ProHoster > Blog > administration > Mobil antivirus virker ikke

Mobil antivirus virker ikke

Mobil antivirus virker ikke
TL; DR hvis din virksomheds mobile enheder kræver et antivirus, så gør du alt forkert, og antivirussen vil ikke hjælpe dig.

Dette indlæg er resultatet af en heftig debat om, hvorvidt et antivirus er nødvendigt på en firmamobiltelefon, i hvilke tilfælde det virker, og i hvilke tilfælde det er ubrugeligt. Artiklen undersøger de trusselsmodeller, som et antivirus i teorien skal beskytte mod.

Antivirusleverandører formår ofte at overbevise virksomhedskunder om, at et antivirus vil forbedre deres sikkerhed i høj grad, men i de fleste tilfælde er dette illusorisk beskyttelse, som kun reducerer både brugeres og administratorers årvågenhed.

Den rigtige virksomhedsinfrastruktur

Når en virksomhed har titusinder eller endda tusindvis af ansatte, er det umuligt manuelt at konfigurere hver brugerenhed. Indstillinger kan ændre sig hver dag, nye medarbejdere kommer til, deres mobiltelefoner og bærbare computere går i stykker eller bliver væk. Som følge heraf ville alt administratorernes arbejde bestå af daglig implementering af nye indstillinger på medarbejdernes enheder.

Dette problem begyndte at blive løst på stationære computere for længe siden. I Windows-verdenen foregår en sådan styring normalt ved hjælp af Active Directory, centraliserede godkendelsessystemer (Single Sign In) osv. Men nu har alle medarbejdere tilføjet smartphones til deres computere, hvorpå en væsentlig del af arbejdsprocesserne foregår og vigtige data lagres. Microsoft forsøgte at integrere sine Windows Phones i et enkelt økosystem med Windows, men denne idé døde med Windows Phones officielle død. Derfor skal du i et virksomhedsmiljø under alle omstændigheder vælge mellem Android og iOS.

Nu i et virksomhedsmiljø er konceptet UEM (Unified endpoint management) på mode til styring af medarbejderens enheder. Dette er et centraliseret administrationssystem til mobile enheder og stationære computere.
Mobil antivirus virker ikke
Centraliseret styring af brugerenheder (United endpoint management)

UEM-systemadministratoren kan indstille forskellige politikker for brugerenheder. For eksempel at give brugeren mere eller mindre kontrol over enheden, installere applikationer fra tredjepartskilder osv.

Hvad UEM kan:

Administrer alle indstillinger — administratoren kan fuldstændig forbyde brugeren at ændre indstillinger på enheden og ændre dem eksternt.

Styr software på enheden — tillade muligheden for at installere programmer på enheden og automatisk installere programmer uden brugerens viden. Administratoren kan også blokere eller tillade installation af programmer fra applikationsbutikken eller fra upålidelige kilder (fra APK-filer i tilfælde af Android).

Fjernblokering — hvis telefonen går tabt, kan administratoren blokere enheden eller slette dataene. Nogle systemer giver dig også mulighed for at indstille automatisk datasletning, hvis telefonen ikke har kontaktet serveren i mere end N timer, for at eliminere muligheden for offline hackingforsøg, når angribere formåede at fjerne SIM-kortet, før datarydningskommandoen blev sendt fra serveren .

Saml statistik — spor brugeraktivitet, applikationsbrugstid, placering, batteriniveau osv.

Hvad er UEM'er?

Der er to grundlæggende forskellige tilgange til centraliseret styring af medarbejdersmartphones: I ét tilfælde køber virksomheden enheder fra én producent til medarbejderne og vælger normalt et styringssystem fra den samme leverandør. I et andet tilfælde bruger medarbejderne deres personlige enheder til arbejdet, og her begynder den zoologiske have af styresystemer, versioner og platforme.

BYOD (Bring your own device) er et koncept, hvor medarbejdere bruger deres personlige enheder og konti til at arbejde. Nogle centraliserede administrationssystemer giver dig mulighed for at tilføje en anden arbejdskonto og helt adskille dine data i personligt og arbejde.

