Consumerization; gittikçe kullanımı artan bir terminoloji, bilgi teknolojileri alanında yeni çıkan ürünlerin ilk önce son kullanıcılara sunulması ve daha sonra işletmeler tarafından benimsenmesi/kullanılması anlamına geliyor. Son kullanıcıların kendi cihazlarını getirmesi ve iş için kullanması trendinde ciddi bir artış var. Bring Your Own Device (BYOD) kavramı da, kurumların akıllı cihazlara yatırım yapmayarak, çalışanların kendi cihazlarını iş amaçlı kullanmasına olanak sağlamasından oluşuyor.
Gartner CIO‘nun son anketine göre, katılımcıların %75’inde son kullanıcılar kendi cihazlarını şirket network’üne, izinli veya izinsiz bir şekilde bağlıyorlar. Özellikle mobil uygulamaların pazardaki büyüme hızı şok edici. Örnek vermek gerekirse, 1 milyon kullanıcıya ulaşması; AOL’ın 9 Yıl, Facebook’un 9 ay, Draw Something’in 9 gün sürdü. Bu durum, işin her yerde devam etmesi ve üretkenliğin arttırılması açısından pozitif, ancak bu trend ile birlikte çalışanlar ve IT arasında yaşanan güvenlik ve yönetim problemlerini görmeye başlıyoruz.
Şirket ağlarına bağlanan bu cihazların kullanıcılarının, genel wifi erişimleri ve 3G dahil her türlü erişim metoduyla bağlantı sağlayan, hem kişisel hem de kurumsal veriyi aynı cihaz üzerinde kullanan, kurumsal ve kişisel uygulamaları çalıştıran ve cihaz üzerindeki veriyi harici veya bulut depolama disklerine gönderen bir profilde olduğunu görüyoruz.
Böyle bir ortamda bizim endişelerimiz;
- Cihazlar üzerindeki kuruma ait veriler,
- Kurum ağına bağlı cihaz tipleri,
- BYOD cihazları için farklı politikalar,
- Mobil uygulamaların kullanımı ve kontrolü ile jail-brake yapılmış cihazların tespiti / politikaları,
- Yönetim ve dağıtım ihtiyaçları,
olarak ortaya çıkmakta.
2011 başlarında DroidDream atağı, 50’den fazla uygulama içerisine yerleştirilerek Android Market‘e post edildi. Google güvenlik açığı temizleme projesi adı altında tüm Android cihazlarından bu uygulamaları sildi. Çünkü Google, cihazlar üzerindeki uygulamaları güvenlik önlemi olarak uzaktan siz hissetmeden silebiliyor ve bu ilk defa olmadı. Android açık bir işletim sistemi olduğu için, isteyen herkes bir uygulamayı alıp içerisine zararlı kod enjekte ettikten sonra tekrar Android Market’e post edebilir. DroidDream mobile botnet tipinde bir malware ve 2011 yılı baharında tespit edildi. Android cihazlarda root access’i elde ederek, cihazlar üzerinden telefonun Unique ID numarasını alıyor. Ayrıca gece 11 ile sabah 8 arasında da telefona, yine trojan bulaştırılmış zararlı uygulamaları install ediyor. Genellikle insanlar bu saatler arasında uyuyor oluyor ve telefonunu kullanmadığı için rahatça kimse farkına varmadan uygulama install ediyor. O yüzden de bu atağın adına DroidDream deniyor.
Google Play ile, uzaktan tüm android cihazlarınızdaki uygulamaları kurmak veya kaldırmak mümkün olduğu gibi bu altyapı, zararlı uygulama geliştiriciler tarafından da kullanılmakta.
iOS işletim sistemleri üzerinde görülen bir trojan da, “Find and Call” isimli uygulamada mevcut. Bu trojan da kullanıcının tüm adres defterini bir uzak sunucuya upload ediyor ve bu uzak sunucu üzerinden de, upload edilen telefon numaralarına SMS spam yaparak, bu uygulamanın yüklenmesi için gerekli URL’i gönderiyor.
