Три способа, которыми незащищённая Wi-Fi может способствовать взлому данных

12 октябрь, 2018 - 14:50Андрей Блинов

В этом блоге мы говорим конкретно о незащищенном доступе к сети как о причине растущего риска взлома данных (data breach). Мы в частности рассматриваем сложности с обеспечением безопасного подключения к сети BYOD и гостевых устройств. Когда люди обсуждают безопасность BYOD, они часто имеют в виду только шифрование беспроводных данных, передаваемых по воздуху. Как мы увидим, это хотя и важный элемент, но лишь часть общей проблемы.

Перед тем как начнём, нужно оговорить, что тут представлен далеко не исчерпывающий перечень путей, которыми недостаточные меры обеспечения безопасности доступа к сети могут поставить под угрозу конфиденциальные данные. И хотя в заголовке упоминаются только незащищенные сети Wi-Fi, первые два пункта из перечисленных ниже также справедливы для устройств, подключаемых к сети через проводное соединение.

Отсутствие ролевого доступа к сети для BYOD и гостевых пользователей оставляет открытую дверь для взлома данных

Безопасный доступ к сети значит допуск туда только тех, кому это нужно. Не каждый взлом — дело рук замаскированных киберпреступников, таящихся в темноте. Многие такие инциденты случаются по оплошности. Даже благонамеренные сотрудники иногда допускают ошибки, ведущие к нежелательному раскрытию данных. Чем больше людей имеют доступ к конкретному набору данных, тем больше вероятность того, что кто-то из них совершит подобную ошибку. И хотя об этом не хочется думать, но инсайдеры могут намеренно вызывать утечку конфиденциальных данных.

Разумная стратегия управления данными требует, чтобы пользователи имели доступ только к тем сетевым ресурсам, которые положены им по роду деятельности в организации. Краеугольным камнем такой стратегии является контроль, основанный на политиках: без него вы напрашиваетесь на инцидент с данными. Если у вас нет возможностей определять политики ограничения доступа и контролировать их выполнение, шансы взлома повышаются.

Даже в самой организации, если кто-либо просматривает данные, не имея соответствующей авторизации, это следует квалифицировать как взлом. Так, например, работники колл-центра не должны иметь доступ к серверу, содержащему файл Excel с данными о зарплате персонала. Итак, ролевая политика допуска в сеть является необходимостью, а отсутствие дифференцированного сетевого доступа угрожает безопасности данных.

Неспособность проверить статус безопасности для BYOD и гостевых пользователей также чревата проблемами

Многие из нас согласятся, что программы BYOD увеличивают продуктивность служащих. И посетители большинства окружений — в офисе, государственной организации, школе, колледже или просто людном месте — рассчитывают, что подключить свои устройства им будет не сложнее, чем здешним сотрудникам. По этой причине в сети присутствует множество неадминистрируемых устройств с беспроводным или проводным подключением. ИТ-команды не контролируют их в той же мере, как штатную технику, а отсутствие должного управления может создавать предпосылки для взлома данных.

Свой элемент риска вносит и отсутствие предварительной проверки безопасности BYOD и гостевых устройств перед их подключением. Вредоносное ПО, такое как кейлоггеры, записывающие нажатие каждой клавиши на клавиатуре инфицированного устройства, это одна из главных причин взлома данных, и вам нужно предотвратить распространение таких программ в вашей сети. Разрешая служащему подключать свой BYOD-лэптоп без проверки, установлен ли на нём антивирус, вы оставляете в защите брешь, которую следует закрыть. Более того, сигнатуры вредоносных программ у этого антивируса должны своевременно обновляться. Проверка при входе в сеть позволит гарантировать, что в подключаемых устройствах соблюдены основные нормы безопасности.

Большинство технически подкованных пользователей мобильных устройств защищают свой телефон или планшет с помощью PIN-кода. Но представим, что сотрудник подключит свой BYOD-телефон в сеть и получит доступ к ресурсам, содержащим конфиденциальные данные. Далее предположим, что это новый телефон, на котором ещё не успели задать PIN. Потом, кто-то крадёт этот телефон.

Сеть не знает, что вор не является сотрудником, и для устройства остаются открыты прежние сетевые ресурсы. Здесь снова отсутствие проверки статуса безопасности подвергает риску данные. При правильном подходе к контролю безопасности от сотрудника требуется активация PIN-кода, иначе его устройство не сможет подключиться к сети.

Незашифрованный беспроводной трафик данных это ещё одна дыра в ИТ-защите

Этот раздел посвящен уязвимости, которая характерна только для беспроводного доступа. Если не шифровать трафик между беспроводными точками доступа и устройствами, то пересылаемые данные можно увидеть, используя коммерчески доступные средства анализа сети. (Точно так же кто-нибудь может шпионить за тем, что вы делаете через открытое публичное соединение Wi-Fi в местном кафе).

Разумеется, в наши дни многие веб-сайты шифруются сами. Но, зачастую, зашифрованными оказываются не все компоненты страницы, и пользователи не могут знать какие из них безопасны, а какие нет. Мобильные приложения тоже могут шифровать, а могут и не шифровать трафик своих данных. Более того, разработчики предпочитают не делать этого, ибо шифрование увеличивает нагрузку на серверы, поддерживающие работу их мобильных приложений.

Представляется невероятным, что в корпоративной среде кто-то не шифрует беспроводной трафик. Тем не менее, MAC-аутентификация — один из основных методов авторизации при подключении устройств — не шифрует беспроводной трафик. Довольно часто ИТ-администраторы предоставляют один или больше открытых SSID в некоторых средах, например, гостевым пользователям: обычно такая практика имеет место в организациях, где нет отработанной процедуры безопасного подключения к сети. Вне зависимости от обстоятельств, незашифрованный трафик данных представляет слабое место в безопасности сети.

Один из способов закрыть эти (и другие) дыры сетевой безопасности

К счастью, вы можете легко блокировать упомянутые и прочие бреши в защите, проистекающие от небезопасных механизмов сетевого доступа. Для этого всего лишь нужно внедрить систему безопасного подключения и сетевой аутентификации. Специалисты Ruckus уверены, что технология Cloudpath Enrollment System предоставляет лучшее в индустрии сочетание простоты развёртывания с мощными функциями безопасности. Если затронутые в этом блоге проблемы безопасности волнуют вас, то в самый раз подумать об этом предложении — начать можно с обзорного видео продукта. Углубить знакомство можно, проследовав на страницу продукта, где вы даже сможете заказать реальную демонстрацию действия этой системы в режиме онлайн.