Імклівае развіццё партатыўнай электронікі і, у прыватнасці, смартфонаў і планшэтаў, стварыла шмат новых выклікаў для карпаратыўнай інфармацыйнай бяспекі. І сапраўды, калі раней уся кібербяспека будавалася на стварэнні абароненага перыметра і яго наступнай ахове, то зараз, калі практычна кожны супрацоўнік выкарыстоўвае для рашэння працоўных задач уласныя мабільныя прылады, кантраляваць перыметр бяспекі стала вельмі складана. Асабліва гэта актуальна для буйных прадпрыемстваў, у якіх кожны працаўнік мае на руках лагін і пароль ад электроннай пошты і іншых карпаратыўных рэсурсаў. Часцяком набываючы новы смартфон або планшэт, супрацоўнік прадпрыемства ўводзіць на ім свае ўліковыя дадзеныя, нярэдка забываючы пры гэтым разлагініцца на старым прыладзе. Нават калі такіх безадказных супрацоўнікаў на прадпрыемстве ўсяго 5%, без належнага кантролю са боку адміністратара становішча спраў з доступам мабільных прылад да паштовага сервера вельмі хутка ператвараецца ў самы сапраўдны бардак.
Акрамя таго, даволі часта мабільныя прылады губляюцца або крадуцца, і пасля выкарыстоўваюцца для пошуку кампрамату, а таксама доступу да карпаратыўных рэсурсаў і дадзеных, якія прадстаўляюць камерцыйную таямніцу. Як правіла, найвялікая шкода карпаратыўнай кібербяспекі цягне атрыманне зламыснікамі доступу да электроннай пошты супрацоўніка. Дзякуючы гэтаму яны могуць атрымаць доступ да глабальнага спісу адрасоў і кантактаў, да раскладу сустрэч, у якіх павінен быў прыняць удзел няўдачлівы супрацоўнік, а таксама да яго перапіскі. Акрамя таго, якія атрымалі доступ да карпаратыўнай пошты зламыснікі атрымліваюць магчымасць рассылаць фішынгавыя ці заражаныя шкоднымі праграмамі ліста з даверанага паштовага адрасу. Усё гэта разам дае зламыснікам практычна неабмежаваныя магчымасці для ажыццяўлення кібератак, а таксама выкарыстанні сацыяльнай інжынерыі для дасягнення сваіх мэт.
Для таго, каб ажыццяўляць кантроль за мабільнымі прыладамі, якія ўваходзяць у перыметр бяспекі, існуе тэхналогія ABQ, ці Allow/Block/Quarantine. Яна дазваляе адміністратару кантраляваць спіс мабільных прылад, якім дазволена сінхранізаваць дадзеныя з паштовым серверам, а пры неабходнасці блакаваць скампраметаваныя прылады і змяшчаць у каранцін падазроныя мабільныя прылады.
Аднак, як ведае любы адміністратар бясплатнай версіі Zimbra Collaboration Suite Open-Source Edition, магчымасці яе ўзаемадзеяння з мабільнымі прыладамі моцна абмежаваны. Строга кажучы, карыстачы бясплатнай версіі Zimbra могуць толькі атрымліваць і адпраўляць лісты па пратаколе POP3 ці IMAP, не маючы пры гэтым убудаванай магчымасці сінхранізаваць з серверам дадзеныя штодзённіка, адрасных кніг і нататак. Не рэалізавана ў бясплатнай версіі Zimbra Collaboration Suite і тэхналогія ABQ, што аўтаматычна ставіць крыж на ўсіх спробах стварыць зачынены інфармацыйны перыметр на прадпрыемстве. Ва ўмовах, калі адміністратар не ведае, якія прылады падлучаюцца да яго сервера, на прадпрыемстве могуць з'явіцца ўцечкі інфармацыі, а таксама рэзка ўзрастае верагоднасць правядзення кібератакі па апісаным раней сцэнары.
