Kuinka uusi mobiilitietoturvamalli voisi hyödyttää suuririskisiä yrityksiä
Sisällysluettelo:
Yhdessä älypuhelimessa on nykyään enemmän laskentatehoa kuin mitä oli saatavilla tehtävän hallintaan Apollo 11:n kuulaskeutumisen aikana. Se on sellainen tulivoima, joka mahdollistaa valtavan tuottavuuden tien päällä. Mutta se on myös magneetti uhkatoimijoille, jotka haluavat salakuunnella keskusteluja ja siirtyä yritysverkkoihin ja pilvitietovarastoihin. Tällaiset kehittyneet hyökkäykset eivät ehkä ole uhka kaikille organisaatioille, mutta se ei juurikaan lohduta niitä, jotka ovat ristissä.
Onneksi Ison-Britannian kansallinen kyberturvallisuuskeskus (NCSC) on kehittänyt uuden mallin, joka voi auttaa verkon puolustajia torjumaan kybervastustajiaan. Monia vuosia kehitetty Advanced Mobile Solutions (AMS) voisi auttaa riskiorganisaatioita vähentämään vakavan datan ja järjestelmän vaarantumisen uhkaa.
Miksi uhkat ovat siirtyneet mobiiliin
Mobiiliuhkat ovat olleet olemassa jo pitkään. Mutta viime vuosina kaupalliset vakoiluohjelmien valmistajat ovat muuttaneet riskimaailmaa tutkimalla ja hyödyntämällä nollapäivän haavoittuvuuksia – erityisesti iOS-laitteissa. Ne myyvät eniten tarjoavalle, mikä mahdollistaa usein nollakosketuksen kyberhyökkäykset, jotka voivat vaarantaa kohdelaitteet ilman käyttäjän vuorovaikutusta. Heidän asiakaskuntansa koostuu autokraattisista hallituksista, joiden kohteina ovat usein toisinajattelijoita, toimittajia ja muita "levottomuuksia". Mutta tällaisia työkaluja voitaisiin yhtä helposti käyttää C-sarjan johtajien ja muiden korkean profiilin kohteiden vaarantamiseen.
Haaste, kuten NCSC selittää turvallisuusarkkitehti "Chris P" on, että useimmat organisaatiot eivät investoi mittatilaustyönä valmistettuihin, erittäin turvallisiin laitteisiin. Sen sijaan henkilökunta käyttää valmiita kuluttajalaatuisia puhelimia – jotka ovat monimutkaisia ja tehokkaita, mutta sisältävät myös todennäköisesti haavoittuvuuksia.
NCSC varoittaa, että niitä voidaan hyökätä paitsi laitteen läpi kulkevien viestien tai henkilön sijainnin tarkkailemiseksi, vaan myös yrityksen ydininfrastruktuuriin, kuten sähköpostipalvelimiin. Se on ongelma, joka on korostettu uudessa ISMS.onlinessa Tietoturvan tilaraportti 2024, jonka mukaan BYOD on suurin haaste Yhdistyneen kuningaskunnan vastaajille. Noin 30 prosenttia mainitsi sen tänä vuonna, kun se vuonna 25 oli 2023 prosenttia.
Esittelyssä AMS
Tässä on viraston uusi malli. AMS toteaa, että:
⦁ Yksittäiset laitteet voivat joskus vaarantua ja osa tiedoista häviää – se on tuottavuuden hinta
⦁ Koko laitekanta tulee suojata kompromisseille
⦁ Mikään kompromissi ei saa uhata massatietoja tai arkaluonteisten järjestelmien turvallisuutta
⦁ Järjestelmäriskiä (henkilöstö käyttää vähemmän turvallisia järjestelmiä ja kiertotapoja) tulisi vähentää
Olettaen, että kansallisvaltiot ja hyvät resurssit kyberrikollisryhmät pääsevät hyödyntämään nollapäivän hyökkäyksiä ja kehittyneitä sosiaalisen suunnittelun tekniikoita, AMS aikoo noudattaa kolmea periaatetta:
1) Mobiililaitteisiin ei voi luottaa, ja verkot tulee suunnitella siten, että laitteet ja tiedot on suojattu, jos yksi tai kaksi näistä laitteista vaarantuvat.
2) Ydinverkot ja -palvelut on suojattava "vankalla rajalla" mobiiliinfrastruktuurin ja runkoverkon välillä.
3) Pelkkä teksti, arkaluontoisia tietoja ei saa koskaan koota mobiiliinfrastruktuuriin. Tämä sisältää tiedon siirtämisen palvelimien välillä ja tallentamisen palvelimille
Kuuden pisteen arkkitehtuuri
Riskimallin taustalla on kuusi keskeistä arkkitehtonista elementtiä, jotka on suunniteltu havaitsemaan nopeasti kompromissit ja ottamaan ne nopeasti uudelleen käyttöön toipumaan:
Käytä mobiililaitteiden hallintaa (MDM) hallita laitteita turvallisesti ja sallia kaikki sovellukset. Käytä aina etäselaimen eristysyhdyskäytäviä päästäksesi Internetiin yhdistettyihin sovelluksiin. MDM-käyttöönottokokoonpanot voidaan suunnitella verkkotunnusten välisellä tekniikalla suojatakseen laivaston laajuisia kompromisseja.
Käytä parasta kaupallista tekniikkaa suojaamaan tietoja maailmanlaajuisissa verkoissa.
