ProHoster > Blog > διαχείριση > Τα κινητά antivirus δεν λειτουργούν

Τα κινητά antivirus δεν λειτουργούν

Τα κινητά antivirus δεν λειτουργούν
TL? DR εάν οι εταιρικές κινητές συσκευές σας απαιτούν ένα πρόγραμμα προστασίας από ιούς, τότε τα κάνετε όλα λάθος και το πρόγραμμα προστασίας από ιούς δεν θα σας βοηθήσει.

Αυτή η ανάρτηση είναι το αποτέλεσμα μιας έντονης συζήτησης σχετικά με το εάν χρειάζεται ένα antivirus σε ένα εταιρικό κινητό τηλέφωνο, σε ποιες περιπτώσεις λειτουργεί και σε ποιες περιπτώσεις είναι άχρηστο. Το άρθρο εξετάζει τα μοντέλα απειλών από τα οποία, θεωρητικά, ένα πρόγραμμα προστασίας από ιούς θα πρέπει να προστατεύει.

Οι προμηθευτές προστασίας από ιούς συχνά καταφέρνουν να πείσουν τους εταιρικούς πελάτες ότι ένα πρόγραμμα προστασίας από ιούς θα βελτιώσει σημαντικά την ασφάλειά τους, αλλά στις περισσότερες περιπτώσεις πρόκειται για απατηλή προστασία, η οποία μειώνει μόνο την επαγρύπνηση τόσο των χρηστών όσο και των διαχειριστών.

Η σωστή εταιρική υποδομή

Όταν μια εταιρεία έχει δεκάδες ή και χιλιάδες υπαλλήλους, είναι αδύνατο να ρυθμίσετε με μη αυτόματο τρόπο τις παραμέτρους κάθε συσκευής χρήστη. Οι ρυθμίσεις μπορούν να αλλάζουν κάθε μέρα, νέοι υπάλληλοι έρχονται, τα κινητά τηλέφωνα και οι φορητοί υπολογιστές τους σπάνε ή χάνονται. Ως αποτέλεσμα, όλη η εργασία των διαχειριστών θα συνίστατο στην καθημερινή ανάπτυξη νέων ρυθμίσεων στις συσκευές των εργαζομένων.

Αυτό το πρόβλημα άρχισε να λύνεται σε επιτραπέζιους υπολογιστές εδώ και πολύ καιρό. Στον κόσμο των Windows, μια τέτοια διαχείριση γίνεται συνήθως με χρήση της υπηρεσίας καταλόγου Active Directory, κεντρικών συστημάτων ελέγχου ταυτότητας (Single Sign In) κ.λπ. Τώρα όμως όλοι οι εργαζόμενοι έχουν προστεθεί smartphone στους υπολογιστές τους, στους οποίους λαμβάνει χώρα σημαντικό μέρος των εργασιακών διαδικασιών και αποθηκεύονται σημαντικά δεδομένα. Η Microsoft προσπάθησε να ενσωματώσει τα Windows Phone της σε ένα ενιαίο οικοσύστημα με τα Windows, αλλά αυτή η ιδέα πέθανε με τον επίσημο θάνατο του Windows Phone. Επομένως, σε ένα εταιρικό περιβάλλον, σε κάθε περίπτωση, πρέπει να επιλέξετε μεταξύ Android και iOS.

Τώρα σε ένα εταιρικό περιβάλλον, η έννοια του UEM (Unified endpoint management) είναι στη μόδα για τη διαχείριση συσκευών εργαζομένων. Αυτό είναι ένα κεντρικό σύστημα διαχείρισης για φορητές συσκευές και επιτραπέζιους υπολογιστές.
Τα κινητά antivirus δεν λειτουργούν
Κεντρική διαχείριση συσκευών χρήστη (Ενοποιημένη διαχείριση τελικού σημείου)

Ο διαχειριστής συστήματος UEM μπορεί να ορίσει διαφορετικές πολιτικές για συσκευές χρήστη. Για παράδειγμα, επιτρέποντας στον χρήστη περισσότερο ή λιγότερο έλεγχο της συσκευής, εγκατάσταση εφαρμογών από πηγές τρίτων κ.λπ.

Τι μπορεί να κάνει η UEM:

Διαχειριστείτε όλες τις ρυθμίσεις — ο διαχειριστής μπορεί να απαγορεύσει εντελώς στον χρήστη να αλλάξει τις ρυθμίσεις στη συσκευή και να τις αλλάξει εξ αποστάσεως.

