Prečo riešiť bezpečnosť mobilných zariadení.
Vo väčšine veľkých aj malých spoločností pracujú zamestnanci na počítačoch, ktoré ich interné IT oddelenie spravuje pomocou tradičných technológií Windows – Active Directory, GPo, SCCM atď. Počítače sú automaticky aktualizované, antivírusový program je spustený, firewall je aktivovaný a ďalšie bezpečnostné funkcie sú aktivované. Firemné počítače sú preto relatívne dobre chránené a spoločnosť má prehľad o tom, čo sa na nich deje.
Naproti tomu podnikové mobilné zariadenia (telefóny, tablety a iné nositeľné zariadenia) sú v najlepšom prípade spravované spoločnosťou pomocou niektorej z technológií správy mobilných zariadení (MDM), ale to, čo sa na týchto mobilných zariadeniach deje mimo správy MDM, zvyčajne nie je viditeľné. Dnes môže každý zamestnanec používať mobilný telefón alebo tablet na posielanie e-mailov, používanie firemných aplikácií a prístup k firemným údajom rovnako pohodlne ako z počítača. Mobilné zariadenia sú pre niektorých zamestnancov dokonca jediným pracovným nástrojom.
Počet mobilných zariadení vo firmách neustále rastie, väčšinou na úkor tradičných počítačov. Mobilné systémy sa vyvíjajú, ich zložitosť sa zvyšuje a objavujú sa v nich zraniteľnosti a chyby. Útočníci sledujú tieto trendy a presúvajú svoju pozornosť na tieto mobilné zariadenia, ktoré spoločnosti nechránia v takej miere. Za posledných niekoľko rokov došlo k veľkému nárastu malvéru a útokov zameraných na mobilné zariadenia.
Bezpečnosť mobilných zariadení ovplyvňuje niekoľko faktorov.
Vždy je potrebné vopred povedať, na čo sa budú mobilné zariadenia vo firme používať, s akými údajmi a aplikáciami bude používateľ pracovať. Je dôležité zvážiť možnosti jednotlivých mobilných platforiem (Android/iOS) a vybrať vhodný spôsob ich správy (MDM). Tu si môžeme spomenúť napr. Mobilné zariadenia Samsung a ich bezpečnostné funkcie, ktoré presahujú ponuku štandardných zariadení so systémom Android.
Spoločnosti sa pri nákupe mobilných zariadení zvyčajne mýlia – vyberajú si náhodne, na základe ceny, a až potom dávajú dokopy ďalšie kroky. Tento nevhodný postup sa zvyčajne končí kompromisom, ktorý je na škodu funkčnosti a bezpečnosti.
Ale aj pri správnom výbere samotná technológia (MDM) nemusí stačiť.
Funkcie MDM vs. MTD
MDM je predovšetkým nástroj na konfiguráciu a inventarizáciu a umožňuje správcom spravovať celú flotilu podnikových mobilných zariadení z jedinej konzoly. Pomocou konfiguračných profilov môžete nastaviť rôzne obmedzenia pre zariadenia, vynútiť si heslo na odomknutie, nastaviť Wi-Fi, VPN alebo prístup k poštovej schránke používateľa. Pomocou MDM je možné automatizovať inštaláciu a konfiguráciu podnikových aplikácií a zabezpečiť oddelenie podnikových údajov od súkromných. Klient MDM v zariadení je schopný základnej detekcie root/jailbreak. MDM ďalej vyhodnocuje zhodu zariadenia porovnaním definovanej politiky so skutočnosťou. Ak je všetko v poriadku, zariadenie sa zavolá. v súlade s predpismi. Tieto informácie sa potom môžu použiť v samotnom systéme MDM, ako aj v iných systémoch.
Riešenia pre správu podnikovej mobility zahŕňajú aj funkciu zabezpečenej komunikácie s podnikom prostredníctvom reverzného proxy servera, ktorý je úzko integrovaný s MDM a umožňuje prístup len k spravovaným zariadeniam.
MTD je špecializovaný nástroj na detekciu a ochranu pred modernými bezpečnostnými hrozbami.
Tieto dva nástroje sa navzájom nevylučujú, ale skôr dopĺňajú.
Prípad použitia: zariadenie plne pod kontrolou
Ak sa zákazník rozhodne mať všetko pod kontrolou, zariadenie sa zvyčajne aktivuje v režime Android Enteprise Fully Managed alebo v prípade systému iOS v tzv. Režim pod dohľadom. Tieto dva spôsoby aktivácie umožňujú maximálnu konfiguráciu a nastavenie zariadenia. Napríklad. Používanie zariadenia môžete obmedziť na podnikové aplikácie, povoliť prístup len k vybraným webovým stránkam, zakázať pridávanie osobných účtov a vypnúť konkrétne funkcie zariadenia. V krajnom prípade je zariadenie nakonfigurované v režime kiosku s jednou trvalo spustenou aplikáciou (režim jednej aplikácie). Toto nastavenie môže do značnej miery obmedziť potenciálne vektory útoku, najmä ak sú zariadenia prevádzkované v čisto internej/vyhradenej sieti, napr. na výrobnej linke.
