В течение многих лет компании позволяли своим сотрудникам совмещать работу и удовольствие на своих мобильных устройствах, что вызывает беспокойство у специалистов по кибербезопасности. Теперь компания по сетевой безопасности заявляет, что у нее есть способ защитить персональные мобильные устройства, который может позволить кибервоинам спать менее беспокойно.
Cloudflare в понедельник анонсировала свою SIM-карту Zero Trust, которая предназначена для защиты каждого пакета данных, покидающего мобильное устройство. После установки на устройство ZT SIM отправляет сетевой трафик с устройства в облако Cloudflare, где к данным могут быть применены его политики безопасности Zero Trust.
Согласно блогу компании, написанному директором по продуктам Cloudflare Мэттом Сильверлоком и директором по инновациям Джеймсом Олвортом, объединяя безопасность на программном и сетевом уровнях с помощью ZT SIM, организации могут получить следующие преимущества:
- Предотвращение посещения сотрудниками фишинговых и вредоносных сайтов. DNS-запросы, исходящие от устройства, могут автоматически и неявно использовать Cloudflare Gateway для DNS-фильтрации.
- Предотвращение распространенных SIM-атак. Подход, ориентированный на eSIM, может предотвратить атаки с подменой или клонированием SIM-карт, а за счет блокировки SIM-карт для отдельных устройств сотрудников обеспечить такую же защиту для физических SIM-карт.
- Быстрое развертывание. eSIM можно установить, отсканировав QR-код камерой мобильного телефона.
Недоверие к персональным устройствам
«Многие организации не доверяют устройствам, которым они не управляют, для доступа к конфиденциальным корпоративным данным по многим веским причинам», — заметил Гартнер Старший директор-аналитик Чарли Винклесс.
«Большинство из нас немного менее осторожны с нашими личными устройствами, чем с нашими рабочими устройствами», — сказал он TechNewsWorld. «Кроме того, на личном устройстве меньше элементов управления, чем на бизнес-устройстве».
«SIM-карта с нулевым доверием — это подход, позволяющий некоторым из этих личных устройств контролировать корпоративную сеть при их подключении», — добавил он.
По словам Малика Ахмеда Хана, аналитика по акциям Morningstar в Чикаго, при распределенной рабочей силе классическая звездообразная модель безопасности устарела.
«Итак, у вас есть сотрудники, которые получают доступ к ресурсам компании с помощью мобильного устройства, сидящего по всей стране в своем собственном доме», — сказал он TechNewsWorld. «Как вы обеспечиваете их доступ? Это большой вопрос, на который должны ответить фирмы».
Ответом на этот вопрос для многих организаций стала установка программных агентов на телефоны своих сотрудников в рамках системы управления мобильными устройствами (MDM), что может раздражать сотрудников.
«Защитить чье-либо личное устройство по своей природе сложнее, потому что владелец может не хотеть, чтобы его устройством управлял кто-то другой», — сказал Роджер Граймс, евангелист по защите данных в ЗнайБе4организатор обучения по вопросам безопасности в Клируотере, штат Флорида.
Хан утверждал, что принятие будет ключевой проблемой для Cloudflare. «Есть две степени убеждения, которые должны произойти», — сказал он. «Во-первых, Cloudflare нужно убедить фирмы заняться этим, а во-вторых, фирмам нужно убедить своих сотрудников использовать eSIM».
Аппаратные ограничения
Граймс добавил, что есть и другие проблемы, с которыми сталкиваются организации, занимающиеся BYOD. «Операционные системы для телефонов просто не обладают той сложностью, которая необходима для включения и применения методов, которые очень часто применяются на обычных компьютерах», — сказал он TechNewsWorld.
«Например, — продолжил он, — очень сложно установить исправление, чтобы телефоны и все их приложения всегда были в актуальном состоянии. Во многих случаях ОС телефона будет исправлена только тогда, когда поставщик телефонной сети, такой как Verizon или AT&T, решит выпустить исправления».