Вырашыць гэтае пытанне ў Zimbra Collaboration Suite Open-Source Edition дапаможа модульнае пашырэнне Zextras Mobile. Гэтае пашырэнне дазваляе дадаць у бясплатную версію Zimbra паўнавартасную падтрымку пратаколу ActiveSync і, дзякуючы гэтаму, адчыняе масу магчымасцяў для ўзаемадзеяння паміж мабільнымі прыладамі і вашым паштовым серверам. Апроч іншых розных функцый, у пашырэнні Zextras Mobile рэалізаваная паўнавартасная падтрымка ABQ.
Адразу папярэдзім, што паколькі няправільна сканфігураваны ABQ можа прывесці да таго, што некаторыя карыстачы не змогуць сінхранізаваць дадзеныя на сваіх мабільных прыладах з серверам, падыходзіць да пытання яго налады трэба з максімальнай уважлівасцю і асцярожнасцю. Настройка ABQ ажыццяўляецца з каманднага радка Zextras. Менавіта ў камандным радку наладжваецца рэжым працы ABQ у Zimbra, а таксама вырабляецца кіраванне спісамі прылад.
Рэалізаваны ён наступным чынам: Пасля таго як карыстач уваходзіць у карпаратыўную пошту на мабільнай прыладзе, ён адпраўляе на сервер аўтарызацыйныя дадзеныя, а таксама ідэнтыфікацыйныя дадзеныя сваёй прылады, якія сустракаюць на сваім шляху перашкода ў выглядзе ABQ, якое праглядае ідэнтыфікацыйныя дадзеныя і звярае іх з тымі , якія маюцца ў спісах дазволеных, каранцінных і заблакаваных прылад. Калі прылады няма ні ў адным са спісаў, то ABQ паступае з ім у адпаведнасці з рэжымам, у якім ён працуе.
ABQ у Zimbra прадугледжвае тры рэжыму працы:
Дазвольны (Permissive): Пры такім рэжыме працы, пасля аўтэнтыфікацыі карыстальніка сінхранізацыя вырабляецца аўтаматычна па першым жа запыце з мабільнай прылады. У такім рэжыме працы ёсць магчымасць заблакаваць асобныя прылады, але ўсе астатнія змогуць вольна сінхранізаваць дадзеныя з серверам.
Інтэрактыўны (Interactive): Пры такім рэжыме працы адразу пасля аўтэнтыфікацыі карыстальніка сістэма бяспекі запытвае ідэнтыфікацыйныя дадзеныя прылады і супастаўляе іх са спісам дазволеных прылад. Калі прылада значыцца ў спісе дазволеных, сінхранізацыя аўтаматычна працягваецца. Калі ж у «белым спісе» дадзенай прылады не будзе, яно будзе аўтаматычна змешчана ў карантын, каб адміністратар пазней мог прыняць рашэнне аб тым, дазваляць дадзенай прыладзе сінхранізацыю з серверам або заблакаваць яго. Пры гэтым карыстачу будзе адпраўлена адпаведнае апавяшчэнне. Інфармаванне ж адміністратара адбываецца рэгулярна, адзін раз у наладжвальны перыяд часу. Пры гэтым у кожным новым апавяшчэнні будуць змяшчацца толькі новыя прылады, якія трапілі ў каранцін.
Строгі (Strict): Пры такім рэжыме працы пасля аўтэнтыфікацыі карыстальніка, адразу ж праводзіцца праверка наяўнасці ідэнтыфікацыйных дадзеных прылады ў спісе дазволеных. У тым выпадку, калі яно там значыцца, сінхранізацыя аўтаматычна працягваецца. У тым выпадку, калі прылады няма ў спісе дазволеных, яно адразу ж трапляе ў спіс заблакаваных, а карыстачу па пошце прыходзіць адпаведнае апавяшчэнне.
Таксама пры жаданні адміністратар Zimbra можа поўнасцю адключыць ABQ на сваім паштовым серверы.