Käytä korkealaatuisia tai lyhytaikaisia VPN-päätteitä vähentääksesi Internetistä tulevan suoran hyökkäyksen riskiä. Ja valvontasäännöt DDoS-riskin vähentämiseksi ja haitallisen toiminnan tunnistamiseksi.
Suojaa etäkäyttöaluetta – Internetin ja verkkotunnusten välisten yhdyskäytävien välinen infrastruktuuri, joka suojaa yrityksen ydinjärjestelmiä. Varmista, että vain muutama palvelu tai käyttäjädata säilyy istuntojen ajan. Tämä vaikeuttaa hyökkääjien pysyvyyttä ja vähentää joukkotietovarkauksien riskejä. Tämän tason salauskerrokset auttavat myös vähentämään tietojen paljastamisriskiä.
Suojaa ydinverkkoja ja -järjestelmiä verkkotunnusten välisten ratkaisujen kautta, jotka on rakennettu laitteistopohjaisiin (FPGA) -pohjaisiin verkkotunnusten välisiin yhdyskäytäviin, jotta voidaan tarkastaa kaikki ydinverkkoihin tuleva data. Julkisen avaimen kryptografiaan perustuva käyttäjäidentiteetti auttaa suojautumaan tietojen suodattamiselta tällä tasolla.
Käynnissä oleva työ
NCSC ymmärtää, ettei kahta samanlaista organisaatiota ole. Siksi se kirjoittaa parhaillaan riskiohjeita, jotta yksittäiset turvallisuustiimit ymmärtävät kompromisseja, joita he saattavat joutua tekemään arkkitehtuurista poikkeamalla. Chris P:n mukaan AMS:ään perustuva hallinnoitu palvelu on jo saatavilla kaikkialla hallituksessa, ja virasto aikoo laajentaa mallin "malleja ja teknologiaa" muille kriittisen kansallisen infrastruktuurin sektoreille.
Mayur Upadhyaya, APIContextin toimitusjohtaja, toivottaa AMS:n tervetulleeksi "hyvin jäsenneltynä etenemissuunnitelmana", joka auttaa riskiorganisaatioita parantamaan arkaluonteisten tietojen mobiilikäyttöä.
"Sen ydinvahvuudet ovat sen realistisessa uhkamallissa, kerroksellisessa tietoturva-arkkitehtuurissa sekä jatkuvassa seurannassa ja nopeassa reagoinnissa", hän kertoo ISMS.online-sivustolle. "Turvallisuusasiantuntijat arvostavat todennäköisesti näitä näkökohtia, erityisesti keskittymistä kompromisseihin ja verkon segmentointiin."
Joillakin organisaatioilla voi kuitenkin olla vaikeuksia ottaa AMS:ää käyttöön sellaisenaan, hän lisää.
"Malli on vahvasti riippuvainen edistyneistä teknologioista, kuten korkealaatuisesta salaustekniikasta kuluttajalaitteissa, jotka eivät välttämättä ole helposti saatavilla. Lisäksi monimutkainen, kerroksittainen arkkitehtuuri, jossa on laitteistopohjainen tietoturva ja kehittynyt mobiililaitteiden hallinta, voi olla resurssivaltaista joillekin organisaatioille”, Upadhyaya väittää.
”Lisäksi tasapainon saavuttaminen turvallisuuden ja käytettävyyden välillä on ratkaisevan tärkeää. Tiukat säädöt voivat haitata käyttökokemusta ja mobiilityönkulun ketteryyttä. Ja datan yhdistämisen estäminen mobiiliverkoissa saattaa rajoittaa datapohjaisten mobiilisovellusten toimintoja."
Cybereasonin globaali kenttä CISO, Greg Day, lisää, että Applen sivulatauksen käyttöönotto iOS:ssä EU:n painostuksen seurauksena johtaa todennäköisesti mobiiliuhkien lisääntymiseen. Tämä tekee riskienhallinnasta entistä tärkeämpää yrityksille, jotka luottavat kannettaviin laitteisiin tuottavuuden kannalta, hän sanoo.
”Vaikka AMS:n ohjeistuksessa korostetaan MDM:n tärkeyttä, on yllättävää, ettei Mobile Threat Defense (MTD) ole myöskään korostettu ratkaisevana vaatimuksena. MDM on tehokas perusohjauksen luomisessa, mutta se ei pysty havaitsemaan kehittyneitä uhkia, kuten jailbreakattuja tai juurtuneita laitteita, Day kertoo ISMS.online-sivustolle.
”Toisin kuin MDM, joka keskittyy pääasiassa sovelluskauppojen käytön hallintaan ja sovellusten mustalle listalle, MTD arvioi jokaisen sovelluksen riskin sen toimintojen perusteella. Lisäksi MTD voi havaita verkko- ja tietojenkalasteluhyökkäykset tarjoten kehittyneempiä URL-suodatusominaisuuksia."
Viime kädessä mobiililaitteiden turvallisuuden haasteeseen ei ole olemassa nopeita ratkaisuja. Käyttäjien koulutus ja segmentointistrategiat ovat kuitenkin hyvä paikka aloittaa, hän väittää.
"Organisaatioiden on priorisoitava näkyvyys ja luotava riskialtista uintikaistaa erottamalla matalan, keskitason ja korkean riskin tiedot", Day päättää. "On ratkaisevan tärkeää estää korkean riskin datan liukuminen alhaisemman riskin luokkiin."
