Die rasante Entwicklung tragbarer Elektronik und insbesondere von Smartphones und Tablets hat viele neue Herausforderungen für die Informationssicherheit von Unternehmen geschaffen. Während früher die gesamte Cybersicherheit auf der Schaffung eines sicheren Perimeters und dessen anschließendem Schutz beruhte, ist es heute, wo fast jeder Mitarbeiter seine eigenen mobilen Geräte zur Lösung von Arbeitsproblemen verwendet, sehr schwierig geworden, den Sicherheitsperimeter zu kontrollieren. Dies gilt insbesondere für große Unternehmen, in denen jeder Mitarbeiter über einen Login und ein Passwort für E-Mail und andere Unternehmensressourcen verfügt. Beim Kauf eines neuen Smartphones oder Tablets gibt ein Unternehmensmitarbeiter häufig seine Zugangsdaten ein und vergisst oft, sich auf dem alten Gerät abzumelden. Selbst wenn es in einem Unternehmen nur 5 % solcher verantwortungslosen Mitarbeiter gibt, wird die Situation beim Zugriff mobiler Geräte auf den Mailserver ohne entsprechende Kontrolle durch den Administrator sehr schnell zu einem echten Chaos.
Darüber hinaus gehen mobile Geräte häufig verloren oder werden gestohlen und werden anschließend für die Suche nach belastenden Beweisen sowie für den Zugriff auf Unternehmensressourcen und Geschäftsgeheimnisdaten verwendet. Der größte Schaden für die Cybersicherheit von Unternehmen entsteht in der Regel dann, wenn Angreifer Zugriff auf die E-Mails eines Mitarbeiters erlangen. Dadurch erhalten sie Zugriff auf eine globale Liste von Adressen und Kontakten, auf den Zeitplan der Besprechungen, an denen der unglückliche Mitarbeiter teilnehmen sollte, sowie auf seine Korrespondenz. Darüber hinaus haben Angreifer, die Zugriff auf Unternehmens-E-Mails erhalten, die Möglichkeit, Phishing-E-Mails oder mit Schadsoftware infizierte E-Mails von einer vertrauenswürdigen E-Mail-Adresse zu versenden. All dies zusammen bietet Angreifern nahezu unbegrenzte Möglichkeiten, Cyberangriffe durchzuführen und Social Engineering zur Erreichung ihrer Ziele einzusetzen.
Um mobile Geräte innerhalb des Sicherheitsbereichs zu überwachen, gibt es die ABQ-Technologie oder „Zulassen/Blockieren/Quarantäne“. Damit kann der Administrator die Liste der mobilen Geräte steuern, die Daten mit dem Mailserver synchronisieren dürfen, und bei Bedarf gefährdete Geräte blockieren und verdächtige mobile Geräte unter Quarantäne stellen.
Wie jedoch jeder Administrator der kostenlosen Version der Zimbra Collaboration Suite Open-Source Edition weiß, ist die Fähigkeit zur Interaktion mit mobilen Geräten sehr begrenzt. Streng genommen können Benutzer der kostenlosen Version von Zimbra E-Mails nur über das POP3- oder IMAP-Protokoll empfangen und senden, ohne über die integrierte Möglichkeit zu verfügen, Tagebuch-, Adressbuch- und Notizdaten mit dem Server zu synchronisieren. Auch die ABQ-Technologie ist in der kostenlosen Version der Zimbra Collaboration Suite nicht implementiert, was automatisch allen Versuchen, einen geschlossenen Informationsperimeter im Unternehmen zu schaffen, ein Ende setzt. Unter Bedingungen, in denen der Administrator nicht weiß, welche Geräte sich mit seinem Server verbinden, kann es zu Informationslecks im Unternehmen kommen und die Wahrscheinlichkeit eines Cyberangriffs gemäß dem zuvor beschriebenen Szenario steigt stark an.
Die modulare Erweiterung Zextras Mobile hilft bei der Lösung dieses Problems in der Zimbra Collaboration Suite Open-Source Edition. Mit dieser Erweiterung können Sie der kostenlosen Version von Zimbra volle Unterstützung für das ActiveSync-Protokoll hinzufügen und dadurch viele Möglichkeiten für die Interaktion zwischen mobilen Geräten und Ihrem Mailserver eröffnen. Neben verschiedenen anderen Funktionen bietet die Zextras Mobile-Erweiterung volle ABQ-Unterstützung.
Wir möchten Sie sofort warnen: Da ein falsch konfigurierter ABQ dazu führen kann, dass einige Benutzer die Daten auf ihren Mobilgeräten nicht mit dem Server synchronisieren können, müssen Sie die Einrichtung mit größter Sorgfalt und Vorsicht angehen . ABQ wird über die Zextras-Befehlszeile konfiguriert. Über die Befehlszeile wird der ABQ-Betriebsmodus in Zimbra konfiguriert und auch Gerätelisten verwaltet.
Es wird wie folgt implementiert: Nachdem sich der Benutzer auf einem mobilen Gerät bei Corporate Mail angemeldet hat, sendet er Autorisierungsdaten an den Server sowie Identifikationsdaten seines Geräts, das auf ein Hindernis in Form von ABQ stößt, das die Identifikation prüft Daten und vergleicht sie mit denen, die in den Listen der erlaubten, unter Quarantäne gestellten und blockierten Geräte stehen. Wenn sich das Gerät in keiner der Listen befindet, behandelt ABQ es entsprechend dem Modus, in dem es arbeitet.
