Country not specified
Unknown website Share

Apps4all

Страна: -
Город: -
Был онлайн: -
О себе:
 
08-07-2016, 10:54
Apps4all

Сергей Халяпин (Citrix): «Основное, что должно требоваться от разработчиков - это не идти на компромисс с безопасностью»

Согласно большинству аналитических исследований, безопасность является основным сдерживающим фактором для внедрения как программы мобильности предприятия, так и концепции использования личных устройств сотрудников.

Редакция Apps4All поговорила с Сергеем Халяпиным, главным инженером представительства Citrix в России и странах СНГ, и узнала, как защитить корпоративные данные в условиях мобильности, BYOD и облачных сервисов, а также выяснила, какие новые вызовы безопасности бросают вошедшие в моду концепции «Интернет вещей» и «Большие данные».

Сергей, добрый день. Для начала расскажите, какие задачи вы решаете для Citrix и чем занимались до этого?

В январе 2016 года пошёл мой 10-ый год работы в российском представительстве компании Citrix Systems, где я отвечаю за технологическое развитие партнёров; работу с альянсовыми партнёрами, работу с российскими ISV, технологическую поддержку продаж на рынке России и стран СНГ, распространение знаний о технологиях и продуктах Citrix, сертификацию решений на соответствие требованиям Российского законодательства, а также общение с журналистами по вопросам технологий. До прихода в Citrix Systems я работал в компании Ай-Теко инженером по технологиям Microsoft (AD, Exchange, Office Communication Server, Identity Integration Server), а до этого был руководителем ИТ службы в финансово-инвестиционной компании.

Какие задачи с точки зрения ИБ возникают при использовании различных устройств в бизнес-среде?

При использовании в корпоративной среде различных устройств, а особенно принадлежащих сотрудникам возникает целый ряд задач, которые необходимо решить, для безопасной и комфортной мобильной работы. 

В первую очередь, это применение корпоративных политик безопасности к мобильным устройствам – политики по сложности паролей; возможность подключения по сертификатам к корпоративным Wi-Fi сетям; блокирование доступа устройств подвергнутых операции jailbreak или root. 

Следующим шагом является безопасное подключение к корпоративным интранет ресурсам и системам обмена сообщениями – внутренние web-порталы, почтовые системы, системы обмена мгновенными сообщениями (унифицированные коммуникации). Затем логично будет организовать защиту файлов, используемых для обеспечения работы на различных устройствах. 

Более серьёзной задачей на следующем этапе будет защита мобильных приложений, однако для этого организация должна достичь высокого уровня развития, при котором для работы будут появляться специализированные мобильные приложения под соответствующие ОС, например iOS, Android или другие.

                   10 обязательных правил для защищенной корпоративной мобильности от Citrix

Как защитить мобильные приложения и данные и свести к минимуму угрозы безопасности в условиях мобильности, BYOD и облачных сервисов?

Необходимо понимать, что к сожалению или к счастью, не существует единственного «супер» решения, которое поможет устранить все потенциальные угрозы в области информационной безопасности. И начинать нужно с подготовки корпоративных правил и методик использования мобильной инфраструктуры, BYOD и внешних облачных сервисов. Также нужно проводить обучение сотрудников, чтобы они понимали потенциальные риски и угрозы. Не сделав этот первый шаг, будет очень сложно ограничивать сотрудников в использовании тех или иных сервисов и ресурсов, приложений и устройств. 

Дальнейшим шагом должна стать оценка рисков использования мобильных приложений и затрат, которые необходимо сделать для снижения угроз в области ИБ, также необходимо оценить данные, которые будут использоваться в инфраструктуре мобильности. После соответствующего анализа можно будет оценить меры, направленные на повышение защищённости, - контейнеризацию мобильных приложений и данных; применение политик, ограничивающих функциональность устройств; контроль взаимодействия приложений между собой; возможности применения geo-fencing и временных ограничений для работы приложений; использование VPN или микро-VPN для подключения к внутренним корпоративным ресурсам; обязательное использование многофакторной аутентификации.

Какие новые вызовы безопасности бросают вошедшие в моду концепции «Интернет вещей» и «Большие данные»?

«Интернет вещей» или «Всеобъемлющий интернет» очень интересно рассмотрены с точки зрения информационной безопасности. Основные проблемы, которые здесь можно увидеть, связаны с ещё не устоявшимися стандартами; не глубокой проработкой вопросов в области ИБ; ориентацией на массовый потребительский рынок, где самое сильное влияние на безопасность системы оказывает именно человеческий фактор.

Также нужно понимать, что если мы говорим о корпоративных сетях, то у нас уже есть готовые рецепты: мы знаем о потенциальных уязвимостях и направлениях атак; представляем какие порты и протоколы передачи данных задействованы во внутрикорпоративных взаимодействиях и коммуникациях с внешними системами; есть решения, защищающие входящий и исходящий трафик, контролирующие и протоколирующие его. 

В случае «Интернета вещей» границы ответственности определить очень сложно. В ряде случаев мы можем вообще не знать о том, что то или иное устройство выходит в Интернет и использует определенные порты и протоколы. Нам сложно учитывать влияние объявленных уязвимостей, так как не ясно, что именно используется в холодильнике, телевизоре, системе управления «умным домом» и тд. 