Mobil antivirus virker ikke

Apple Business Manager - Apples native centraliserede administrationssystem. Kan kun administrere Apple-enheder, computere med macOS og iOS-telefoner. Understøtter BYOD, hvilket skaber et andet isoleret miljø med en anden iCloud-konto.

Mobil antivirus virker ikke

Google Cloud Endpoint Management — giver dig mulighed for at administrere telefoner på Android og Apple iOS samt desktops på Windows 10. BYOD-understøttelse annonceres.

Mobil antivirus virker ikke
Samsung Knox UEM - Understøtter kun Samsung mobile enheder. I dette tilfælde kan du kun bruge det med det samme Samsung Mobile Management.

Faktisk er der mange flere UEM-udbydere, men vi vil ikke analysere dem alle i denne artikel. Det vigtigste at huske på er, at sådanne systemer allerede eksisterer og giver administratoren mulighed for at konfigurere brugerenheder tilstrækkeligt til den eksisterende trusselsmodel.

Trusselsmodel

Inden vi vælger beskyttelsesværktøjer, skal vi forstå, hvad vi beskytter os mod, hvad det værste kan ske i netop vores tilfælde. Relativt set: vores krop er let sårbar over for en kugle og endda en gaffel og et søm, men vi tager ikke en skudsikker vest på, når vi forlader huset. Derfor omfatter vores trusselsmodel ikke risikoen for at blive skudt på vej til arbejde, selvom det statistisk set ikke er så usandsynligt. Desuden er det under visse forhold helt berettiget at bære en skudsikker vest.

Trusselsmodeller varierer fra virksomhed til virksomhed. Lad os for eksempel tage smartphonen fra en kurer, der er på vej for at levere en pakke til en klient. Hans smartphone indeholder kun adressen på den aktuelle levering og ruten på kortet. Det værste, der kan ske med hans data, er et læk af pakkeleveringsadresser.

Og her er revisors smartphone. Han har adgang til virksomhedens netværk via VPN, har en virksomhedsklient-bank-applikation installeret og gemmer dokumenter med værdifuld information. Det er klart, at værdien af ​​dataene på disse to enheder adskiller sig væsentligt og bør beskyttes forskelligt.

Vil antivirus redde os?

Desværre går den virkelige betydning af de opgaver, som et antivirus udfører på en mobilenhed, tabt bag marketingslogans. Lad os prøve at forstå i detaljer, hvad antivirussen gør på telefonen.

Sikkerhedsrevision

De fleste moderne mobile antivirusser kontrollerer sikkerhedsindstillingerne på enheden. Denne revision kaldes nogle gange en "enhedens omdømmekontrol." Antivirus betragter en enhed som sikker, hvis fire betingelser er opfyldt:

  • Enheden er ikke hacket (root, jailbreak).
  • Enheden har en adgangskode konfigureret.
  • USB-fejlretning er ikke aktiveret på enheden.
  • Installation af applikationer fra ikke-pålidelige kilder (sideloading) er ikke tilladt på enheden.

Hvis enheden som følge af scanningen viser sig at være usikker, vil antivirussen underrette ejeren og tilbyde at deaktivere den "farlige" funktionalitet eller returnere fabriksfirmwaren, hvis der er tegn på root eller jailbreak.

Ifølge firmaskik er det ikke nok kun at give brugeren besked. Usikre konfigurationer skal elimineres. For at gøre dette skal du konfigurere sikkerhedspolitikker på mobile enheder ved hjælp af UEM-systemet. Og hvis en root/jailbreak opdages, skal du hurtigt fjerne virksomhedsdata fra enheden og blokere dens adgang til virksomhedens netværk. Og det er også muligt med UEM. Og først efter disse procedurer kan den mobile enhed betragtes som sikker.

