أدى التطور السريع للإلكترونيات المحمولة، وخاصة الهواتف الذكية والأجهزة اللوحية، إلى خلق الكثير من التحديات الجديدة لأمن معلومات الشركات. في الواقع، إذا كان الأمن السيبراني بأكمله يعتمد في السابق على إنشاء محيط آمن وحمايته اللاحقة، الآن، عندما يستخدم كل موظف تقريبًا أجهزته المحمولة الخاصة لحل مشاكل العمل، فقد أصبح من الصعب جدًا التحكم في المحيط الأمني. ينطبق هذا بشكل خاص على المؤسسات الكبيرة، حيث يكون لكل موظف اسم تسجيل دخول وكلمة مرور للبريد الإلكتروني وموارد الشركة الأخرى. في كثير من الأحيان، عند شراء هاتف ذكي أو جهاز لوحي جديد، يقوم موظف المؤسسة بإدخال بيانات اعتماده عليه، وغالبًا ما ينسى تسجيل الخروج على الجهاز القديم. حتى لو كان هناك 5٪ فقط من هؤلاء الموظفين غير المسؤولين في المؤسسة، دون التحكم المناسب من قبل المسؤول، فإن الوضع مع وصول الجهاز المحمول إلى خادم البريد يتحول بسرعة كبيرة إلى فوضى حقيقية.
بالإضافة إلى ذلك، غالبًا ما يتم فقدان أو سرقة الأجهزة المحمولة، ويتم استخدامها لاحقًا للبحث عن أدلة إدانة، فضلاً عن الوصول إلى موارد الشركة وبيانات الأسرار التجارية. عادة، يأتي الضرر الأكبر الذي يلحق بالأمن السيبراني للشركات من وصول المهاجمين إلى البريد الإلكتروني الخاص بالموظف. بفضل هذا، يمكنهم الوصول إلى القائمة العالمية للعناوين وجهات الاتصال، والجدول الزمني للاجتماعات التي كان من المفترض أن يشارك فيها الموظف المؤسف، وكذلك مراسلاته. بالإضافة إلى ذلك، يستطيع المهاجمون الذين لديهم حق الوصول إلى البريد الإلكتروني للشركة إرسال رسائل بريد إلكتروني تصيدية أو رسائل بريد إلكتروني مصابة ببرامج ضارة من عنوان بريد إلكتروني موثوق به. كل هذا معًا يمنح المهاجمين فرصًا غير محدودة تقريبًا لتنفيذ هجمات إلكترونية، فضلاً عن استخدام الهندسة الاجتماعية لتحقيق أهدافهم.
من أجل مراقبة الأجهزة المحمولة داخل المحيط الأمني، توجد تقنية ABQ، أو السماح/الحظر/العزل. فهو يسمح للمسؤول بالتحكم في قائمة الأجهزة المحمولة المسموح لها بمزامنة البيانات مع خادم البريد، وإذا لزم الأمر، حظر الأجهزة المخترقة وعزل الأجهزة المحمولة المشبوهة.
ومع ذلك، كما يعلم أي مسؤول عن الإصدار المجاني من Zimbra Collaboration Suite Open-Source Edition، فإن قدرته على التفاعل مع الأجهزة المحمولة محدودة للغاية. بالمعنى الدقيق للكلمة، يمكن لمستخدمي الإصدار المجاني من Zimbra تلقي رسائل البريد الإلكتروني وإرسالها فقط عبر بروتوكول POP3 أو IMAP، دون الحاجة إلى القدرة المضمنة على مزامنة اليوميات ودفاتر العناوين وبيانات الملاحظات مع الخادم. لم يتم تطبيق تقنية ABQ أيضًا في الإصدار المجاني من Zimbra Collaboration Suite، والذي يضع حدًا تلقائيًا لجميع محاولات إنشاء محيط معلومات مغلق في المؤسسة. في الظروف التي لا يعرف فيها المسؤول الأجهزة التي تتصل بخادمه، قد يظهر تسرب المعلومات في المؤسسة، ويزداد احتمال حدوث هجوم سيبراني وفقًا للسيناريو الموصوف مسبقًا بشكل حاد.
