TL; DR ако вашите корпоративни мобилни устройства изискват антивирусна програма, значи правите всичко погрешно и антивирусната програма няма да ви помогне.
Тази публикация е резултат от разгорещен дебат дали е необходима антивирусна програма на корпоративен мобилен телефон, в какви случаи работи и в кои е безполезна. Статията разглежда моделите на заплахи, срещу които антивирусната програма трябва да защитава на теория.
Доставчиците на антивирусни програми често успяват да убедят корпоративните клиенти, че антивирусната програма значително ще подобри тяхната сигурност, но в повечето случаи това е илюзорна защита, която само намалява бдителността както на потребителите, така и на администраторите.
Правилната корпоративна инфраструктура
Когато една компания има десетки или дори хиляди служители, е невъзможно ръчно да се конфигурира всяко потребителско устройство. Настройките могат да се променят всеки ден, идват нови служители, техните мобилни телефони и лаптопи се повреждат или губят. В резултат на това цялата работа на администраторите ще се състои в ежедневно внедряване на нови настройки на устройствата на служителите.
Този проблем започна да се решава на настолни компютри преди много време. В света на Windows такова управление обикновено се осъществява с помощта на Active Directory, централизирани системи за удостоверяване (Single Sign In) и т.н. Но сега всички служители имат добавени смартфони към своите компютри, на които се извършва значителна част от работните процеси и се съхраняват важни данни. Microsoft се опита да интегрира своите Windows Phone в една екосистема с Windows, но тази идея умря с официалната смърт на Windows Phone. Следователно в корпоративна среда във всеки случай трябва да избирате между Android и iOS.
Сега в корпоративна среда концепцията за UEM (Unified endpoint management) е на мода за управление на устройствата на служителите. Това е централизирана система за управление на мобилни устройства и настолни компютри.
Централизирано управление на потребителските устройства (Унифицирано управление на крайни точки)
Системният администратор на UEM може да задава различни правила за потребителски устройства. Например, позволявайки на потребителя да контролира повече или по-малко устройството, да инсталира приложения от източници на трети страни и т.н.
Какво може да направи UEM:
Управление на всички настройки — администраторът може напълно да забрани на потребителя да променя настройките на устройството и да ги променя дистанционно.
Контролен софтуер на устройството — позволяват възможност за инсталиране на програми на устройството и автоматично инсталиране на програми без знанието на потребителя. Администраторът може също да блокира или разреши инсталирането на програми от магазина за приложения или от ненадеждни източници (от APK файлове в случай на Android).
Дистанционно блокиране — ако телефонът бъде изгубен, администраторът може да блокира устройството или да изтрие данните. Някои системи също ви позволяват да зададете автоматично изтриване на данни, ако телефонът не се е свързал със сървъра повече от N часа, за да елиминирате възможността за офлайн опити за хакване, когато нападателите успеят да премахнат SIM картата, преди командата за изчистване на данни да бъде изпратена от сървъра .
Събиране на статистика — проследявайте активността на потребителите, времето за използване на приложението, местоположението, нивото на батерията и др.
Какво представляват UEM?
Има два принципно различни подхода за централизирано управление на смартфоните на служителите: в единия случай компанията закупува устройства от един производител за служителите и обикновено избира система за управление от същия доставчик. В друг случай служителите използват личните си устройства за работа и тук започва зоологическата градина на операционни системи, версии и платформи.
BYOD (Bring your own device) е концепция, при която служителите използват личните си устройства и акаунти, за да работят. Някои централизирани системи за управление ви позволяват да добавите втори работен акаунт и напълно да разделите вашите данни на лични и работни.
- Родната централизирана система за управление на Apple. Може да управлява само устройства на Apple, компютри с macOS и iOS телефони. Поддържа BYOD, създавайки втора изолирана среда с различен iCloud акаунт.
— ви позволява да управлявате телефони на Android и Apple iOS, както и настолни компютри на Windows 10. Поддръжката на BYOD е обявена.
- Поддържа само мобилни устройства Samsung. В този случай можете веднага да използвате само .
Всъщност има много повече UEM доставчици, но няма да ги анализираме всички в тази статия. Основното нещо, което трябва да имате предвид е, че такива системи вече съществуват и позволяват на администратора да конфигурира потребителските устройства адекватно на съществуващия модел на заплаха.
