Rychlý rozvoj přenosné elektroniky a zejména chytrých telefonů a tabletů vytvořil řadu nových výzev pro podnikovou informační bezpečnost. Pokud totiž dříve byla veškerá kybernetická bezpečnost založena na vytvoření bezpečného perimetru a jeho následné ochraně, nyní, kdy téměř každý zaměstnanec používá k řešení pracovních problémů vlastní mobilní zařízení, je velmi obtížné kontrolovat bezpečnostní perimetr. To platí zejména pro velké podniky, ve kterých má každý zaměstnanec přihlašovací jméno a heslo pro e-mail a další firemní zdroje. Při nákupu nového smartphonu nebo tabletu do něj zaměstnanec podniku často zadá své přihlašovací údaje a často se zapomene na starém zařízení odhlásit. I když je v podniku jen 5 % takových nezodpovědných zaměstnanců, bez řádné kontroly administrátora se situace s přístupem mobilního zařízení k poštovnímu serveru velmi rychle změní v pořádný průšvih.
Navíc poměrně často dochází ke ztrátě nebo odcizení mobilních zařízení, která se následně používají k hledání usvědčujících důkazů a také k přístupu k firemním zdrojům a údajům o obchodním tajemství. Obvykle největší poškození podnikové kybernetické bezpečnosti pochází od útočníků, kteří získají přístup k e-mailu zaměstnance. Díky tomu mohou získat přístup ke globálnímu seznamu adres a kontaktů, k harmonogramu schůzek, kterých se měl nešťastný zaměstnanec zúčastnit, i k jeho korespondenci. Kromě toho mohou útočníci, kteří získají přístup k firemnímu e-mailu, odesílat phishingové e-maily nebo e-maily infikované malwarem z důvěryhodné e-mailové adresy. To vše dohromady dává útočníkům prakticky neomezené možnosti provádět kybernetické útoky a také využívat sociální inženýrství k dosažení svých cílů.
Pro sledování mobilních zařízení v rámci bezpečnostního perimetru existuje technologie ABQ neboli Povolit/Zablokovat/Karanténa. Umožňuje správci kontrolovat seznam mobilních zařízení, která mohou synchronizovat data s poštovním serverem, a v případě potřeby blokovat napadená zařízení a umístit podezřelá mobilní zařízení do karantény.
Jak však každý správce bezplatné verze Zimbra Collaboration Suite Open-Source Edition ví, její schopnost interakce s mobilními zařízeními je velmi omezená. Přísně vzato, uživatelé bezplatné verze Zimbra mohou přijímat a odesílat e-maily pouze prostřednictvím protokolu POP3 nebo IMAP, aniž by měli vestavěnou schopnost synchronizovat data z deníku, adresáře a poznámek se serverem. Technologie ABQ také není implementována v bezplatné verzi Zimbra Collaboration Suite, která automaticky ukončuje veškeré pokusy o vytvoření uzavřeného informačního perimetru v podniku. V podmínkách, kdy administrátor neví, která zařízení se připojují k jeho serveru, může docházet k únikům informací v podniku a pravděpodobnost kybernetického útoku podle výše popsaného scénáře se prudce zvyšuje.
Modulární rozšíření Zextras Mobile pomůže vyřešit tento problém v Zimbra Collaboration Suite Open-Source Edition. Toto rozšíření umožňuje přidat do bezplatné verze Zimbra plnou podporu protokolu ActiveSync a díky tomu otevírá spoustu možností pro interakci mezi mobilními zařízeními a vaším poštovním serverem. Kromě různých dalších funkcí přichází rozšíření Zextras Mobile s plnou podporou ABQ.
Okamžitě vás varujeme, že protože nesprávně nakonfigurovaný ABQ může vést k tomu, že někteří uživatelé nebudou moci synchronizovat data na svých mobilních zařízeních se serverem, musíte k otázce nastavení přistupovat s maximální opatrností a opatrností. . ABQ se konfiguruje z příkazového řádku Zextras. Na příkazovém řádku se konfiguruje provozní režim ABQ v Zimbře a také se spravují seznamy zařízení.
Provádí se následovně: Poté, co se uživatel přihlásí do firemní pošty na mobilním zařízení, odešle na server autorizační údaje a také identifikační údaje svého zařízení, které narazí na překážku v podobě ABQ, která se podívá na identifikaci data a zkontroluje je s těmi, které jsou v seznamech povolených, karanténních a blokovaných zařízení. Pokud zařízení není v žádném ze seznamů, pak s ním ABQ nakládá v souladu s režimem, ve kterém pracuje.