سيساعد الامتداد المعياري Zextras Mobile في حل هذه المشكلة في Zimbra Collaboration Suite Open-Source Edition. يتيح لك هذا الامتداد إضافة دعم كامل لبروتوكول ActiveSync إلى الإصدار المجاني من Zimbra، وبفضل هذا، يفتح الكثير من الإمكانيات للتفاعل بين الأجهزة المحمولة وخادم البريد الخاص بك. ومن بين الميزات الأخرى المتنوعة، يأتي ملحق Zextras Mobile مع دعم كامل لـ ABQ.
دعنا نحذرك على الفور من أنه نظرًا لأن ABQ الذي تم تكوينه بشكل غير صحيح يمكن أن يؤدي إلى حقيقة أن بعض المستخدمين لن يتمكنوا من مزامنة البيانات الموجودة على أجهزتهم المحمولة مع الخادم، فأنت بحاجة إلى التعامل مع مسألة إعداده بأقصى قدر من العناية والحذر . يتم تكوين ABQ من سطر أوامر Zextras. يتم تكوين وضع التشغيل ABQ في Zimbra من خلال سطر الأوامر، كما تتم إدارة قوائم الأجهزة.
ويتم تنفيذها على النحو التالي: بعد أن يقوم المستخدم بتسجيل الدخول إلى بريد الشركة على جهاز محمول، يقوم بإرسال بيانات التفويض إلى الخادم، وكذلك بيانات التعريف الخاصة بجهازه، والتي تواجه عائقًا على شكل ABQ، الذي ينظر إلى تحديد الهوية البيانات والتحقق منها مع تلك الموجودة في قوائم الأجهزة المسموح بها والمعزولة والمحظورة. إذا لم يكن الجهاز موجوداً في أي من القوائم فإن ABQ يتعامل معه وفقاً للوضع الذي يعمل به.
يوفر ABQ في Zimbra ثلاثة أوضاع للتشغيل:
متساهل: في وضع التشغيل هذا، بعد مصادقة المستخدم، يتم إجراء المزامنة تلقائيًا عند الطلب الأول من جهاز محمول. في وضع التشغيل هذا، من الممكن حظر الأجهزة الفردية، ولكن سيتمكن أي شخص آخر من مزامنة البيانات مع الخادم بحرية.
تفاعلية: في وضع التشغيل هذا، مباشرة بعد مصادقة المستخدم، يطلب نظام الأمان بيانات تعريف الجهاز ويقارنها بقائمة الأجهزة المسموح بها. إذا كان الجهاز مدرجًا في القائمة المسموح بها، فستستمر المزامنة تلقائيًا. إذا لم يكن هذا الجهاز مدرجًا في القائمة البيضاء، فسيتم عزله تلقائيًا حتى يتمكن المسؤول لاحقًا من تحديد ما إذا كان سيسمح لهذا الجهاز بالمزامنة مع الخادم أو حظره. في هذه الحالة، سيتم إرسال الإخطار المقابل للمستخدم. يتم إبلاغ المسؤول بانتظام، مرة واحدة في فترة زمنية قابلة للتكوين. في هذه الحالة، سيحتوي كل إشعار جديد على الأجهزة المعزولة الجديدة فقط.
حازم: في وضع التشغيل هذا، بعد مصادقة المستخدم، يتم إجراء فحص على الفور لمعرفة ما إذا كانت بيانات تعريف الجهاز مدرجة في القائمة المسموح بها. إذا تم إدراجه هناك، فستستمر المزامنة تلقائيًا. إذا لم يكن الجهاز مدرجًا في القائمة المسموح بها، فإنه ينتقل على الفور إلى القائمة المحظورة، ويتلقى المستخدم إشعارًا مناسبًا عبر البريد.
وأيضًا، إذا رغبت في ذلك، يمكن لمسؤول Zimbra تعطيل ABQ بالكامل على خادم البريد الخاص به.