Модел на заплаха
Преди да изберем средства за защита, трябва да разберем от какво се предпазваме, какво най-лошото може да се случи в нашия конкретен случай. Относително казано: тялото ни е лесно уязвимо от куршум и дори от вилица и пирон, но ние не обличаме бронежилетка, когато излизаме от къщата. Следователно нашият модел на заплаха не включва риска от прострелване на път за работа, въпреки че статистически това не е толкова малко вероятно. Освен това при определени условия носенето на бронежилетка е напълно оправдано.
Моделите на заплахи варират от компания до компания. Да вземем например смартфона на куриер, който е на път да достави пакет на клиент. Неговият смартфон съдържа само адреса на текущата доставка и маршрута на картата. Най-лошото нещо, което може да се случи с данните му, е изтичане на адреси за доставка на пратки.
А ето и смартфона на счетоводителя. Има достъп до корпоративната мрежа чрез VPN, има инсталирано корпоративно приложение клиент-банка и съхранява документи с ценна информация. Очевидно стойността на данните на тези две устройства се различава значително и трябва да бъдат защитени по различен начин.
Ще ни спаси ли антивирусната?
За съжаление зад маркетинговите лозунги се губи истинското значение на задачите, които антивирусът изпълнява на мобилно устройство. Нека се опитаме да разберем подробно какво прави антивирусната програма на телефона.
Одит на сигурността
Повечето съвременни мобилни антивируси проверяват настройките за сигурност на устройството. Този одит понякога се нарича „проверка на репутацията на устройството“. Антивирусите считат устройството за безопасно, ако са изпълнени четири условия:
- Устройството не е хакнато (root, jailbreak).
- Устройството има конфигурирана парола.
- USB отстраняването на грешки не е активирано на устройството.
- Инсталирането на приложения от ненадеждни източници (странично зареждане) не е разрешено на устройството.
Ако в резултат на сканирането се установи, че устройството не е безопасно, антивирусът ще уведоми собственика и ще предложи да деактивира „опасната“ функционалност или да върне фабричния фърмуер, ако има признаци на root или jailbreak.
Според корпоративния обичай не е достатъчно само да уведомите потребителя. Несигурните конфигурации трябва да бъдат елиминирани. За да направите това, трябва да конфигурирате политики за сигурност на мобилни устройства, използващи системата UEM. И ако бъде открит root / jailbreak, трябва бързо да премахнете корпоративните данни от устройството и да блокирате достъпа му до корпоративната мрежа. И това също е възможно с UEM. И само след тези процедури мобилното устройство може да се счита за безопасно.
Търсене и премахване на вируси
Противно на общоприетото схващане, че няма вируси за iOS, това не е вярно. Все още има общи експлойти в природата за по-стари версии на iOS, които чрез използване на уязвимости на браузъра. В същото време, поради архитектурата на iOS, разработването на антивируси за тази платформа е невъзможно. Основната причина е, че приложенията нямат достъп до списъка с инсталирани приложения и имат много ограничения при достъп до файлове. Само UEM може да получи списъка с инсталирани приложения за iOS, но дори UEM няма достъп до файлове.
При Android ситуацията е различна. Приложенията могат да получават информация за приложенията, инсталирани на устройството. Те дори имат достъп до своите дистрибуции (например Apk Extractor и неговите аналози). Приложенията за Android също имат възможност за достъп до файлове (например Total Commander и др.). Приложенията за Android могат да бъдат декомпилирани.
С такива възможности следният антивирусен алгоритъм изглежда логичен:
- Проверка на приложенията
- Вземете списък с инсталирани приложения и контролни суми (CS) на техните дистрибуции.
- Проверете приложенията и техните CS първо в локалната, а след това в глобалната база данни.
- Ако приложението е неизвестно, прехвърлете разпространението му в глобалната база данни за анализ и декомпилация.
- Проверка на файлове, търсене на сигнатури на вируси
- Проверете CS файловете в локалната, след това в глобалната база данни.
- Проверете файловете за опасно съдържание (скриптове, експлойти и т.н.), като използвате локална и след това глобална база данни.
- Ако бъде открит злонамерен софтуер, уведомете потребителя и/или блокирайте достъпа на потребителя до злонамерения софтуер и/или препратете информацията към UEM. Необходимо е да се прехвърли информация към UEM, тъй като антивирусът не може самостоятелно да премахне зловреден софтуер от устройството.