Если подвести итог и определить самые большие вызовы с точки зрения безопасности в данном сегменте ИТ, то это будет неизвестность и неопределённость. Как только производители решений окончательно определят и задокументируют используемые протоколы и приложения, и информация об этом будет легко доступна для пользователя, то осуществить защиту этой инфраструктуры станет гораздо проще.

Специфика уязвимостей приложений для Smart TV. Каковы векторы атак через приложения на сам телевизор?

Smart TV - это не только телевизор, но и вычислительное устройство, некоторые  производители стали выпускать их на платформе Android, становится сложно говорить о специфичности атак на Smart TV. Мы можем рассматривать это как вычислительный комплекс с мобильной ОС, к которому применимы как соответствующие угрозы, так и средства и методики защиты. 

Рекомендации здесь не будут отличаться от того, что советуют для защиты смартфонов – смените пароли и настройки по умолчанию, не устанавливайте ПО даже из магазина, если вы не уверены в его функциональности и необходимости, не допускайте посторонних лиц к элементам управления (обновление ПО, установка ПО и т.д.)

Какие задачи решает сертификация решений Citrix, и какие требования к ней предъявляет российский рынок?

Российский рынок для решений, которые планируется использовать в обработке персональных данных и/или государственных информационных системах, выдвигает требование о наличии сертификации во ФСТЭК или, если речь идёт об использовании шифрования, в ФСБ. Работая на российском рынке, мы стремимся отвечать на запросы наших заказчиков. Сейчас на сертификации во ФСТЭК находятся новейшие версии наших продуктов – ​Citrix XenDesktop и ​Citrix XenServer.

Какие технологии российских разработчиков в области защиты информации используются совместно с продуктами Citrix?

Для ряда заказчиков ключевым требованием является наличие шифрования канала по ГОСТу, и здесь мы активно сотрудничаем с российскими компаниями, такими как S-Terra и Digital Design. Решения этих компаний позволяют построить защищённый с помощью шифрования по ГОСТу туннель от мобильного устройства до точки входа в центр обработки данных. Также мы тесно сотрудничаем с компанией Аладдин-РД для обеспечения двухфакторной аутентификации на мобильных устройствах с нашими приложениями. И, конечно же, мы открыты для взаимодействия с другими разработчиками, используя имеющуюся у нас программу Citrix Ready. Например, одной из российских компаний, разрабатывающих ПО с использованием возможностей Citrix XenMobile, является МобилитиЛаб  с их продуктом WorksPad.

Как разрабатывать безопасное ПО — принципы разработки, специальные утилиты, тестирование безопасности?

Я не являюсь разработчиком, однако могу посоветовать тем, кто создаёт мобильные приложения для корпоративного сегмента, активнее пользоваться ресурсами, предоставляемыми вендорами – соответствующими SDK и API, документацией и тестовыми версиями ПО. В этом случае можно «не изобретать велосипед», а сосредоточиться на разработке той функциональности, которая необходима заказчику, обеспечив при этом высокий уровень безопасности решения, например, активно используя мобильные контейнеры и возможность привязки к ним корпоративных политик безопасности.

Сколько стоит безопасность, и как сделать её стоимость доступной и контролируемой?

Безопасность не должна стоить дороже информации, которую она защищает. Правильно построенная система безопасности является эшелонированной и обязательно должна включать в себя организационную составляющую – правила и политики, которые необходимо довести до сведения всех сотрудников, работающих с информационными системами. Должно регулярно проводиться обучение с контролем результатов. В этом случае можно снизить стоимость защиты, не снижая уровень безопасности.

Какие ключевые умения, связанные с безопасностью, должны требоваться от команды разработчиков?

Полагаю, основное, что должно требоваться от разработчиков - это не идти на компромисс с безопасностью, потратить больше времени на тестирование и разработку не видимого на первый взгляд функционала, не поддаваясь соблазну сделать работу быстрее в ущерб безопасности.

Дайте несколько советов для разработчиков мобильных приложений

Рынок мобильных приложений активно развивается, и места на нём много. Только не нужно пытаться создать очередную версию редактора документов или почтового клиента, обратите своё внимание на приложения, которые необходимы бизнесу, мобильным/полевым сотрудникам, тем, кто вынужден выполнять свою работу вдали от офиса и обычных персональных компьютеров. Автоматизируйте их работу, сделайте её более комфортной и удобной, и тогда ваше приложение будет востребовано в корпоративном сегменте.

Наш традиционный вопрос: какие приложения в вашем смартфоне? 

Можете назвать свой топ приложений по частоте использования и еще несколько примеров клевых приложений, которые вам нравятся с точки зрения их реализации или идеи?

Так как мне часто приходится участвовать в онлайн встречах, то одним из наиболее часто используемых приложений для меня являются GoToMeeting и GoToWebinar. С их помощью я всегда, из любого места могу подключаться к совещаниям, проводимыми моими европейскими или американскими коллегами. Также я активно использую приложения для обмена файлами – Citrix ShareFile и MS OneDrive. Учитывая тот факт, что я много времени провожу в командировках, к топ приложениям нужно отнести SkyScanner, Booking.com, TapTaxi, TripAdvisor. Для постоянного взаимодействия с моими коллегами, заказчиками и партнёрами я использую одни из самых распространённых коммуникаторов – Skype, Viber, WhatsApp и Telegram.

 
citrix
BYOD
корпоративная мобильность
безопасность
приложения
smart tv
облачный сервис
ИТ
интернет вещей
Big Data
0 0 0

Чтобы оставлять комментарии вам необходимо зарегистрироваться