Brzi razvoj prijenosne elektronike, a posebno pametnih telefona i tableta, stvorio je mnogo novih izazova za sigurnost korporativnih informacija. Zaista, ako se ranije sva sajber sigurnost temeljila na stvaranju sigurnog perimetra i njegovoj naknadnoj zaštiti, sada, kada gotovo svaki zaposleni koristi svoje mobilne uređaje za rješavanje radnih problema, postalo je vrlo teško kontrolirati sigurnosni perimetar. Ovo posebno važi za velika preduzeća, u kojima svaki zaposleni ima login i lozinku za e-poštu i druge korporativne resurse. Često, prilikom kupovine novog pametnog telefona ili tableta, zaposleni u preduzeću unese svoje akreditive na njega, često zaboravljajući da se odjavi na starom uređaju. Čak i ako u preduzeću ima samo 5% ovakvih neodgovornih zaposlenih, bez odgovarajuće kontrole od strane administratora, situacija sa pristupom mobilnog uređaja mail serveru vrlo brzo se pretvara u pravi haos.
Osim toga, prilično često se mobilni uređaji izgube ili ukradu, a zatim se koriste za traženje inkriminirajućih dokaza, kao i za pristup korporativnim resursima i podacima o poslovnoj tajni. Tipično, najveća šteta za korporativnu sajber sigurnost dolazi od toga što napadači dobiju pristup e-pošti zaposlenika. Zahvaljujući tome, mogu dobiti pristup globalnoj listi adresa i kontakata, rasporedu sastanaka na kojima je nesretni zaposlenik trebao da učestvuje, kao i njegovoj prepisci. Osim toga, napadači koji dobiju pristup korporativnoj e-pošti mogu slati phishing e-poruke ili e-poruke zaražene zlonamjernim softverom sa pouzdane adrese e-pošte. Sve ovo zajedno daje napadačima praktički neograničene mogućnosti za izvođenje cyber napada, kao i korištenje društvenog inženjeringa za postizanje svojih ciljeva.
Za praćenje mobilnih uređaja unutar sigurnosnog perimetra postoji ABQ tehnologija, odnosno Dozvoli/Blokiraj/Karantin. Omogućava administratoru da kontroliše listu mobilnih uređaja kojima je dozvoljeno da sinhronizuju podatke sa serverom pošte i, ako je potrebno, blokira kompromitovane uređaje i stavlja u karantin sumnjive mobilne uređaje.
Međutim, kao što svaki administrator besplatne verzije Zimbra Collaboration Suite Open-Source Edition zna, njegova mogućnost interakcije s mobilnim uređajima je vrlo ograničena. Strogo govoreći, korisnici besplatne verzije Zimbre mogu primati i slati e-poštu samo putem POP3 ili IMAP protokola, bez ugrađene mogućnosti za sinhronizaciju podataka dnevnika, adresara i bilješki sa serverom. ABQ tehnologija također nije implementirana u besplatnoj verziji Zimbra Collaboration Suite, što automatski stavlja tačku na sve pokušaje stvaranja zatvorenog informacijskog perimetra u preduzeću. U uslovima kada administrator ne zna koji se uređaji povezuju na njegov server, može doći do curenja informacija u preduzeću, a verovatnoća sajber napada prema prethodno opisanom scenariju naglo raste.
Zextras Mobile modularna ekstenzija će pomoći u rješavanju ovog problema u Zimbra Collaboration Suite Open-Source izdanju. Ovo proširenje vam omogućava da besplatnoj verziji Zimbre dodate punu podršku za ActiveSync protokol i, zahvaljujući tome, otvara puno mogućnosti za interakciju između mobilnih uređaja i vašeg mail servera. Među raznim drugim funkcijama, ekstenzija Zextras Mobile dolazi sa punom podrškom za ABQ.
Odmah da vas upozorimo da s obzirom na to da pogrešno konfigurisan ABQ može dovesti do toga da neki korisnici neće moći sinkronizirati podatke na svojim mobilnim uređajima sa serverom, morate pristupiti pitanju njegovog postavljanja s najvećom pažnjom i oprezom. . ABQ se konfiguriše iz komandne linije Zextras. Na komandnoj liniji se konfiguriše ABQ režim rada u Zimbri, a takođe se upravlja listama uređaja.
Realizira se na sljedeći način: Nakon što se korisnik prijavi u korporativnu poštu na mobilnom uređaju, on serveru šalje autorizacijske podatke, kao i identifikacijske podatke svog uređaja, koji nailazi na prepreku u vidu ABQ-a, koji gleda na identifikaciju. podatke i provjerava ih sa onim , koji se nalaze na listama dozvoljenih, u karantinu i blokiranih uređaja. Ako se uređaj ne nalazi ni na jednoj listi, onda ABQ postupa s njim u skladu s načinom rada u kojem radi.