Най-голямото безпокойство е възможността за прехвърляне на софтуерни дистрибуции от устройството към външен сървър. Без това е невъзможно да се приложи „поведенческият анализ“, заявен от производителите на антивирусни програми, защото На устройството не можете да стартирате приложението в отделна „пясъчна кутия“ или да го декомпилирате (колко ефективно е при използване на обфускация е отделен сложен въпрос). От друга страна, корпоративни приложения могат да бъдат инсталирани на мобилни устройства на служители, които не са известни на антивирусната програма, тъй като не са в Google Play. Тези мобилни приложения може да съдържат чувствителни данни, което може да накара тези приложения да не бъдат включени в публичния магазин. Прехвърлянето на такива дистрибуции на производителя на антивирусната програма изглежда неправилно от гледна точка на сигурността. Има смисъл да ги добавя към изключения, но все още не знам за съществуването на такъв механизъм.
Зловреден софтуер без root права може
1. Начертайте свой собствен невидим прозорец върху приложението или да внедрите собствена клавиатура за копиране на въведени от потребителя данни - параметри на сметки, банкови карти и др. Скорошен пример е уязвимостта. , с помощта на които е възможно да се замени активния екран на дадено приложение и по този начин да се получи достъп до въведените от потребителя данни. За потребителя това означава възможност за кражба на акаунт в Google с достъп до резервно копие на устройството и данни от банкова карта. За организацията от своя страна е важно да не загуби своите данни. Ако данните са в личната памет на приложението и не се съдържат в резервно копие на Google, тогава злонамереният софтуер няма да има достъп до тях.
2. Достъп до данни в публични директории – файлове за изтегляне, документи, галерия. Не се препоръчва съхраняването на ценна за компанията информация в тези директории, защото те могат да бъдат достъпни от всяко приложение. И самият потребител винаги ще може да сподели поверителен документ, като използва всяко налично приложение.
3. Дразнете потребителя с реклами, копайте биткойни, бъдете част от ботнет и т.н.. Това може да има отрицателно въздействие върху работата на потребителя и/или устройството, но няма да представлява заплаха за корпоративните данни.
Зловреден софтуер с root привилегии потенциално може да направи всичко. Те са рядкост, защото хакването на модерни устройства с Android с помощта на приложение е почти невъзможно. Последният път, когато подобна уязвимост беше открита през 2016 г. Това е сензационната Мръсна крава, която получи номер . Ключът тук е, че ако открие признаци на компрометиране на UEM, клиентът ще изтрие цялата корпоративна информация от устройството, така че вероятността за успешна кражба на данни с помощта на такъв зловреден софтуер в корпоративния свят е ниска.
Злонамерените файлове могат да навредят както на мобилното устройство, така и на корпоративните системи, до които има достъп. Нека разгледаме тези сценарии по-подробно.
Повреда на мобилно устройство може да бъде причинена, например, ако изтеглите снимка върху него, която при отваряне или при опит за инсталиране на тапет ще превърне устройството в „тухла“ или ще го рестартира. Това най-вероятно ще навреди на устройството или потребителя, но няма да повлияе на поверителността на данните. Въпреки че има изключения.
Уязвимостта беше обсъдена наскоро . Твърди се, че може да се използва за получаване на достъп до конзолата на мобилни устройства на Samsung чрез заразена снимка, изпратена по имейл, месинджър или MMS. Въпреки че конзолният достъп означава възможност за достъп само до данни в публични директории, където не трябва да има чувствителна информация, поверителността на личните данни на потребителите е компрометирана и това плаши потребителите. Въпреки че всъщност е възможно да се атакуват устройства само чрез MMS. А за успешна атака трябва да изпратите от 75 до 450 (!) съобщения. Антивирусът, за съжаление, няма да помогне тук, защото няма достъп до регистъра на съобщенията. За защита срещу това има само две възможности. Актуализирайте ОС или блокирайте MMS. Можете да чакате дълго за първия вариант и да не дочакате, защото... Производителите на устройства не пускат актуализации за всички устройства. Деактивирането на приемането на MMS в този случай е много по-лесно.
Файловете, прехвърлени от мобилни устройства, могат да навредят на корпоративните системи. Например, на мобилно устройство има заразен файл, който не може да навреди на устройството, но може да зарази компютър с Windows. Потребителят изпраща такъв файл по имейл на свой колега. Той го отваря на компютъра и по този начин може да го зарази. Но най-малко две антивирусни програми стоят на пътя на този вектор на атака - едната на имейл сървъра, другата на компютъра на получателя. Добавянето на трета антивирусна програма към тази верига на мобилно устройство изглежда направо параноично.