«Пользователь не может просто нажать на функцию обновления и получить новый патч, если только производитель телефона не одобрил и не решил разрешить его установку», — сказал он.
При рассмотрении решения eSIM важно знать, что оно делает и чего не делает, — заметил Крис Клементс, вице-президент по архитектуре решений в Цербер Стражконсалтинговая компания по кибербезопасности и тестированию на проникновение в Скоттсдейле, штат Аризона.
«Использование eSIM от Cloudflare соединяет мобильные устройства для передачи данных с сетью Cloudflare, где может происходить блокировка вредоносных доменов или сайтов, не одобренных политиками организации», — сказал он TechNewsWorld.
«Существуют также возможности для регистрации подключений, которые проходят через сотовую сеть передачи данных, которые компании обычно не могут отслеживать», — добавил он.
Осложнения МДМ
Однако, продолжил он, сквозного шифрования нет, а блокировка и регистрация ограничены только сотовыми соединениями для передачи данных. Например, подключение для передачи данных Wi-Fi не зависит от предложения eSIM.
«Решение Cloudflare eSIM может быть дешевле и проще, чем развертывание полных решений для управления мобильными устройствами и всей сети VPN, которые охватывают как Wi-Fi, так и сотовые соединения для передачи данных, но оно не обеспечивает тот же уровень контроля и безопасности, который предлагают эти решения», — он сказал.
«Возможность смягчить взлом учетной записи пользователя, предотвращая подмену SIM-карты для перехвата кодов многофакторной аутентификации, полезна, но в действительности реализация многофакторной идентификации с помощью SMS-кодов уже не является лучшей практикой», — добавил он.
Однако Хан отметил, что у решений на основе агентов есть проблемы, которые призвано решить предложение Zero Trust SIM. «Проблема с этими развертываниями заключается в том, что они требуют от пользователя глубокого погружения в настройки своего устройства, принятия набора сертификатов и включения разрешений для агента», — пояснил он.
«Хотя это гораздо проще сделать на ноутбуке или мобильном устройстве, выпущенном компанией, поскольку агент будет предварительно настроен, на BYOD сделать это значительно сложнее, поскольку сотрудник может не настроить все должным образом, оставив конечную точку все еще частично обнажены», — сказал он.
«Представьте, что вы работаете в команде ИТ-безопасности в фирме с тысячами сотрудников и пытаетесь заставить каждого из них выполнить ряд действий на своих личных устройствах», — продолжил он. «С точки зрения логистики это может быть кошмаром».
«Кроме того, — добавил он, — может возникнуть проблема с однородным обновлением агента и постоянным требованием к сотрудникам использовать последнюю версию операционной системы».
Большая головная боль мобильного телефона
В дополнение к ZT SIM-карте Cloudflare также объявила о своей программе Zero Trust для операторов мобильной связи, призванной дать операторам мобильной связи возможность предложить своим подписчикам доступ к платформе Cloudflare Zero Trust.
«Когда я разговариваю с директорами по информационной безопасности, я снова и снова слышу, что эффективная защита мобильных устройств в масштабе — одна из их самых больших головных болей. Это недостаток всех развертываний Zero Trust», — заявил Мэтью Принс, соучредитель и генеральный директор Cloudflare.
«С SIM-картой Cloudflare Zero Trust, — добавил он, — мы предложим единственное комплексное решение для защиты всего трафика устройства, помогая нашим клиентам закрыть эту дыру в их системе безопасности с нулевым доверием».
Впрочем, как рынок отреагирует на это решение, пока неясно. «Я не слышал, чтобы клиенты Gartner просили об этом, — сказал Уинклесс. «Может быть, они видели что-то, чего не видел я. Итак, мы собираемся посмотреть, является ли это ответом на вопрос, на который никто не должен отвечать, или преобразующим способом обеспечения безопасности».