Ak sú však zariadenia pripojené k internetu, vhodným doplnkom k MDM je špecializované riešenie Mobile Threat Defense.
Prípad použitia: BYOD / firemné a osobné zariadenia
Riziko sa výrazne zvyšuje, ak majú zamestnanci povolený prístup k firemným údajom zo súkromných zariadení (režim BYOD) alebo ak spoločnosť nezabráni používaniu firemných zariadení na súkromné účely. V týchto prípadoch sme obmedzení v tom, čo je možné v zariadeniach zakázať a aké informácie o zariadeniach MDM zhromažďuje. Veľký dôraz sa kladie na ochranu súkromia používateľov. Typickým riešením pre tieto scenáre je vytvorenie pracovného kontajnera, v ktorom sa nachádzajú podnikové údaje a aplikácie, pričom MDM potom spravuje len tento kontajner. Dôsledkom toho je, že napr. nevidí aplikácie nainštalované v osobnom priestore používateľa. Správca MDM môže zakázať iba inštaláciu aplikácií z neznámych zdrojov (používateľ môže v osobnom priestore inštalovať iba aplikácie z Google Play).
Moderné bezpečnostné hrozby
Ide o útoky na zariadenia, útoky na aplikácie a sieťové útoky. Phishing a sociálne inžinierstvo sú veľkou témou. V praxi môže ísť o kombináciu všetkých týchto útokov, keď útočník reťazí techniky s cieľom spôsobiť čo najväčšie škody a získať čo najviac údajov. Najslabším článkom bezpečnostného riešenia je zvyčajne používateľ, ktorý urobí čokoľvek, aby získal napr. prístup na internet, stiahnuť súbor. Používatelia sa často nesprávajú podľa interných smerníc, čo by sa malo vždy zohľadniť.
Útoky na zariadenia
Ide o útoky, ktoré využívajú zraniteľnosti v operačnom systéme alebo firmvéri čipovej súpravy. V minulosti sa vyskytlo niekoľko útokov využívajúcich zraniteľnosti vo firmvéri čipových súprav Wi-Fi/BT (napr. Broadpwn), pričom výrobcom zariadení trvalo pomerne dlho, kým tieto zraniteľnosti opravili. Tieto zraniteľnosti sa dajú zneužiť na zvýšenie oprávnení na úroveň root a prevzatie kontroly nad zariadením.
Ďalší typ útoku môže byť zameraný na rozhranie USB, keď používateľovi stačí pripojiť zariadenie cez USB k nabíjačke na letisku alebo zapojiť zariadenie do systému v prenajatom aute. Útok sa môže uskutočniť aj prostredníctvom správy SMS, ktorá príde do zariadenia a systém ju automaticky spracuje bez toho, aby si ju používateľ pozrel.
Cieľom útoku je prevziať úplnú kontrolu nad zariadením a následne získať firemné údaje.
Útoky na aplikácie
Už vyššie bolo spomenuté, že MDM môže zakázať inštaláciu aplikácií z neoficiálnych obchodov alebo stiahnutých súborov .apk. To umožní inštaláciu aplikácií len z obchodov Google Play a Apple App Store, kde aplikácia prejde schvaľovacím procesom. Ani tak však nie je možné mať stopercentnú istotu a história ukázala, že nebezpečné aplikácie sa opakovane objavujú aj tam.
Infikované aplikácie, napr. používať asistenčné funkcie zariadenia, prekryť aktuálne používanú aplikáciu a zachytiť všetko, čo používateľ napíše alebo zobrazí na zariadení. Tieto údaje sa potom prepošlú na server útočníka.
Aplikácia môže tiež využiť známe zraniteľnosti operačného systému na získanie oprávnení root alebo spustiť skenovanie siete na hľadanie známych zraniteľností v sieti, ku ktorej je používateľ pripojený prostredníctvom mobilného zariadenia.
Riziko aplikačného útoku – získanie citlivých údajov alebo ovládanie zariadenia.
Sieťové útoky
Ide o útoky, ktoré sa vykonávajú na sieťovú komunikáciu. Typickým príkladom sú útoky cez verejné siete Wi-Fi. Opäť príklad z praxe, keď používateľ napr. pripojiť sa k verejnej sieti Wi-Fi na letisku, v hoteli alebo vo vlaku. Táto sieť sa v nastaveniach zariadenia zvyčajne neodstráni. Zariadenie neustále vyhľadáva uložené siete Wi-Fi a zároveň vysiela ich SSID. Útočník zachytí tieto informácie a vytvorí rovnakú sieť Wi-Fi na svojom prístupovom bode (AP), ktorý ovláda – to je možné úplne automatizovaným spôsobom, napr. pomocou zariadenia Pineapple WiFi. Ak sa mu podarí prepnúť zariadenie na svoj prístupový bod, zvyčajne pokračuje útokom Man in the Middle (MITM) s cieľom dešifrovať a odpočúvať komunikáciu, t. j. získať prihlasovacie údaje, citlivé údaje spoločnosti.
