Бързото развитие на преносимата електроника и по-специално на смартфоните и таблетите създаде много нови предизвикателства пред корпоративната информационна сигурност. Всъщност, ако преди това цялата киберсигурност се основаваше на създаването на защитен периметър и последващата му защита, сега, когато почти всеки служител използва собствените си мобилни устройства за решаване на работни проблеми, стана много трудно да се контролира периметърът на сигурността. Това важи особено за големи предприятия, в които всеки служител има потребителско име и парола за имейл и други корпоративни ресурси. Често, когато купувате нов смартфон или таблет, служител на предприятието въвежда своите идентификационни данни на него, като често забравя да излезе от старото устройство. Дори в едно предприятие да има само 5% такива безотговорни служители, без подходящ контрол от страна на администратора, ситуацията с достъпа на мобилни устройства до мейл сървъра много бързо се превръща в истинска бъркотия.
Освен това доста често мобилните устройства се губят или крадат и впоследствие се използват за търсене на уличаващи доказателства, както и за достъп до корпоративни ресурси и данни, представляващи търговска тайна. Обикновено най-голямата вреда за корпоративната киберсигурност идва от нападателите, които получават достъп до имейла на служител. Благодарение на това те могат да получат достъп до глобален списък с адреси и контакти, до графика на срещите, в които е трябвало да участва нещастният служител, както и до неговата кореспонденция. Освен това нападателите, които получат достъп до корпоративната електронна поща, могат да изпращат фишинг имейли или имейли, заразени със зловреден софтуер, от доверен имейл адрес. Всичко това заедно дава практически неограничени възможности на атакуващите да извършват кибератаки, както и да използват социално инженерство за постигане на целите си.
За да наблюдавате мобилни устройства в периметъра на сигурността, има технология ABQ или Разрешаване/Блокиране/Карантина. Позволява на администратора да контролира списъка с мобилни устройства, на които е разрешено да синхронизират данни с пощенския сървър и, ако е необходимо, да блокира компрометирани устройства и да постави под карантина подозрителни мобилни устройства.
Въпреки това, както всеки администратор на безплатната версия на Zimbra Collaboration Suite Open-Source Edition знае, способността му да взаимодейства с мобилни устройства е много ограничена. Строго погледнато, потребителите на безплатната версия на Zimbra могат да получават и изпращат имейли само през POP3 или IMAP протокола, без да имат вградената възможност за синхронизиране на данни от дневници, адресни книги и бележки със сървъра. ABQ технологията също не е внедрена в безплатната версия на Zimbra Collaboration Suite, което автоматично слага край на всички опити за създаване на затворен информационен периметър в предприятието. В условия, при които администраторът не знае кои устройства се свързват с неговия сървър, в предприятието могат да се появят течове на информация и вероятността от кибератака според описания по-горе сценарий рязко се увеличава.
Модулното разширение Zextras Mobile ще помогне за решаването на този проблем в изданието с отворен код на Zimbra Collaboration Suite. Това разширение ви позволява да добавите пълна поддръжка за протокола ActiveSync към безплатната версия на Zimbra и благодарение на това отваря много възможности за взаимодействие между мобилни устройства и вашия имейл сървър. Наред с различни други функции, разширението Zextras Mobile идва с пълна поддръжка на ABQ.
Нека незабавно ви предупредим, че тъй като неправилно конфигуриран ABQ може да доведе до факта, че някои потребители няма да могат да синхронизират данните на своите мобилни устройства със сървъра, трябва да подходите към въпроса за настройката му с най-голямо внимание и предпазливост . ABQ се конфигурира от командния ред на Zextras. В командния ред се конфигурира режимът на работа ABQ в Zimbra и се управляват списъците с устройства.
Реализира се по следния начин: След като потребителят влезе в корпоративната поща на мобилно устройство, той изпраща данни за оторизация към сървъра, както и идентификационни данни на своето устройство, което среща препятствие под формата на ABQ, който разглежда идентификацията данни и ги сверява с тези, които са в списъците с разрешени, карантинирани и блокирани устройства. Ако устройството не е в нито един от списъците, тогава ABQ се занимава с него в съответствие с режима, в който работи.