يتم تكوين وضع التشغيل ABQ باستخدام الأوامر:
zxsuite config مجموعة السمة العالمية قيمة abqMode مسموح بها
zxsuite التكوين العالمي لمجموعة السمة abqMode القيمة التفاعلية
zxsuite config مجموعة السمة العالمية قيمة abqMode Strict
تم تعطيل سمة مجموعة zxsuite العالمية لقيمة abqMode
يمكنك معرفة وضع التشغيل الحالي لـ ABQ باستخدام الأمر zxsuite config global احصل على السمة abqMode.
إذا كنت تستخدم أوضاع تشغيل ABQ تفاعلية أو صارمة، فسيتعين عليك غالبًا العمل مع قوائم الأجهزة المسموح بها والمحظورة والمعزولة. لنفترض أن جهازين متصلين بخادمنا: أحدهما iPhone والآخر Android مع بيانات التعريف المقابلة. اتضح لاحقًا أن المدير العام للمؤسسة اشترى مؤخرًا جهاز iPhone وقرر العمل مع البريد عليه، وينتمي Android إلى مدير عادي ليس له الحق في استخدام بريد العمل على الهاتف الذكي لأسباب أمنية.
في حالة الوضع التفاعلي، سيتم عزلهم جميعًا، حيث سيحتاج المسؤول إلى نقل iPhone إلى قائمة الأجهزة المسموح بها، وAndroid إلى قائمة الأجهزة المحظورة. للقيام بذلك يستخدم الأوامر zxsuite mobile abq يسمح للآيفون и zxsuite المحمول abq بلوك أندرويد. بعد ذلك، سيتمكن المدير التنفيذي من التعامل بشكل كامل مع البريد من أجهزته، بينما سيظل على المدير عرضه حصريًا من الكمبيوتر المحمول الخاص بعمله.
تجدر الإشارة إلى أنه عند استخدام الوضع التفاعلي، حتى لو قام المدير بإدخال اسم المستخدم وكلمة المرور الخاصة به بشكل صحيح على جهاز Android الخاص به، فلن يتمكن من الوصول إلى حسابه، ولكنه سيدخل إلى صندوق بريد افتراضي سيتلقى فيه إشعارًا بذلك تمت إضافة جهازه إلى الحجر الصحي ولن يتمكن من استخدام البريد منه.
في حالة الوضع الصارم، سيتم حظر جميع الأجهزة الجديدة وبعد معرفة الجهة التي تنتمي إليها، لن يكون على المسؤول سوى إضافة هاتف iPhone الخاص بالرئيس التنفيذي إلى قائمة الأجهزة المسموح بها باستخدام الأمر zxsuite mobile ABQ set iPhone مسموح به، وترك رقم هاتف المدير هناك.
لا يتوافق وضع التشغيل المسموح به بشكل جيد مع أي قواعد أمنية في المؤسسة، ومع ذلك، إذا كانت لا تزال هناك حاجة لحظر أي من الأجهزة المحمولة المسموح بها، على سبيل المثال، إذا استقال المدير فجأة بسبب فضيحة، فيمكن القيام بذلك باستخدام الامر zxsuite mobile ABQ يقوم بتعيين Android المحظور.
إذا كانت المؤسسة تزود الموظفين بأدوات الخدمة للعمل مع البريد، ففي المرة التالية التي يتغير فيها مالكها، يمكن إزالة الجهاز بالكامل من قوائم ABQ ليقرر لاحقًا ما إذا كان سيسمح له بالمزامنة مع الخادم أم لا. ويتم ذلك باستخدام الأمر zxsuite mobile ABQ حذف أندرويد.
وبالتالي، كما ترون، بمساعدة ملحق Zextras Mobile في Zimbra، يمكنك تنفيذ نظام مرن للغاية لمراقبة الأجهزة المحمولة المستخدمة، وهو مناسب لكلا المؤسستين مع سياسة صارمة إلى حد ما فيما يتعلق باستخدام موارد الشركة خارج المكتب وبالنسبة لتلك الشركات المتحررة تمامًا في استخدامها للأجهزة المحمولة في هذا الصدد.
المصدر: www.habr.com