очень хорошо иметь решения безопасности, которые незамедлительно будут предупреждать пользователей в том случае, если сеть является подозрительной, еще до того как они подключатся к ней.
4. Атаки с использованием социальной инженерии
Кибер-преступники, которые применяют атаки с использованием социальной инженерии, ищут слабые места в человеческой натуре. Т.е. они используют обман так, чтобы пользователи сами скачали и запустили вредоносную программу или нажали на требуемую им ссылку, скачали файл или предоставили данные, которые не следовало бы предоставлять. Вот наиболее распространенные типы кибер-атак, и как мы отмечали в предыдущем посте, 6 из 10 наиболее эффективных фишинговых кампаний в 2018 году содержали слово «счет» или «инвойс» в теме письма, что позволяло им обманывать сотрудников, которые думали, что получали реальные счета.
И мобильным устройствам не чужды такие атаки. На самом деле, все наоборот. Согласно исследованию IBM, вероятность успеха фишинговой кампании повышается в три раза, если пользователи используют мобильное устройство. Причина в том, что барьер между работой и личными делами, даже при использовании корпоративного мобильного устройства, сильно размывается за пределами офиса. Это означает, что сотрудники иногда (а правильнее сказать – часто) используют эти устройства для просмотра более опасных сайтов, на которые они не ходят со своих компьютеров, или для ответа на письма в своих персональных почтовых аккаунтах, что может представлять серьезный риск для устройства.
Здесь также ключевым моментом является обучение сотрудников, для того, чтобы они научились безопасно просматривать сайты на своем корпоративном мобильном устройстве, быстро распознавали фишинговые письма и не доверяли подозрительным вложениям.
Как мы можем видеть, риски безопасности мобильных устройств могут представлять собой серьезную опасность для всей компании. Таким образом, для того чтобы корпоративные мобильные устройства не стали вектором атаки на компанию, крайне важно сочетать обучение сотрудников компании основам информационной безопасности с использованием лучших современных решений информационной безопасности.