Søg og fjern vira

I modsætning til populær tro på, at der ikke er nogen vira til iOS, er dette ikke sandt. Der er stadig almindelige udnyttelser i naturen for ældre versioner af iOS inficere enheder gennem udnyttelse af browsersårbarheder. På samme tid, på grund af iOS-arkitekturen, er udviklingen af ​​antivirus til denne platform umulig. Hovedårsagen er, at applikationer ikke kan få adgang til listen over installerede applikationer og har mange begrænsninger, når de får adgang til filer. Kun UEM kan få listen over installerede iOS-apps, men selv UEM kan ikke få adgang til filer.

Med Android er situationen anderledes. Applikationer kan få oplysninger om applikationer installeret på enheden. De kan endda få adgang til deres distributioner (for eksempel Apk Extractor og dets analoger). Android-applikationer har også mulighed for at få adgang til filer (for eksempel Total Commander osv.). Android-applikationer kan dekompileres.

Med sådanne muligheder ser følgende antivirusalgoritme logisk ud:

  • Kontrol af ansøgninger
  • Få en liste over installerede applikationer og kontrolsummer (CS) af deres distributioner.
  • Tjek applikationer og deres CS først i den lokale og derefter i den globale database.
  • Hvis applikationen er ukendt, skal du overføre dens distribution til den globale database til analyse og dekompilering.

  • Kontrollerer filer, søger efter virussignaturer
  • Tjek CS-filerne i den lokale og derefter i den globale database.
  • Tjek filer for usikkert indhold (scripts, udnyttelser osv.) ved hjælp af en lokal og derefter en global database.
  • Hvis der opdages malware, skal du underrette brugeren og/eller blokere brugerens adgang til malwaren og/eller videresende oplysningerne til UEM. Det er nødvendigt at overføre oplysninger til UEM, fordi antivirusprogrammet ikke selvstændigt kan fjerne malware fra enheden.

Den største bekymring er muligheden for at overføre softwaredistributioner fra enheden til en ekstern server. Uden dette er det umuligt at implementere den "adfærdsanalyse", som antivirusproducenter hævder, fordi På enheden kan du ikke køre applikationen i en separat "sandbox" eller dekompilere den (hvor effektiv den er, når du bruger sløring, er et separat komplekst spørgsmål). På den anden side kan virksomhedsapplikationer installeres på medarbejders mobile enheder, der er ukendte for antivirus, fordi de ikke er på Google Play. Disse mobilapps kan indeholde følsomme data, som kan medføre, at disse apps ikke vises i den offentlige butik. Overførsel af sådanne distributioner til antivirusproducenten virker forkert ud fra et sikkerhedssynspunkt. Det giver mening at tilføje dem til undtagelser, men jeg ved ikke om eksistensen af ​​en sådan mekanisme endnu.

Malware uden root-rettigheder kan

1. Tegn dit eget usynlige vindue oven på applikationen eller implementer dit eget tastatur til at kopiere brugerindtastede data - kontoparametre, bankkort mv. Et nyligt eksempel er sårbarhed. CVE-2020-0096, ved hjælp af hvilken det er muligt at udskifte den aktive skærm på en applikation og derved få adgang til brugerindtastede data. For brugeren betyder det muligheden for tyveri af en Google-konto med adgang til en enheds backup og bankkortdata. For organisationen er det til gengæld vigtigt ikke at miste sine data. Hvis dataene er i applikationens private hukommelse og ikke er indeholdt i en Google-sikkerhedskopi, vil malware ikke kunne få adgang til dem.

2. Få adgang til data i offentlige mapper – downloads, dokumenter, galleri. Det anbefales ikke at gemme virksomhedsværdige oplysninger i disse mapper, fordi de kan tilgås af enhver applikation. Og brugeren selv vil altid være i stand til at dele et fortroligt dokument ved hjælp af enhver tilgængelig applikation.

3. Forarge brugeren med annoncering, mine bitcoins, være en del af et botnet osv.. Dette kan have en negativ indvirkning på brugerens og/eller enhedens ydeevne, men vil ikke udgøre en trussel mod virksomhedens data.

