Den hastige udvikling af bærbar elektronik og især smartphones og tablets har skabt en masse nye udfordringer for virksomhedernes informationssikkerhed. Faktisk, hvis al cybersikkerhed tidligere var baseret på at skabe en sikker perimeter og dens efterfølgende beskyttelse, nu, hvor næsten hver medarbejder bruger deres egne mobile enheder til at løse arbejdsproblemer, er det blevet meget vanskeligt at kontrollere sikkerhedsperimeteren. Dette gælder især for store virksomheder, hvor hver medarbejder har et login og adgangskode til e-mail og andre virksomhedsressourcer. Ofte, når de køber en ny smartphone eller tablet, indtaster en virksomhedsmedarbejder sine legitimationsoplysninger på den og glemmer ofte at logge ud på den gamle enhed. Selvom der kun er 5% af sådanne uansvarlige medarbejdere i en virksomhed, uden ordentlig kontrol fra administratoren, bliver situationen med mobilenhedsadgang til mailserveren meget hurtigt til et rigtigt rod.
Derudover mistes eller stjæles mobile enheder ganske ofte, og de bruges efterfølgende til at søge efter belastende beviser samt adgang til virksomhedens ressourcer og forretningshemmeligheder. Som regel er den største skade for virksomhedens cybersikkerhed, at angribere får adgang til en medarbejders e-mail. Takket være dette kan de få adgang til en global liste over adresser og kontakter, til tidsplanen for møder, hvor den uheldige medarbejder skulle deltage, samt til hans korrespondance. Derudover er angribere, der får adgang til virksomhedens e-mail, i stand til at sende phishing-e-mails eller e-mails inficeret med malware fra en betroet e-mailadresse. Alt dette tilsammen giver angribere næsten ubegrænsede muligheder for at udføre cyberangreb, samt bruge social engineering til at nå deres mål.
For at overvåge mobile enheder inden for sikkerhedsområdet er der ABQ-teknologi eller Tillad/Bloker/Karantæne. Det giver administratoren mulighed for at kontrollere listen over mobile enheder, der har tilladelse til at synkronisere data med mailserveren, og om nødvendigt blokere kompromitterede enheder og sætte mistænkelige mobilenheder i karantæne.
Men som enhver administrator af den gratis version af Zimbra Collaboration Suite Open-Source Edition ved, er dens evne til at interagere med mobile enheder meget begrænset. Strengt taget kan brugere af den gratis version af Zimbra kun modtage og sende e-mails via POP3- eller IMAP-protokollen, uden at have den indbyggede mulighed for at synkronisere dagbog, adressebøger og notedata med serveren. ABQ-teknologi er heller ikke implementeret i den gratis version af Zimbra Collaboration Suite, som automatisk sætter en stopper for alle forsøg på at skabe en lukket informationsperimeter i virksomheden. I forhold, hvor administratoren ikke ved, hvilke enheder der forbinder til hans server, kan der forekomme informationslækager i virksomheden, og sandsynligheden for et cyberangreb i henhold til det tidligere beskrevne scenarie stiger kraftigt.
Zextras Mobile modulære udvidelse vil hjælpe med at løse dette problem i Zimbra Collaboration Suite Open-Source Edition. Denne udvidelse giver dig mulighed for at tilføje fuld understøttelse af ActiveSync-protokollen til den gratis version af Zimbra og åbner takket være dette op for en masse muligheder for interaktion mellem mobile enheder og din mailserver. Blandt forskellige andre funktioner kommer Zextras Mobile-udvidelsen med fuld ABQ-understøttelse.
Lad os straks advare dig om, at da en forkert konfigureret ABQ kan føre til, at nogle brugere ikke vil være i stand til at synkronisere data på deres mobile enheder med serveren, skal du forholde dig til spørgsmålet om opsætning af den med den største omhu og forsigtighed . ABQ konfigureres fra Zextras-kommandolinjen. Det er på kommandolinjen, at ABQ-driftstilstanden i Zimbra er konfigureret, og enhedslister administreres også.
Det implementeres som følger: Efter at brugeren logger ind på firmamail på en mobil enhed, sender han autorisationsdata til serveren samt identifikationsdata for sin enhed, som støder på en forhindring i form af ABQ, som ser på identifikationen data og kontrollerer dem med dem, der er på listerne over tilladte, karantæne og blokerede enheder. Hvis enheden ikke er på nogen af listerne, håndterer ABQ den i overensstemmelse med den tilstand, den fungerer i.
ABQ i Zimbra giver tre driftsformer:
Tilladende: I denne driftstilstand, efter brugergodkendelse, udføres synkronisering automatisk ved den første anmodning fra en mobilenhed. I denne driftstilstand er det muligt at blokere individuelle enheder, men alle andre vil frit kunne synkronisere data med serveren.