Както можете да видите, най-голямата заплаха в корпоративния дигитален свят е зловреден софтуер без root права. Откъде могат да дойдат на мобилно устройство?
Най-често те се инсталират чрез странично зареждане, adb или магазини на трети страни, които трябва да бъдат забранени на мобилни устройства с достъп до корпоративната мрежа. Има два варианта за пристигане на зловреден софтуер: от Google Play или от UEM.
Преди публикуване в Google Play всички приложения преминават задължителна проверка. Но за приложения с малък брой инсталации проверките най-често се извършват без човешка намеса, само в автоматичен режим. Поради това понякога зловреден софтуер попада в Google Play, но все още не често. Антивирус, чиито бази данни се актуализират своевременно, ще може да открие приложения със зловреден софтуер на устройството преди Google Play Protect, който все още изостава в скоростта на актуализиране на антивирусните бази данни.
UEM може да инсталира всяко приложение на мобилно устройство, вкл. зловреден софтуер, така че всяко приложение трябва първо да бъде сканирано. Приложенията могат да бъдат проверени както по време на тяхното разработване с помощта на инструменти за статичен и динамичен анализ, така и непосредствено преди тяхното разпространение с помощта на специализирани пясъчници и/или антивирусни решения. Важно е приложението да бъде проверено веднъж, преди да бъде качено в UEM. Следователно в този случай не е необходима антивирусна програма на мобилно устройство.
Мрежова защита
В зависимост от производителя на антивирусната програма, вашата мрежова защита може да предлага една или повече от следните функции.
URL филтрирането се използва за:
- Блокиране на трафика по категории ресурси. Например да се забрани гледането на новини или друго некорпоративно съдържание преди обяд, когато служителят е най-ефективен. На практика блокирането най-често работи с много ограничения - производителите на антивирусни програми не винаги успяват да актуализират директориите на категориите ресурси своевременно, като се има предвид наличието на много „огледала“. Освен това има анонимизатори и Opera VPN, които най-често не са блокирани.
- Защита срещу фишинг или подправяне на целеви хостове. За да направите това, URL адресите, до които устройството има достъп, първо се проверяват спрямо антивирусната база данни. Връзките, както и ресурсите, към които те водят (включително възможни множество пренасочвания), се проверяват спрямо база данни с известни фишинг сайтове. Името на домейна, сертификатът и IP адресът също се проверяват между мобилното устройство и надеждния сървър. Ако клиентът и сървърът получават различни данни, тогава това е или MITM („човек по средата“), или блокиране на трафика с помощта на една и съща антивирусна програма или различни видове прокси сървъри и уеб филтри в мрежата, към която е свързано мобилното устройство. Трудно е да се каже с увереност, че има някой по средата.
За да получи достъп до мобилен трафик, антивирусът или изгражда VPN, или използва възможностите на Accessibility API (API за приложения, предназначени за хора с увреждания). Едновременната работа на няколко VPN на мобилно устройство е невъзможна, така че защитата на мрежата срещу антивируси, които изграждат свои собствени VPN, не е приложима в корпоративния свят. VPN от антивирус просто няма да работи заедно с корпоративна VPN, която се използва за достъп до корпоративната мрежа.
Предоставянето на антивирусен достъп до API за достъпност крие друга опасност. Достъпът до API за достъпност по същество означава разрешение да правите каквото и да било за потребителя - да видите какво вижда потребителят, да извършвате действия с приложения вместо потребителя и т.н. Като се има предвид, че потребителят трябва изрично да предостави на антивирусната програма такъв достъп, най-вероятно тя ще откаже да го направи. Или ако се принуди, ще си купи друг телефон без антивирусна.
Защитна стена
Под това общо име има три функции:
- Събиране на статистически данни за използването на мрежата, разделени по приложение и тип мрежа (Wi-Fi, клетъчен оператор). Повечето производители на устройства с Android предоставят тази информация в приложението Настройки. Дублирането му в мобилния антивирусен интерфейс изглежда излишно. Обобщената информация за всички устройства може да представлява интерес. Успешно се събира и анализира от UEM системи.