ABQ in Zimbra bietet drei Betriebsmodi:
Freizügig: In diesem Betriebsmodus wird nach der Benutzerauthentifizierung die Synchronisierung automatisch bei der ersten Anfrage von einem mobilen Gerät durchgeführt. In diesem Betriebsmodus ist es möglich, einzelne Geräte zu sperren, alle anderen können jedoch frei Daten mit dem Server synchronisieren.
Interaktiv: In diesem Betriebsmodus fordert das Sicherheitssystem unmittelbar nach der Authentifizierung des Benutzers die Geräteidentifikationsdaten an und vergleicht diese mit der Liste der zulässigen Geräte. Befindet sich das Gerät auf der Erlaubtliste, wird die Synchronisierung automatisch fortgesetzt. Befindet sich dieses Gerät nicht auf der Whitelist, wird es automatisch unter Quarantäne gestellt, sodass der Administrator später entscheiden kann, ob die Synchronisierung dieses Geräts mit dem Server zugelassen oder blockiert werden soll. In diesem Fall wird dem Nutzer eine entsprechende Benachrichtigung zugesandt. Der Administrator wird regelmäßig, einmal in einem konfigurierbaren Zeitraum, informiert. In diesem Fall enthält jede neue Benachrichtigung nur neue unter Quarantäne gestellte Geräte.
Strikt: In diesem Betriebsmodus wird nach der Benutzerauthentifizierung sofort geprüft, ob die Identifikationsdaten des Geräts in der Erlaubtliste enthalten sind. Wenn es dort aufgeführt ist, wird die Synchronisierung automatisch fortgesetzt. Befindet sich ein Gerät nicht auf der Erlaubt-Liste, gelangt es sofort auf die Sperrliste und der Nutzer erhält eine entsprechende Benachrichtigung per E-Mail.
Auf Wunsch kann der Zimbra-Administrator ABQ auch auf seinem Mailserver vollständig deaktivieren.
Die ABQ-Betriebsart wird mit den Befehlen konfiguriert:
zxsuite config global set attribute abqMode value Permissive
zxsuite config global set attribute abqMode value Interactive
zxsuite config global set attribute abqMode value Strict
zxsuite config global set attribute abqMode value Deaktiviert
Den aktuellen Betriebsmodus von ABQ können Sie mit dem Befehl ermitteln zxsuite config globales Attribut abqMode abrufen.
Wenn Sie interaktive oder strenge ABQ-Betriebsmodi verwenden, müssen Sie häufig mit Listen zugelassener, blockierter und unter Quarantäne gestellter Geräte arbeiten. Nehmen wir an, dass zwei Geräte mit unserem Server verbunden sind: ein iPhone und ein Android mit den entsprechenden Identifikationsdaten. Später stellt sich heraus, dass der Generaldirektor des Unternehmens kürzlich ein iPhone gekauft und beschlossen hat, darauf mit E-Mails zu arbeiten, und Android gehört einem normalen Manager, der aus Sicherheitsgründen nicht das Recht hat, geschäftliche E-Mails auf einem Smartphone zu verwenden.
Im interaktiven Modus werden alle unter Quarantäne gestellt, von wo aus der Administrator das iPhone in die Liste der zugelassenen Geräte und Android in die Liste der gesperrten Geräte verschieben muss. Dazu nutzt er die Befehle zxsuite mobile abq erlaubt iPhone и zxsuite mobile abq block Android. Danach kann der CEO die E-Mails vollständig von seinen Geräten aus bearbeiten, während der Manager sie weiterhin ausschließlich von seinem Arbeitslaptop aus betrachten muss.
Es ist zu beachten, dass der Manager bei Verwendung des interaktiven Modus, selbst wenn er seinen Benutzernamen und sein Passwort korrekt auf seinem Android-Gerät eingibt, immer noch keinen Zugriff auf sein Konto erhält, sondern ein virtuelles Postfach betritt, in dem er eine Benachrichtigung darüber erhält Sein Gerät wurde zur Quarantäne hinzugefügt und er kann keine E-Mails davon verwenden.
Im strikten Modus werden alle neuen Geräte blockiert und nachdem herausgefunden wurde, wem sie gehören, muss der Administrator nur noch das iPhone des CEO mit dem Befehl zur Liste der erlaubten Geräte hinzufügen zxsuite mobile ABQ-Set iPhone erlaubt, und hinterlassen Sie dort die Telefonnummer des Managers.
Der permissive Betriebsmodus ist kaum mit Sicherheitsregeln im Unternehmen vereinbar. Wenn jedoch dennoch die Notwendigkeit besteht, eines der zugelassenen Mobilgeräte zu sperren, beispielsweise wenn ein Manager aufgrund eines Skandals plötzlich aufgibt, kann dies mithilfe von erfolgen der Befehl zxsuite mobile ABQ-Set Android blockiert.
Wenn ein Unternehmen seinen Mitarbeitern Service-Gadgets für die Arbeit mit E-Mails zur Verfügung stellt, kann das Gerät beim nächsten Besitzerwechsel vollständig aus den ABQ-Listen entfernt werden, um später erneut zu entscheiden, ob die Synchronisierung mit dem Server zulässig ist oder nicht. Dies geschieht mit dem Befehl zxsuite mobile ABQ Android löschen.
Wie Sie sehen, können Sie mit Hilfe der Zextras Mobile-Erweiterung in Zimbra ein sehr flexibles System zur Überwachung der verwendeten mobilen Geräte implementieren, das sowohl für Unternehmen mit einer ziemlich strengen Richtlinie hinsichtlich der Nutzung von Unternehmensressourcen außerhalb des Büros geeignet ist , und für diejenigen Unternehmen, die in dieser Hinsicht recht großzügig mit der Nutzung mobiler Geräte umgehen.
Source: habr.com