Interaktiv: I denne driftstilstand, umiddelbart efter at brugeren er blevet godkendt, anmoder sikkerhedssystemet om enhedsidentifikationsdata og sammenligner dem med listen over tilladte enheder. Hvis enheden er på den tilladte liste, fortsætter synkroniseringen automatisk. Hvis denne enhed ikke er på hvidlisten, sættes den automatisk i karantæne, så administratoren senere kan beslutte, om denne enhed skal tillade at synkronisere med serveren eller blokere den. I dette tilfælde vil en tilsvarende meddelelse blive sendt til brugeren. Administratoren informeres regelmæssigt, én gang i en konfigurerbar periode. I dette tilfælde vil hver ny notifikation kun indeholde nye enheder i karantæne.
Streng: I denne driftstilstand, efter brugergodkendelse, foretages der straks en kontrol for at se, om enhedens identifikationsdata er på den tilladte liste. Hvis det er angivet der, fortsætter synkroniseringen automatisk. Hvis en enhed ikke er på den tilladte liste, går den straks til den blokerede liste, og brugeren modtager en tilsvarende meddelelse via mail.
Om ønsket kan Zimbra-administratoren også deaktivere ABQ fuldstændigt på sin mailserver.
ABQ-driftstilstanden konfigureres ved hjælp af kommandoerne:
zxsuite config global set attribut abqMode værdi Permissive
zxsuite config global set attribut abqMode værdi Interactive
zxsuite config global set attribut abqMode værdi Strict
zxsuite config global set attribut abqMode værdi Deaktiveret
Du kan finde ud af den aktuelle driftstilstand for ABQ ved hjælp af kommandoen zxsuite config global get attribut abqMode.
Hvis du bruger interaktive eller strenge ABQ-driftstilstande, skal du ofte arbejde med lister over tilladte, blokerede og i karantæne enheder. Lad os antage, at to enheder er forbundet til vores server: en iPhone og en Android med de tilsvarende identifikationsdata. Senere viser det sig, at virksomhedens generaldirektør for nylig købte en iPhone og besluttede at arbejde med post på den, og Android tilhører en almindelig leder, der af sikkerhedsmæssige årsager ikke har ret til at bruge arbejdsmail på en smartphone.
I tilfælde af interaktiv tilstand vil de alle blive sat i karantæne, hvorfra administratoren skal flytte iPhone til listen over tilladte enheder og Android til listen over blokerede. For at gøre dette bruger han kommandoerne zxsuite mobil abq tillade iPhone и zxsuite mobil abq blok Android. Herefter vil den administrerende direktør fuldt ud kunne arbejde med post fra sine enheder, mens lederen stadig skal se den udelukkende fra sin arbejdslaptop.
Det er værd at bemærke, at når man bruger den interaktive tilstand, selv hvis lederen indtaster sit brugernavn og sin adgangskode korrekt på sin Android-enhed, vil han stadig ikke få adgang til sin konto, men vil gå ind i en virtuel postkasse, hvor han vil modtage en meddelelse om, at hans enhed er blevet føjet til karantæne, og han vil ikke kunne bruge mail fra den.
I tilfælde af streng tilstand vil alle nye enheder blive blokeret, og efter at det er fundet ud af, hvem de tilhørte, skal administratoren kun tilføje CEO's iPhone til listen over tilladte enheder ved hjælp af kommandoen zxsuite mobil ABQ sæt iPhone Tilladt, efterlader lederens telefonnummer der.
Den tilladelige driftsform er dårligt kompatibel med alle sikkerhedsregler på virksomheden, men hvis der stadig er behov for at blokere nogen af de tilladte mobile enheder, for eksempel hvis en leder pludselig stopper med en skandale, kan dette gøres ved at bruge kommandoen zxsuite mobil ABQ sæt Android Blokeret.
Hvis en virksomhed forsyner medarbejdere med servicegadgets til at arbejde med mail, kan enheden, næste gang dens ejer skifter, fjernes fuldstændigt fra ABQ-listerne for senere at beslutte igen, om den skal tillade at synkronisere med serveren eller ej. Dette gøres ved hjælp af kommandoen zxsuite mobile ABQ slet Android.
Som du kan se, kan du ved hjælp af Zextras Mobile-udvidelsen i Zimbra implementere et meget fleksibelt system til overvågning af de anvendte mobile enheder, velegnet til begge virksomheder med en ret streng politik vedrørende brugen af virksomhedens ressourcer uden for kontoret , og for de virksomheder, der er ret liberale i deres brug af mobile enheder.
Kilde: www.habr.com