Malware med root-rettigheder kan potentielt gøre alt. De er sjældne, fordi hacking af moderne Android-enheder ved hjælp af en applikation er næsten umuligt. Sidste gang en sådan sårbarhed blev opdaget var i 2016. Dette er den sensationelle Dirty COW, som fik nummeret CVE-2016-5195. Nøglen her er, at hvis klienten opdager tegn på et UEM-kompromis, vil klienten slette alle virksomhedsoplysninger fra enheden, så sandsynligheden for vellykket datatyveri ved hjælp af sådan malware i erhvervslivet er lav.

Ondsindede filer kan skade både den mobile enhed og de virksomhedssystemer, den har adgang til. Lad os se på disse scenarier mere detaljeret.

Skader på en mobilenhed kan for eksempel forårsages, hvis du downloader et billede på den, som, når den åbnes, eller når du forsøger at installere tapet, vil forvandle enheden til en "klods" eller genstarte den. Dette vil højst sandsynligt skade enheden eller brugeren, men vil ikke påvirke databeskyttelsen. Selvom der er undtagelser.

Sårbarheden blev for nylig diskuteret CVE-2020-8899. Det blev påstået, at det kunne bruges til at få adgang til konsollen på Samsungs mobile enheder ved hjælp af et inficeret billede sendt via e-mail, instant messenger eller MMS. Selvom konsoladgang betyder, at man kun kan få adgang til data i offentlige mapper, hvor følsomme oplysninger ikke bør være, så kompromitteres privatlivets fred for brugernes personlige data, og det har skræmt brugerne. Selvom det faktisk kun er muligt at angribe enheder ved hjælp af MMS. Og for et vellykket angreb skal du sende fra 75 til 450 (!) beskeder. Antivirus hjælper desværre ikke her, fordi det ikke har adgang til meddelelsesloggen. For at beskytte mod dette er der kun to muligheder. Opdater OS eller bloker MMS. Du kan vente længe på den første mulighed og ikke vente, fordi... Enhedsproducenter udgiver ikke opdateringer til alle enheder. Det er meget lettere at deaktivere MMS-modtagelse i dette tilfælde.

Filer, der overføres fra mobile enheder, kan forårsage skade på virksomhedens systemer. For eksempel er der en inficeret fil på en mobilenhed, som ikke kan skade enheden, men som kan inficere en Windows-computer. Brugeren sender en sådan fil via e-mail til sin kollega. Han åbner den på pc'en og kan derved inficere den. Men mindst to antivirusser står i vejen for denne angrebsvektor – den ene på e-mail-serveren, den anden på modtagerens pc. At tilføje et tredje antivirus til denne kæde på en mobilenhed virker direkte paranoid.

Som du kan se, er den største trussel i virksomhedens digitale verden malware uden root-privilegier. Hvor kan de komme fra på en mobilenhed?

Oftest installeres de ved hjælp af sideloading, adb eller tredjepartsbutikker, hvilket burde være forbudt på mobile enheder med adgang til virksomhedens netværk. Der er to muligheder for malware at ankomme: fra Google Play eller fra UEM.

Inden de udgives på Google Play, gennemgår alle applikationer obligatorisk verifikation. Men for applikationer med et lille antal installationer udføres kontroller oftest uden menneskelig indgriben, kun i automatisk tilstand. Derfor kommer der nogle gange malware ind i Google Play, men stadig ikke ofte. Et antivirusprogram, hvis databaser opdateres rettidigt, vil være i stand til at opdage programmer med malware på enheden før Google Play Protect, som stadig halter bagud i hastigheden af ​​opdatering af antivirusdatabaser.

UEM kan installere enhver applikation på en mobilenhed, inkl. malware, så enhver applikation skal scannes først. Applikationer kan kontrolleres både under deres udvikling ved hjælp af statiske og dynamiske analyseværktøjer og umiddelbart før deres distribution ved hjælp af specialiserede sandkasser og/eller antivirusløsninger. Det er vigtigt, at ansøgningen bekræftes én gang, før den uploades til UEM. Derfor er der i dette tilfælde ikke behov for et antivirus på en mobilenhed.