Phishing a sociálne inžinierstvo
Patria sem aj známe podvodné e-maily. S novými technológiami sa však objavujú aj nové typy útokov a vynaliezavosť útočníkov rastie. Je to spôsobené aj technickými vlastnosťami mobilných zariadení. Zamerajme sa napríklad na. na QR kódy, ktoré sú v súčasnosti obľúbené na pripojenie k sieti Wi-Fi alebo ako rýchly spôsob vyhľadávania informácií na internete. Používateľ sa však môže ľahko dostať na podvodnú stránku pomocou kódu QR. Mobilné zariadenia majú malú obrazovku a obsah má prednosť pred ovládaním. Adresný riadok vo webovom prehliadači preto nemusí byť vždy jasne čitateľný. Ak útočník skombinuje tieto technológie dohromady, t. j. vytvorí QR kód odkazujúci na webovú stránku s názvom domény a obsahom blízkym skutočnej stránke, je veľmi jednoduché nechať sa oklamať a vstúpiť na podvodnú stránku, napr. prihlasovacie údaje.
Dávajte si preto pozor na kódy QR, skracovače adries URL, interpunkciu. Medzinárodné názvy domén sú už nejaký čas podporované, takže je možné vytvoriť doménu s názvom napríklad „Mícrosoft.com, je to platná doména, len jedna čiarka nad „i“ a nie je to stránka spoločnosti Microsoft, ale stránka útočníka. Musíte sa tiež uistiť, že na vstupnej stránke, ktorú navštevujete, máte platný certifikát, ale ani to neznamená stopercentnú bezpečnosť. Aj stránka útočníka má zvyčajne platný certifikát.
Útok možno vykonať aj prostredníctvom reverzného proxy servera Modlishka, ktorý na ceste na oficiálnu stránku, napr. spomínaný Microsoft, zachytávanie komunikácie.
Vo všetkých týchto prípadoch útočník opäť útočí s cieľom získať prihlasovacie údaje a citlivé údaje spoločnosti.
Útokom možno predchádzať pomocou technológie Mobile Threat Defense (MTD)
MTD dokáže odhaliť známe a neznáme typy útokov (Zero-Day) pomocou pokročilej analýzy správania aplikácií a komponentov operačného systému (napr. odhaliť zvýšenie oprávnení). Táto analýza sa zvyčajne vykonáva priamo v zariadení a často s využitím strojového učenia. Na základe vyhodnoteného rizikového faktora je možné prijať definované opatrenie.
Riešenie MTD dokáže vykonávať statickú aj dynamickú analýzu aplikácií. Aplikácie sa analyzujú v prostredí sandboxu v cloude a výstupom je skóre rizík aplikácie z hľadiska bezpečnosti aj ochrany súkromia.
Ochrana proti phishingu je zvyčajne navrhnutá tak, že komunikácia prebieha cez miestne rozhranie VPN a analýza sa vykonáva tam. Môžete tiež definovať zoznam blokovaných alebo bezpečných (interných) adries pre rozhranie VPN.
To všetko dopĺňa databáza zraniteľností a nebezpečných lokalít v cloude, z ktorej čerpá riešenie MTD. Tu sa anonymizované údaje zo zariadenia korelujú a ďalej vyhodnocujú, čím sa systém neustále zlepšuje.
Ako sme už spomenuli na začiatku tohto článku, MDM má obmedzenia, pokiaľ ide o hodnotenie bezpečnostných hrozieb, ale v kombinácii s MTD je bezpečnosť dokonalá. MTD vám okamžite oznámi, že sa deje niečo nebezpečné, a MDM potom automatizuje príslušnú akciu, napr. odstráni firemné údaje zo zariadenia alebo zakáže určité funkcie zariadenia.
Medzi hlavných hráčov na trhu s riešeniami MTD patria Check Point Harmony Mobile (predtým SandBlast Mobile), Lookout, MobileIron Threat Defende (Zimperium), Wandera.
System4u dokáže nasadiť všetky tieto riešenia a má s nimi reálne skúsenosti, vrátane prepojenia s riešeniami MDM.
Na záver teda zhrnutie:
- Najslabším článkom bezpečnostného reťazca je používateľ.
- Hlavnou úlohou MDM je hromadná konfigurácia zariadení.
- Spoločnosť MTD sa špecializuje na detekciu pokročilých bezpečnostných hrozieb.
- Väčšina riešení MTD môže byť úzko integrovaná s MDM.
- Kombinácia MDM a MTD poskytuje najlepšiu ochranu mobilných zariadení a údajov.
- System4u dokáže nasadiť všetky uvedené technológie podľa konkrétnych potrieb spoločnosti.
Ladislav Blažek, riaditeľ technickej podpory System4u a.s.