Çalışanlar, kişisel cihazlarını iş ortamında kullanmak ve kurumsal verilere erişmek istediklerinde, IT kurumsal verileri koruyabilmek için bu cihazlar üzerinde kontrol yetkisi istemekte. Bununla birlikte, çalışanlar kendi cihazlarının IT tarafından kontrol edilmesini istemiyorlar. İşte bu noktada, cihazın kontrolü ile ilgili, üzerinde yürümek zorunda olduğumuz çok ince bir çizgi bulunmakta. Eğer bir adım geriye gidecek ve probleme bakacak olursak, burada kontrol edilmesi ve korunması gerekenin kurumsal veri olduğunu görürüz, cihazın kendisinin değil.
Peki mevcut yaklaşımlardaki çözüm opsiyonları neler?
Opsiyon 1: Device kontrolleri için ActiveSync kullanımı. Bu bize, Exchange’e erişim, parola yönetimi, uzaktan cihazı wipe etme gibi temel kontrolleri yapmamızı sağlıyor. Ancak veri sızıntısı veya zararlı kodlardan koruma anlamında bir çözüm sunmuyor.
Opsiyon 2: Kurumsal uygulamaları bir server havuzunda uzaktan çalıştırma ve sadece ekran görüntülerini tablete basma. Burada çok ciddi bir yatırım ve geliştirme maliyeti karşımıza çıkıyor ancak veri koruması için yine limitli bir çözüm sağlanıyor.
Opsiyon 3: Cihaz üzerinde bir VPN client kullanarak internet trafiğini kurum ağına yönlendirmek. Bu da daha yüksek altyapı ve yönetim maliyetleri ortaya çıkarmakta.
Opsiyon 4 – MDM Çözümleri Kullanmak: Bu opsiyonda da, cihaz seviyesinde kontroller yapmak mümkün, fakat sunulan çözümler içerikten habersiz, zararlı kodlara ve veri sızıntılarına karşı açıktırlar.
Peki cevap ne?
Şu anda, Mobile Security alanındaki üreticiler Mobile Device Management (MDM) üzerine focus oluyorlar. Ancak bu çözümün sadece bir parçasını oluşturabiliyor. Mobile Security ise, sadece cihaz yönetiminden daha fazlasını içermekte.
Mobile security, açıkların varolduğu tüm caddelerin kapatılması demek. Bunun anlamı, Web kanalı üzerindeki Web Security’nin, Android cihazları için Mobile malware ve zararlı uygulamalardan korumanın, mobil cihazlara gönderilen şirket mesajları için mobile dlp özelliklerinin ve MDM özelliklerinin bir arada sunulması demektir.
Triton Mobile Security içerisindeki korumaların diğerlerinden farkı pazar-lideri Web Security çözümünü içeriyor olmasıdır.
Bu çözüm içerisinde;
- ACE ediğimiz signature bağımsız Advanced Classification Engines,
- ThreatSeeker network’ü
- MDM içerisine bağlanmış, Android kullanıcıları için mobile malware ve malicious app protection
bulunmaktadır.
Tüm bu TRITON parçaları bütünleşik bir yönetim sistemi ve en düşük toplam satın alma maliyeti ile birlikte sunulmakta.
Websense Mobile Application Trackers şu ana kadar marketteki 300.000’den fazla uygulamayı taradı ve kategorizasyonunu yaptı.
TRITON Mobile Security (TMS) cloud-based bir çözüm olup;
- Mobile malware
- Malicious applicaiton’lar
- Phishing and scam
- advanced malware
- Veri hırsızlığı
için çözüm sağlamakta.
TMS aynı zamanda; Bring Your Own Device (BYOD)’lar için ayrı, enterprise cihazlar için farklı olabilecek şekilde, email tarafında mobile DLP için ve ayrıca web security ve uygulamalar için de kontroller sağlamakta. Detaylı raporlamalar ve dlp politikaları sayesinde yasal uyumluluklara yardımcı olmakta.