Netværksbeskyttelse

Afhængigt af antivirusproducenten kan din netværksbeskyttelse tilbyde en eller flere af følgende funktioner.

URL-filtrering bruges til at:

  • Blokering af trafik efter ressourcekategorier. For eksempel at forbyde at se nyheder eller andet ikke-virksomhedsindhold før frokost, hvor medarbejderen er mest effektiv. I praksis fungerer blokering oftest med mange begrænsninger - antivirusproducenter formår ikke altid at opdatere mapper over ressourcekategorier rettidigt under hensyntagen til tilstedeværelsen af ​​mange "spejle". Derudover er der anonymizere og Opera VPN, som oftest ikke er blokeret.
  • Beskyttelse mod phishing eller spoofing af målværter. For at gøre dette kontrolleres de URL'er, som enheden har adgang til, først i forhold til antivirusdatabasen. Links, såvel som de ressourcer, som de fører til (inklusive mulige flere omdirigeringer), kontrolleres mod en database med kendte phishing-websteder. Domænenavnet, certifikatet og IP-adressen verificeres også mellem den mobile enhed og den betroede server. Hvis klienten og serveren modtager forskellige data, så er dette enten MITM ("mand i midten") eller blokering af trafik ved hjælp af samme antivirus eller forskellige former for proxyer og webfiltre på netværket, som den mobile enhed er forbundet til. Det er svært at sige med tillid til, at der er nogen i midten.

For at få adgang til mobiltrafik bygger antivirussen enten en VPN eller bruger funktionerne i Accessibility API (API til applikationer beregnet til personer med handicap). Samtidig drift af flere VPN'er på en mobilenhed er umulig, så netværksbeskyttelse mod antivirus, der bygger deres egen VPN, er ikke anvendelig i erhvervslivet. En VPN fra en antivirus vil simpelthen ikke fungere sammen med en virksomheds VPN, som bruges til at få adgang til virksomhedens netværk.

At give en antivirus adgang til Accessibility API udgør en anden fare. Adgang til Accessibility API betyder i bund og grund tilladelse til at gøre hvad som helst for brugeren - se hvad brugeren ser, udføre handlinger med applikationer i stedet for brugeren osv. I betragtning af at brugeren eksplicit skal give antivirussen sådan adgang, vil den højst sandsynligt nægte at gøre det. Eller, hvis han bliver tvunget, vil han købe sig en anden telefon uden antivirus.

Firewall

Under dette generelle navn er der tre funktioner:

  • Indsamling af statistik om netværksbrug, opdelt efter applikation og netværkstype (Wi-Fi, mobiloperatør). De fleste producenter af Android-enheder giver disse oplysninger i appen Indstillinger. At duplikere det i den mobile antivirus-grænseflade virker overflødig. Samlet information om alle enheder kan være af interesse. Det er med succes indsamlet og analyseret af UEM-systemer.
  • Begrænsning af mobiltrafik – sætter en grænse, giver dig besked, når den er nået. For de fleste Android-enhedsbrugere er disse funktioner tilgængelige i appen Indstillinger. Centraliseret indstilling af restriktioner er UEM's opgave, ikke antivirus.
  • Faktisk firewall. Eller med andre ord blokering af adgang til bestemte IP-adresser og porte. Under hensyntagen til DDNS på alle populære ressourcer og behovet for at aktivere VPN til disse formål, som, som skrevet ovenfor, ikke kan fungere sammen med den primære VPN, virker funktionen uanvendelig i virksomhedspraksis.

Wi-Fi fuldmagtstjek

Mobil antivirus kan evaluere sikkerheden af ​​Wi-Fi-netværk, som den mobile enhed opretter forbindelse til. Det kan antages, at tilstedeværelsen og styrken af ​​krypteringen er kontrolleret. Samtidig bruger alle moderne programmer kryptering til at overføre følsomme data. Derfor, hvis et eller andet program er sårbart på link-niveau, så er det også farligt at bruge det gennem alle internetkanaler, og ikke kun gennem offentligt Wi-Fi.
Derfor er offentlig Wi-Fi, inklusive uden kryptering, ikke mere farlig og ikke mindre sikker end nogen anden upålidelig datatransmissionskanal uden kryptering.