ABQ u Zimbri nudi tri načina rada:
Permissive: U ovom načinu rada, nakon autentifikacije korisnika, sinhronizacija se obavlja automatski na prvi zahtjev s mobilnog uređaja. U ovom načinu rada moguće je blokirati pojedinačne uređaje, ali će svi ostali moći slobodno sinkronizirati podatke sa serverom.
Interactive: U ovom načinu rada, odmah nakon autentifikacije korisnika, sigurnosni sistem traži identifikacijske podatke uređaja i upoređuje ih sa listom dozvoljenih uređaja. Ako se uređaj nalazi na listi dozvoljenih, sinhronizacija se automatski nastavlja. Ako ovaj uređaj nije na bijeloj listi, automatski će biti stavljen u karantin kako bi administrator kasnije mogao odlučiti hoće li dozvoliti sinhronizaciju ovog uređaja sa serverom ili ga blokirati. U tom slučaju, korisniku će biti poslano odgovarajuće obavještenje. Administrator se redovno obavještava, jednom u podesivom vremenskom periodu. U tom slučaju, svako novo obavještenje će sadržavati samo nove uređaje u karantinu.
Strogo: U ovom načinu rada, nakon autentifikacije korisnika, odmah se vrši provjera da li se identifikacijski podaci uređaja nalaze na listi dozvoljenih. Ako je tamo navedeno, sinhronizacija se automatski nastavlja. Ako se uređaj ne nalazi na listi dozvoljenih, on odmah prelazi na listu blokiranih, a korisnik dobija odgovarajuće obaveštenje putem pošte.
Također, po želji, Zimbra administrator može potpuno onemogućiti ABQ na svom serveru pošte.
ABQ način rada se konfiguriše pomoću naredbi:
zxsuite config globalni set atribut abqMode vrijednost Dozvoljeno
zxsuite config globalni set atribut abqMode vrijednost Interaktivno
zxsuite config globalni set atribut abqMode vrijednost Stroga
zxsuite config globalni set atribut abqMode vrijednost Disabled
Možete saznati trenutni način rada ABQ pomoću naredbe zxsuite config global get atribut abqMode.
Ako koristite interaktivne ili stroge ABQ načine rada, često ćete morati raditi sa listama dozvoljenih, blokiranih i karantenskih uređaja. Pretpostavimo da su na naš server povezana dva uređaja: jedan iPhone i jedan Android sa odgovarajućim identifikacionim podacima. Kasnije se ispostavilo da je generalni direktor preduzeća nedavno kupio iPhone i odlučio da radi s poštom na njemu, a Android pripada običnom menadžeru koji nema pravo koristiti radnu poštu na pametnom telefonu iz sigurnosnih razloga.
U slučaju interaktivnog načina rada, svi će biti stavljeni u karantin, odakle će administrator morati premjestiti iPhone na listu dozvoljenih uređaja, a Android na listu blokiranih. Da bi to uradio, koristi komande zxsuite mobile abq omogućava iPhone и zxsuite mobile abq block Android. Nakon toga, izvršni direktor će moći u potpunosti da radi sa poštom sa svojih uređaja, dok će menadžer i dalje morati da je gleda isključivo sa svog radnog laptopa.
Vrijedi napomenuti da prilikom korištenja interaktivnog načina rada, čak i ako menadžer ispravno unese svoje korisničko ime i lozinku na svom Android uređaju, i dalje neće dobiti pristup svom računu, već će ući u virtuelni poštanski sandučić u koji će dobiti obavijest da njegov uređaj je dodan u karantin i on neće moći koristiti poštu s njega.
U slučaju strogog režima, svi novi uređaji će biti blokirani i nakon što se sazna kome su pripadali, administrator će morati samo da doda iPhone izvršnog direktora na listu dozvoljenih uređaja koristeći komandu zxsuite mobilni ABQ set iPhone Dozvoljeno, ostavljajući tamo telefonski broj menadžera.
Dozvoljeni način rada slabo je kompatibilan s bilo kojim sigurnosnim pravilima u preduzeću, međutim, ako i dalje postoji potreba za blokiranjem bilo kojeg od dozvoljenih mobilnih uređaja, na primjer, ako menadžer iznenada odustane zbog skandala, to se može učiniti pomoću komandu zxsuite mobilni ABQ set Android Blokiran.
Ako preduzeće obezbedi zaposlenima uslužne gadgete za rad sa poštom, onda kada se sledeći put promeni vlasnik, uređaj može biti potpuno uklonjen sa ABQ lista kako bi se kasnije ponovo odlučilo da li da mu dozvoli da se sinhronizuje sa serverom ili ne. Ovo se radi pomoću naredbe zxsuite mobile ABQ izbrisati Android.
Dakle, kao što vidite, uz pomoć ekstenzije Zextras Mobile u Zimbri, možete implementirati vrlo fleksibilan sistem za praćenje mobilnih uređaja koji se koriste, pogodan za oba preduzeća sa prilično strogom politikom u pogledu korištenja korporativnih resursa izvan ureda. , i za one kompanije koje su prilično liberalne u korišćenju mobilnih uređaja u tom pogledu.
izvor: www.habr.com