Настройка рэжыму працы ABQ ажыццяўляецца з дапамогай каманд:
zxsuite config global set attribute abqMode value Permissive
zxsuite config global set attribute abqMode value Interactive
zxsuite config Global set atribut abqMode value Strict
zxsuite config global set attribute abqMode value Disabled
Даведацца пра бягучы рэжым працы ABQ можна пры дапамозе каманды zxsuite config global get attribute abqMode.
У тым выпадку, калі вы выкарыстоўваеце інтэрактыўны або строгі рэжымы працы ABQ, вам часта давядзецца працаваць са спісамі дазволеных і заблакаваных прылад, а таксама прылад, якія знаходзяцца ў карантыне. Выкажам здагадку, што да нашага сервера падлучыліся дзве прылады: адзін iPhone і адзін Android з адпаведнымі ідэнтыфікацыйнымі дадзенымі. Пазней высветліцца, што iPhone на днях набыў сабе генеральны дырэктар прадпрыемства і вырашыў папрацаваць з поштай на ім, а Android належыць звычайнаму мэнэджэра, які не мае права выкарыстоўваць працоўную пошту на смартфоне па меркаваннях бяспекі.
У выпадку з Інтэрактыўным рэжымам, усе яны патрапяць у карантын, адкуль адміністратару запатрабуецца перанесці iPhone у спіс дазволеных прылад, а Android у спіс заблакаваных. Для гэтага ён выкарыстоўвае каманды zxsuite mobile abq allow iPhone и zxsuite mobile abq block Android. Пасля гэтага генеральны дырэктар зможа паўнавартасна працаваць з поштай са сваіх прылад, тады як мэнэджэра па-ранейшаму прыйдзецца праглядаць яе выключна з працоўнага наўтбука.
Варта адзначыць, што пры выкарыстанні Інтэрактыўнага рэжыму, нават калі мэнэджар на сваёй Android-прыладзе правільна ўвядзе свае лагін і пароль, ён усё роўна не атрымае доступ да свайго акаўнта, а ўвойдзе ў віртуальную паштовую скрыню, у якім ён атрымае апавяшчэнне аб тым, што яго прылада была дададзена ў каранцін і скарыстацца поштай з яго ён не зможа.
У выпадку са строгім рэжымам, усе новыя прылады будуць заблакаваныя і пасля таго як высветліцца, каму яны належалі, адміністратару застанецца толькі дадаць у спіс дазволеных прылад iPhone генеральнага дырэктара пры дапамозе каманды zxsuite mobile ABQ set iPhone Allowed, пакінуўшы там тэлефон мэнэджэра.
Дазвольны ж рэжым працы слаба сумяшчальны з якімі-небудзь правіламі бяспекі на прадпрыемстве, аднак калі ўсё ж узнікла неабходнасць заблакаваць якое-небудзь з дазволеных мабільных прылад, напрыклад, калі менеджэр раптам са скандалам звольніўся, зрабіць гэта можна пры дапамозе каманды zxsuite mobile ABQ set Android Blocked.
У выпадку, калі на прадпрыемстве для працы з поштай супрацоўнікам выдаюцца службовыя гаджэты, то пры чарговай змене яго ўладальніка прыладу можна цалкам выдаліць са спісаў ABQ, каб пасля зноў прыняць рашэнне аб тым, дазваляць яму сінхранізацыю з серверам ці не. Робіцца гэта пры дапамозе каманды zxsuite mobile ABQ delete Android.
Такім чынам, як вы можаце бачыць, пры дапамозе пашырэння Zextras Mobile у Zimbra можна рэалізаваць вельмі гнуткую сістэму кантролю выкарыстоўваных мабільных прылад, прыдатную як для прадпрыемстваў з даволі строгай палітыкай наконт выкарыстання карпаратыўных рэсурсаў па-за офісам, так і для тых кампаніі, якія даволі ліберальныя ў гэтым плане.
Крыніца: habr.com