- Ограничаване на мобилен трафик – задаване на лимит, известяване при достигането му. За повечето потребители на устройства с Android тези функции са налични в приложението Настройки. Централизираната настройка на ограниченията е задача на UEM, а не на антивирусната програма.
- Всъщност защитна стена. Или, с други думи, блокиране на достъпа до определени IP адреси и портове. Като се има предвид DDNS на всички популярни ресурси и необходимостта от активиране на VPN за тези цели, които, както е написано по-горе, не могат да работят заедно с основната VPN, функцията изглежда неприложима в корпоративната практика.
Wi-Fi проверка на пълномощно
Мобилните антивируси могат да оценят сигурността на Wi-Fi мрежите, към които се свързва мобилното устройство. Може да се предположи, че се проверява наличието и силата на криптирането. В същото време всички съвременни програми използват криптиране за предаване на чувствителни данни. Следователно, ако някоя програма е уязвима на ниво връзка, тогава е също така опасно да я използвате през всякакви интернет канали, а не само чрез обществен Wi-Fi.
Следователно общественият Wi-Fi, включително без криптиране, не е по-опасен и не по-малко сигурен от всички други ненадеждни канали за предаване на данни без криптиране.
Защита срещу спам
Защитата, като правило, се свежда до филтриране на входящи обаждания според списък, посочен от потребителя, или според база данни от известни спамъри, които безкрайно досаждат със застраховки, заеми и покани за театър. Въпреки че не се обаждат по време на самоизолация, скоро ще започнат отново. На филтриране подлежат само обажданията. Съобщенията на текущите устройства с Android не се филтрират. Предвид редовната смяна на номерата на спамерите и невъзможността за защита на текстови канали (SMS, месинджъри), функционалността е по-скоро маркетингова, отколкото практическа.
Защита против кражба
Извършване на дистанционни действия с мобилно устройство при загуба или кражба. Алтернатива на услугите Find My iPhone и Find My Device от Apple и Google, съответно. За разлика от своите аналози, услугите на производителите на антивирусни програми не могат да блокират устройство, ако нападателят е успял да го върне към фабричните настройки. Но ако това все още не се е случило, можете да направите следното с устройството дистанционно:
- Блокирайте. Защита от прост крадец, защото лесно може да се направи чрез нулиране на устройството до фабричните настройки чрез възстановяване.
- Разберете координатите на устройството. Полезно, когато устройството е наскоро изгубено.
- Включете силен звуков сигнал, за да ви помогне да намерите вашето устройство, ако е в безшумен режим.
- Нулирайте устройството до фабричните настройки. Има смисъл, когато потребителят е разпознал устройството като безвъзвратно изгубено, но не желае съхраняваните в него данни да бъдат разкривани.
- Да направя снимка. Направете снимка на нападателя, ако държи телефона в ръцете си. Най-съмнителната функционалност е, че вероятността нападател да се възхищава на телефона при добро осветление е ниска. Но наличието в устройството на приложение, което може тихо да управлява камерата на смартфона, да прави снимки и да ги изпраща на своя сървър, предизвиква основателна загриженост.
Дистанционното изпълнение на команди е основно във всяка UEM система. Единственото, което им липсва е дистанционното снимане. Това е сигурен начин да накарате потребителите да извадят батериите от телефоните си и да ги поставят в чанта Faraday след края на работния ден.
Функциите против кражба в мобилните антивируси са налични само за Android. За iOS само UEM може да извършва такива действия. Може да има само един UEM на устройство с iOS - това е архитектурна характеристика на iOS.
Данни
- Ситуация, в която потребител може да инсталира зловреден софтуер на телефон, НЕ Е ПРИЕМЛИВА.
- Правилно конфигурираният UEM на корпоративно устройство премахва необходимостта от антивирусна програма.
- Ако се използват 0-дневни уязвимости в операционната система, антивирусът е безполезен. Може само да посочи на администратора, че устройството е уязвимо.
- Антивирусът не може да определи дали уязвимостта се използва. Както и пускане на актуализация за устройство, за което производителят вече не пуска актуализации за сигурност. Най-много година-две.
- Ако пренебрегнем изискванията на регулаторите и маркетинга, тогава корпоративните мобилни антивируси са необходими само на устройства с Android, където потребителите имат достъп до Google Play и инсталиране на програми от източници на трети страни. В други случаи ефективността на използването на антивируси е не повече от плацебо.
Източник: www.habr.com