ABQ в Zimbra осигурява три режима на работа:
Разрешително: В този режим на работа, след автентификация на потребителя, синхронизацията се извършва автоматично при първа заявка от мобилно устройство. В този режим на работа е възможно да се блокират отделни устройства, но всички останали ще могат свободно да синхронизират данни със сървъра.
Интерактивен: В този режим на работа, веднага след като потребителят бъде удостоверен, системата за сигурност изисква данните за идентификация на устройството и ги сравнява със списъка с разрешени устройства. Ако устройството е в списъка с разрешени, синхронизирането продължава автоматично. Ако това устройство не е в белия списък, то автоматично ще бъде поставено под карантина, така че администраторът да може по-късно да реши дали да позволи на това устройство да се синхронизира със сървъра или да го блокира. В този случай на потребителя ще бъде изпратено съответно известие. Администраторът се информира редовно, веднъж в конфигурируем период от време. В този случай всяко ново известие ще съдържа само нови устройства под карантина.
Строг: В този режим на работа, след удостоверяване на потребителя, незабавно се прави проверка дали идентификационните данни на устройството са в разрешения списък. Ако е посочено там, синхронизирането продължава автоматично. Ако дадено устройство не е в списъка с разрешени, то незабавно отива в списъка с блокирани и потребителят получава съответно известие по пощата.
Освен това, ако желае, администраторът на Zimbra може напълно да деактивира ABQ на своя пощенски сървър.
Режимът на работа ABQ се конфигурира с помощта на командите:
zxsuite config global set attribute abqMode value Permissive
zxsuite config global set атрибут abqMode стойност Interactive
zxsuite config global set атрибут abqMode стойност Strict
zxsuite config global set attribute abqMode value Disabled
Можете да разберете текущия режим на работа на ABQ с помощта на командата zxsuite config global get атрибут abqMode.
Ако използвате интерактивни или строги ABQ режими на работа, често ще трябва да работите със списъци с разрешени, блокирани и поставени под карантина устройства. Да приемем, че две устройства са свързани към нашия сървър: един iPhone и един Android със съответните идентификационни данни. По-късно се оказва, че генералният директор на предприятието наскоро е закупил iPhone и е решил да работи с поща на него, а Android принадлежи на обикновен мениджър, който няма право да използва работна поща на смартфон от съображения за сигурност.
В случай на интерактивен режим всички те ще бъдат поставени под карантина, откъдето администраторът ще трябва да премести iPhone в списъка с разрешени устройства, а Android в списъка с блокирани. За да направи това, той използва командите zxsuite mobile abq позволява iPhone и zxsuite mobile abq block Android. След това главният изпълнителен директор ще може напълно да работи с пощата от своите устройства, докато мениджърът ще трябва да я преглежда изключително от работния си лаптоп.
Струва си да се отбележи, че при използване на интерактивен режим, дори ако мениджърът въведе правилно потребителското си име и парола на устройството си с Android, той пак няма да получи достъп до акаунта си, но ще влезе във виртуална пощенска кутия, в която ще получи известие, че устройството му е добавено в карантина и той няма да може да използва поща от него.
В случай на строг режим всички нови устройства ще бъдат блокирани и след като се разбере на кого са, администраторът ще трябва само да добави iPhone на главния изпълнителен директор към списъка с разрешени устройства с помощта на командата zxsuite mobile ABQ set iPhone Разрешено, оставяйки там телефонния номер на управителя.
Разрешителният режим на работа е слабо съвместим с всички правила за сигурност в предприятието, но ако все още има нужда да блокирате някое от разрешените мобилни устройства, например ако мениджър внезапно напусне със скандал, това може да стане с командата zxsuite mobile ABQ set Android Blocked.
Ако дадено предприятие предоставя на служителите сервизни приспособления за работа с поща, тогава следващия път, когато неговият собственик се промени, устройството може да бъде напълно премахнато от списъците на ABQ, за да решите по-късно отново дали да му позволите да се синхронизира със сървъра или не. Това става с помощта на командата zxsuite mobile ABQ изтриване на Android.
По този начин, както можете да видите, с помощта на разширението Zextras Mobile в Zimbra можете да внедрите много гъвкава система за наблюдение на използваните мобилни устройства, подходяща както за предприятия с доста строга политика по отношение на използването на корпоративни ресурси извън офиса , както и за онези компании, които са доста либерални в използването на мобилни устройства в това отношение.
Източник: www.habr.com