Як незахищена Wi-Fi мережа може сприяти злому даних

В цій статті буде йти мова виключно про незахищений доступ до мережі як причина зростаючого ризику злому даних. Зокрема, розглянемо труднощі із забезпечення захищеного підключення до мережі BYOD та гостьових пристроїв. Коли люди обговорюють безпеку BYOD, вони часто мають на увазі тільки шифрування бездротових даних, які передаються повітрям. Як ми бачимо, хоча це і важливий елемент, проте це лише частина загальної проблеми.

Відсутність рольового доступу до мережі для BYOD та гостьових користувачів залишає відчинені двері для злому даних

Безпечний доступ до мережі означає допуск туди тільки тих, кому це потрібно. Не кожний злом є справою рук замаскованих кіберзлочинців. Багато з таких інцидентів трапляються через помилку. Навіть добромисні співробітники іноді допускають помилки, які призводять до небажаного розкриття даних. Чим більше людей мають доступ до певного набору даних, тим більша вірогідність того, що хтось з них зробить подібну помилку. І хоча про це навіть не хочеться думати, але інсайдери можуть навмисно викликати витік конфіденційних даних.

Розумна стратегія управління даними потребує, щоб користувачі мали доступ тільки до тих мережних ресурсів, які надано їм по роду діяльності в організації. Наріжним каменем такої стратегії є контроль, що базується на політиці: без нього можливий будь-який інцидент із даними. Якщо у вас немає можливості визначати політики обмеження доступу и контролювати їхнє виконання, тоді зростають шанси злому.

Навіть в середині самої організації, якщо хто-небудь передивляється дані, не маючи відповідної авторизації, це слід кваліфікувати як злом. Так, наприклад, працівники колл-центру не повинні мати доступ до серверу, який містить Excel файл із даними про зарплату працівників. Отже, рольова політика допуску до мережі є обов’язковою, а відсутність диференційованого мережного доступу загрожує безпеці даних.

Нездатність перевірити статус безпеки для BYOD і гостьових користувачів також загрожує проблемами

Багато з нас погодяться, що програми BYOD збільшують продуктивність службовців. І відвідувачі більшості оточення – в офісі, державних підприємствах, школах, коледжах – розраховують на те, що підключити власні пристрої буде не складніше, ніж тутешнім співробітникам. З цієї причини с мережі існує багато безконтрольних пристроїв із дротовим або бездротовим підключенням. ІТ-команди не контролюють їх в тій же мірі, як і офісну техніку, а відсутність належного управління може створити передмови для злому даних.

Свій елемент ризику створює і відсутність попередньої перевірки безпеки BYOD і гостьових пристроїв перед їхнім підключенням. Шкідливе програмне забезпечення, таке як кейлоггери, які записують натискання кожної клавіши на інформаційному пристрої, це одна з головних причин злому даних, і вам необхідно попередити розповсюдження таких програм у вашій мережі. Дозволяючи службовцю підключати власний BYOD-лептоп без перевірки і не знаючи, чи встановлений на ньому антивірус, ви залишаєте прогалину в захисті, яку слід закрити. Більш того, сигнатури шкідливих програм у цього антивіруса повинні своєчасно оновлюватися. Перевірка при вході до мережі дозволяє гарантувати, що основні норми безпеки були дотримані при підключені пристроїв.

Більшість користувачів, що добре знаються на техніці, захищають власні телефони або планшети за допомогою PIN-коду. Але уявімо, що співробітник підключить власний BYOD-телефон до мережі і отримає доступ до ресурсів, які містять конфіденційні дані. Далі припустимо, що це новий телефон, на якому ще не встановили PIN. Потім хтось краде цей телефон.

Мережа не може знати, що злочинець не є співробітником, тому для пристрою лишаються відкритими попередні мережні ресурси. Тут знову відсутність перевірки статусу безпеки наражає дані на ризик. При правильному контролі безпеки від співробітника вимагають активації PIN-коду, інакше його пристрій не зможе підключитися до мережі.

Незашифрований бездротовий трафік даних – це ще одна прогалина в ІТ-захисті

Цей розділ присвячено вразливості, характерної лише для бездротового доступу. Якщо не шифрувати трафік між бездротовими точками доступу та пристроями, то дані, що пересилаються, можна побачити за допомогою комерційно доступних засобів аналізу мережі. (Таким чином, хтось може шпигувати за тим, що ви робите в місцевому кафе через відкрите публічне з'єднання Wi-Fi).

Зрозуміло, що в наші дні багато веб-сайтів шифруються автоматично. Але дуже часто не усі компоненти сторінки виявляються зашифрованими, і користувачі не можуть знати, які з них безпечні, а які – ні. Мобільні додатки також можуть шифрувати трафік своїх даних, а можуть і не робити цього. Крім того, розробники віддають перевагу тому, аби не робити цього, тому що шифрування збільшує навантаження на сервери, які підтримують роботу їхніх мобільних додатків.

Важко уявити, щоб в корпоративній мережі хтось не шифрував бездротовий трафік. Тим не менш, MAC-аутентифікація – один з основних методів авторизації при підключені пристроїв – не шифрує бездротовий трафік. Доволі часто ІТ-адміністратори надають один або більше відкритих SSID в деяких середовищах, наприклад, гостьовим користувачам: зазвичай така практика має місце в організаціях, де не існує відпрацьованої процедури безпечного підключення до мережі. Незалежно від обставин, незашифрований трафік є вразливим місцем в безпеці мережі.

Один із способів закрити ці (та інші) прогалини мережної безпеки

Чудово, що ви можете з легкістю блокувати згадані та інші прогалини у захисті, які трапляються через небезпечні механізми мережного доступу. Для усього цього потрібно лише запровадити систему безпечного підключення і мережної аутентифікації. Фахівці Ruckus впевнені, що технологія Cloudpath Enrollment System надає найкраще в індустрії поєднання простоти розгортання із потужними функціями безпеки. Якщо ці питання турбують вас, то саме час подумати про цю пропозицію – детальна інформація про систему доступна за посиланням. Також тут можна замовити реальну демонстрацію цієї системи в режимі онлайн.