Spam beskyttelse

Beskyttelse handler som regel om at filtrere indgående opkald i henhold til en liste specificeret af brugeren eller i henhold til en database over kendte spammere, der uendeligt plager med forsikringer, lån og invitationer til teatret. Selvom de ikke ringer under selvisolering, starter de snart igen. Kun opkald er underlagt filtrering. Beskeder på nuværende Android-enheder filtreres ikke. I betragtning af at spammere regelmæssigt ændrer deres numre og umuligheden af ​​at beskytte tekstkanaler (SMS, instant messengers), er funktionaliteten mere af markedsføringsmæssig snarere end praktisk karakter.

Tyverisikring

Udførelse af fjernhandlinger med en mobilenhed, hvis den mistes eller bliver stjålet. Et alternativ til Find My iPhone og Find My Device-tjenesterne fra henholdsvis Apple og Google. I modsætning til deres analoger kan antivirusproducenternes tjenester ikke blokere en enhed, hvis en angriber har formået at nulstille den til fabriksindstillingerne. Men hvis dette ikke er sket endnu, kan du gøre følgende med enheden eksternt:

  • Blok. Beskyttelse mod en simpel tyv, fordi det nemt kan gøres ved at nulstille enheden til fabriksindstillingerne via gendannelse.
  • Find ud af enhedens koordinater. Nyttigt, når enheden for nylig blev tabt.
  • Slå et højt bip til for at hjælpe dig med at finde din enhed, hvis den er i lydløs tilstand.
  • Nulstil enheden til fabriksindstillingerne. Det giver mening, når brugeren har genkendt enheden som uigenkaldeligt tabt, men ikke ønsker, at de data, der er gemt på den, skal videregives.
  • At lave et foto. Tag et billede af angriberen, hvis han holder telefonen i hænderne. Den mest tvivlsomme funktionalitet er, at sandsynligheden for, at en angriber beundrer telefonen i god belysning, er lav. Men tilstedeværelsen på enheden af ​​en applikation, der stille og roligt kan styre smartphonens kamera, tage billeder og sende dem til dens server, giver anledning til rimelig bekymring.

Fjernkommandoudførelse er grundlæggende i ethvert UEM-system. Det eneste, der mangler fra dem, er fjernfotografering. Dette er en sikker måde at få brugerne til at tage batterierne ud af deres telefoner og lægge dem i en Faraday-taske efter endt arbejdsdag.

Tyverisikringsfunktioner i mobile antivirus er kun tilgængelige for Android. For iOS er det kun UEM, der kan udføre sådanne handlinger. Der kan kun være én UEM på en iOS-enhed - dette er en arkitektonisk funktion ved iOS.

Fund

  1. En situation, hvor en bruger kan installere malware på en telefon, er IKKE ACCEPTABEL.
  2. Korrekt konfigureret UEM på en virksomhedsenhed eliminerer behovet for antivirus.
  3. Hvis 0-dages sårbarheder i operativsystemet udnyttes, er antivirussen ubrugelig. Det kan kun indikere over for administratoren, at enheden er sårbar.
  4. Antivirusprogrammet kan ikke afgøre, om sårbarheden bliver udnyttet. Samt at frigive en opdatering til en enhed, som producenten ikke længere udgiver sikkerhedsopdateringer til. Det er højst et år eller to.
  5. Hvis vi ignorerer kravene fra tilsynsmyndigheder og markedsføring, er det kun nødvendigt med firmamobil-antivirus på Android-enheder, hvor brugerne har adgang til Google Play og installation af programmer fra tredjepartskilder. I andre tilfælde er effektiviteten af ​​at bruge antivirus ikke mere end en placebo.

Mobil antivirus virker ikke

Kilde: www.habr.com

Tilføj en kommentar