ABQ v Zimbře nabízí tři režimy provozu:
Povolný: V tomto provozním režimu se synchronizace po autentizaci uživatele provede automaticky při prvním požadavku z mobilního zařízení. V tomto provozním režimu je možné blokovat jednotlivá zařízení, ale všichni ostatní budou moci libovolně synchronizovat data se serverem.
Interaktivní: V tomto režimu provozu si bezpečnostní systém ihned po autentizaci uživatele vyžádá identifikační údaje zařízení a porovná je se seznamem povolených zařízení. Pokud je zařízení na seznamu povolených, synchronizace automaticky pokračuje. Pokud toto zařízení není na bílé listině, bude automaticky umístěno do karantény, aby se správce mohl později rozhodnout, zda tomuto zařízení povolí synchronizaci se serverem, nebo jej zablokuje. V takovém případě bude uživateli zasláno odpovídající upozornění. Správce je informován pravidelně, jednou za nastavitelnou dobu. V tomto případě bude každé nové oznámení obsahovat pouze nová zařízení v karanténě.
Přísný: V tomto režimu provozu je po autentizaci uživatele okamžitě provedena kontrola, zda jsou identifikační údaje zařízení v seznamu povolených. Pokud je tam uveden, synchronizace automaticky pokračuje. Pokud zařízení není na seznamu povolených, okamžitě přejde na seznam blokovaných a uživatel obdrží odpovídající upozornění e-mailem.
Pokud si to přejete, může správce Zimbry zcela zakázat ABQ na svém poštovním serveru.
Provozní režim ABQ se konfiguruje pomocí příkazů:
zxsuite config globální sada atributu abqMode hodnota Permisivní
zxsuite config globální sada atributu abqMode hodnota Interaktivní
zxsuite config globální sada atributu abqMode hodnota Strict
zxsuite config globální sada atributu abqMode hodnota Zakázáno
Aktuální provozní režim ABQ zjistíte pomocí příkazu zxsuite config global get atribut abqMode.
Pokud používáte interaktivní nebo striktní provozní režimy ABQ, budete často muset pracovat se seznamy povolených, blokovaných a karanténních zařízení. Předpokládejme, že k našemu serveru jsou připojena dvě zařízení: jeden iPhone a jeden Android s odpovídajícími identifikačními údaji. Později se ukázalo, že generální ředitel podniku si nedávno zakoupil iPhone a rozhodl se na něm pracovat s poštou a Android patří obyčejnému manažerovi, který z bezpečnostních důvodů nemá právo používat pracovní poštu na smartphonu.
V případě interaktivního režimu budou všechna v karanténě, odkud bude muset správce přesunout iPhone do seznamu povolených zařízení a Android do seznamu blokovaných. K tomu používá příkazy zxsuite mobile abq umožňují iPhone и zxsuite mobile abq block Android. Poté bude moci generální ředitel plně pracovat s poštou ze svých zařízení, zatímco manažer ji bude muset stále prohlížet výhradně ze svého pracovního notebooku.
Stojí za zmínku, že při používání interaktivního režimu, i když manažer zadá své uživatelské jméno a heslo správně na svém zařízení Android, stále nezíská přístup ke svému účtu, ale vstoupí do virtuální schránky, ve které obdrží upozornění, že jeho zařízení bylo přidáno do karantény a nebude z něj moci používat poštu.
V případě přísného režimu budou všechna nová zařízení zablokována a poté, co se zjistí, komu patřila, bude muset administrátor pouze přidat iPhone CEO do seznamu povolených zařízení pomocí příkazu zxsuite mobile ABQ set iPhone povoleno, ponechte tam telefonní číslo manažera.
Permisivní režim provozu je špatně kompatibilní s jakýmikoli bezpečnostními pravidly v podniku, pokud však stále existuje potřeba zablokovat některé z povolených mobilních zařízení, například pokud manažer náhle skončí se skandálem, lze to provést pomocí příkaz zxsuite mobile ABQ set Android Blocked.
Pokud podnik poskytuje zaměstnancům servisní gadgety pro práci s poštou, pak při příští změně vlastníka může být zařízení zcela odstraněno ze seznamů ABQ, aby se později znovu rozhodlo, zda mu povolit synchronizaci se serverem či nikoli. To se provádí pomocí příkazu zxsuite mobile ABQ smazat Android.
Jak tedy můžete vidět, s pomocí rozšíření Zextras Mobile v Zimbře můžete implementovat velmi flexibilní systém pro sledování používaných mobilních zařízení, vhodný pro oba podniky s poměrně přísnou politikou ohledně využívání firemních zdrojů mimo kancelář. a pro společnosti, které jsou v tomto ohledu v používání mobilních zařízení poměrně liberální.
Zdroj: www.habr.com