2012
Mobile Security Riscos para os Dados Corporativos
nas plataformas Mobile
Fernão Santos
Antes, a informação estava em...
Agora...
A capacidade de armazenamento dos Celulares superou a das midias e dispositivos convencionais (pendrive, DVD-ROM, Blu-Ray).
Se tornou rapidamente o local de armazenagem preferido dos usuários
Algumas plataformas permitem atualmente um número quase ilimitado de instalações de Apps
Aumento da capacidade e miniaturização do dispositivo
BYOD: “Marmita Digital”
Bring Your Own Device, transfere para o usuário o custo de aquisição da plataforma e “manutenção” do device
É uma tendência
Pode aumentar a complexidade de administração de múltiplas plataformas
Implica em novos riscos para Segurança Física e Lógica dos dados corporativos
Devido ao tamanho reduzido, aumenta o risco de furto/roubo do aparelho
Com uma grande base de usuários das principais plataformas, qualquer pessoa sabe operar o device
Informações de desbloqueio (jailbreak, root access, password crack) estão amplamente disponíveis na web
O aparelho não precisa estar conectado para acesso a dados armazenados localmente
Cartões/Chips de armazenamento são facilmente removíveis.
Principais Riscos de Segurança Física
Instalação de Apps não certificados
Uso do aparelho para acesso a conteúdo não seguro
Não utilização de senhas de acesso/bloqueio de agendas, dados e senhas de segurança do aparelho
Ausência de criptografia para armazenamento dos dados
Senhas compartilhadas e facilmente “quebráveis”
Principais Riscos de Segurança Lógica
Ainda não há plataforma mobile totalmente
segura!
Fonte: Diário Android 2011 http://bit.ly/tGLxtd
Utilização do mesmo device para armazenar dados corporativos e pessoais
O mesmo dispositivo que é utilizado para jogos, guarda projetos, relatórios e planos de expansão de uma corporação
Um dispositivo contaminado por vírus, malwares e trojans tem acesso à rede corporativa.
Segurança Lógica é o principal fator de risco
Malware Spyware, vírus, trojans, worms...
Loss and Theft Roubo de Dados de celulares perdidos ou furtados
Data Communication Interception Qualquer tipo de interceptação de dados na comunicação,
incluindo emails, textos, voice calls, arquivos armazenados, etc.,
Direct Attacks Mensagens (SMS) enviadas com conteúdo potencialmente
perigoso (URL para instalação de um App com vírus, etc) e os chamados browser exploits (buffer overflow, por exemplo).
Tipos mais comuns de ameaças
Já houve aumento expressivo de malwares
Fonte: Juniper 2012 http://bit.ly/wJ3JBG
Fonte: Symantec 2012 http://bit.ly/IB3HXK
Acesso indevido de dados ainda é a principal ação dos malwares
Com o mobile como meio de pagamento, o risco de ataques com prejuízo
financeiro será maior
Fatores que contribuem para o aumento dos riscos
Fonte: Wired 2012 http://bit.ly/zghSys
Instalação de Apps não certificados e de origem não verificada, Jailbroken e root access, são as
principais origens de problemas.
Gerenciando o Risco
Treinamento e orientação dos usuários de dispositivos mobile
◦ Estabelecer os padrões de dispositivos que podem ser conectados à rede corporativa
◦ Definir as políticas de armazenamento de dados nos devices e em seus respectivos chips de acesso.
◦ Elaborar critérios de armazenamento dados de segurança nos devices (evitar arquivos contendo senhas da rede corporativa, etc)
Gerenciando o Risco
Garantir que os dispositivos tenham solução anti-malware homologada
◦ Que seja eficiente contra Spyware, cards infectados (SD, MicroSD, armazenamento interno) e anti-malware-based-attack.
Fazer a instalação de Apps de fontes certificadas
◦ Utilizar apenas stores oficiais como Google Play, Apple Store, Amazon, Samsung
Gerenciando o Risco
Oriente os usuários para que tenham cautela com Apps que solicitam pequenos pagamentos ou solicitem qualquer troca de dados via SMS
Utilize SSL VPN Clients nos devices quando houver necessidade de troca de dados/sincronização entre os aplicativos corporativos
Implemente métodos de administração centralizada (MDM) para reforçar e monitorar o cumprimento da política de segurança em todos os devices
Gerenciando o Risco – Controles Avançados
Criptografia de informações que são armazenadas nos devices e cartões/chips de armazenamento
Autenticação de dispositivos
Validação pré-conexão ◦ Verificar se há Cydia instalada ou se há acesso de root no dispositivo, etc
Desenvolvimento de soluções de controle dos dados ◦ Remover dados de identificação da VPN, remover dados após senhas
incorretas, implementar notificações se alguma caracteristica do device for modificada.
O que vem por ai...
Ampla adoção de Soluções de MDM
Sofisticação de ameaças utilizando m-P2P (mobile Peer-to-Peer)◦ Maior incidência de ataques via NFC,
Bluetooth, Wi-Fi direct
www.obelixsolutions.com.br