TMS, kuruma veya kişilere ait (BYOD) cihazlar için farklı politikalar geliştirebilmenize olanak tanıyor. Bu sayede kurumsal cihazlar üzerinde daha fazla cihaz kontrolü yaparken, kişisel cihazlar üzerinde sadece kurumsal veri kontrolleri yapabilirsiniz.
Peki nasıl yapıyoruz?
TMS bir bulut çözümü olup, web security, mobile malware ve malicious application protection çözümleri sunmakta. Tüm erişilen web sayfaları, gerçek zamanlı olarak taranır, zararlı kod bulaşmış siteler, phishing ve scam siteleri tespit edilerek erişim engellenir. Mobile application tracker ise, android kullanıcıları için koruma sağlar. Websense Mobile App Tracker açık android market’ler üzerindeki (örneğin Amazon, Google gibi) uygulamaları analiz ve kategorize eder. Mobil cihazlardan çıkan web ve uygulama trafiğini, güvenli bir vpn bağlantı üzerinden Websense cloud’a yönlendirerek analiz edebilmekteyiz. Güvenli VPN bağlantısı, trafik cihazdan çıktığı anda otomatik olarak kurulur, böylece sadece ihtiyaç duyulduğunda devreye gireceği için cihazın pil ömrünü de kısaltmamış oluruz. Bu vpn bağlantısı tüm 3G veya Wi-Fi bağlantıları üzerinden otomatik aktif olur. Böylece nerede olduğunuzun bir önemi olmadan koruma sağlamış oluruz.
Eğer şöyle bir düşünecek olursa, email üzerinden transfer edilen bir çok kurumsal verimiz bulunmakta. Şu andaki ActiveSyn uyumlu cihazlar için (ios, android, windows gibi) şirket içerisindeki email’ler ile giden-gelen mesajların, mobile cihazlara senkronizasyonunu kontrol edebilir ve istemediğimiz/kritik gördüğümüz kurumsal veri içeren mesajların, mobile cihazlara senkronizasyonunu engelleyebiliriz.
Bunun anlamı, PCI ve müşteri verilerinin bulunduğu e-postaların mobil cihazlara active sync ile transferini yaparken kontrol etmek ve gerektiğinde bloklamak mümkün olmakta. Şu andaki DSS veya ESG ürünlerimizi kullanan müşterilerimiz de hali hazırda bu özelliği kullanabilmektedir.
BYOD stratejilerimiz için best practice:
- Amaçları belirleyin
- Cihaz üzerindeki kurumsal verinin kullanımı ve korunması
- Yasal uyumluluklar
- Tehditlerin farkında olmak
- Kayıp ya da çalındı cihazlar
- Kurumsal verinin kötüye kullanımı
- Web/Ağ tabanlı ataklar
Alınması gereken karşı önlemler ve kontroller neler peki?
- Sadece belirli bir tipteki cihazların bağlanmasına izin vermek
- Mobil cihazlar için bir güvenlik politikasının oluşturulması
- Kişiseş cihazlar için bir politika belirleyip bunu Acceptable Use Policy ile entegre etmek gerekiyor. Böylece çalışanlar kendi cihazları ile kurumsal verilere erişmek istediklerinde, kabul etmek zorunda kaldıkları bir sözleşme olacaktır.
- Kurumsal veriye erişen cihazlar için, olması gereken minimum security durumunu belirlemek gerekiyor. Böylece olmazsa olmazlarımızın altını çizmiş oluruz.
- Mahremiyet ile kurumsal verinin ve uygulamaların kullanımındaki kişisel sorumlulukların ayrılması konusunda net olmalıyız.
- BYOD cihaz kapsamına giren cihazlar için net bir servis politikası belirlememiz ve ucu açık noktalar bırakmamalıyız.
- Bir çalışanın şirketten ayrılması durumunda neler yapacağımıza dair bir politikamız olmalı ve son olarak da tüm bu hazırlanan politika ve prosedürleri, BYOD cihaz sahiplerine açık bir şekilde bildirmeliyiz.