Λογισμικό ελέγχου στη συσκευή — επιτρέψτε τη δυνατότητα εγκατάστασης προγραμμάτων στη συσκευή και αυτόματης εγκατάστασης προγραμμάτων χωρίς τη γνώση του χρήστη. Ο διαχειριστής μπορεί επίσης να αποκλείσει ή να επιτρέψει την εγκατάσταση προγραμμάτων από το κατάστημα εφαρμογών ή από μη αξιόπιστες πηγές (από αρχεία APK στην περίπτωση του Android).

Απομακρυσμένος αποκλεισμός — εάν χαθεί το τηλέφωνο, ο διαχειριστής μπορεί να αποκλείσει τη συσκευή ή να διαγράψει τα δεδομένα. Ορισμένα συστήματα σάς επιτρέπουν επίσης να ρυθμίσετε την αυτόματη διαγραφή δεδομένων εάν το τηλέφωνο δεν έχει επικοινωνήσει με τον διακομιστή για περισσότερες από N ώρες, για να εξαλείψει την πιθανότητα προσπαθειών hacking εκτός σύνδεσης όταν οι εισβολείς κατάφεραν να αφαιρέσουν την κάρτα SIM πριν σταλεί η εντολή εκκαθάρισης δεδομένων από τον διακομιστή .

Συλλέξτε στατιστικά στοιχεία — παρακολουθήστε τη δραστηριότητα των χρηστών, τον χρόνο χρήσης της εφαρμογής, την τοποθεσία, το επίπεδο μπαταρίας κ.λπ.

Τι είναι τα UEM;

Υπάρχουν δύο θεμελιωδώς διαφορετικές προσεγγίσεις για την κεντρική διαχείριση των smartphone των εργαζομένων: σε μία περίπτωση, η εταιρεία αγοράζει συσκευές από έναν κατασκευαστή για υπαλλήλους και συνήθως επιλέγει ένα σύστημα διαχείρισης από τον ίδιο προμηθευτή. Σε άλλη περίπτωση, οι εργαζόμενοι χρησιμοποιούν τις προσωπικές τους συσκευές για τη δουλειά τους και εδώ ξεκινά ο ζωολογικός κήπος των λειτουργικών συστημάτων, των εκδόσεων και των πλατφορμών.

BYOD (Φέρτε τη δική σας συσκευή) είναι μια έννοια στην οποία οι εργαζόμενοι χρησιμοποιούν τις προσωπικές συσκευές και τους λογαριασμούς τους για να εργαστούν. Ορισμένα συστήματα κεντρικής διαχείρισης σάς επιτρέπουν να προσθέσετε έναν δεύτερο λογαριασμό εργασίας και να διαχωρίσετε πλήρως τα δεδομένα σας σε προσωπικά και εργασιακά.

Τα κινητά antivirus δεν λειτουργούν

Διευθυντής επιχείρησης Apple - Το εγγενές κεντρικό σύστημα διαχείρισης της Apple. Μπορεί να διαχειριστεί μόνο συσκευές Apple, υπολογιστές με τηλέφωνα macOS και iOS. Υποστηρίζει BYOD, δημιουργώντας ένα δεύτερο απομονωμένο περιβάλλον με διαφορετικό λογαριασμό iCloud.

Τα κινητά antivirus δεν λειτουργούν

Google Cloud Endpoint Management — σας επιτρέπει να διαχειρίζεστε τηλέφωνα σε Android και Apple iOS, καθώς και επιτραπέζιους υπολογιστές στα Windows 10. Ανακοινώνεται η υποστήριξη BYOD.

Τα κινητά antivirus δεν λειτουργούν
Samsung Knox UEM - Υποστηρίζει μόνο κινητές συσκευές Samsung. Σε αυτή την περίπτωση, μπορείτε να χρησιμοποιήσετε αμέσως μόνο Samsung Mobile Management.

Στην πραγματικότητα, υπάρχουν πολλοί περισσότεροι πάροχοι UEM, αλλά δεν θα τους αναλύσουμε όλους σε αυτό το άρθρο. Το κύριο πράγμα που πρέπει να έχετε κατά νου είναι ότι τέτοια συστήματα υπάρχουν ήδη και επιτρέπουν στον διαχειριστή να διαμορφώσει τις συσκευές χρήστη επαρκώς στο υπάρχον μοντέλο απειλής.

Μοντέλο απειλής

Πριν επιλέξουμε εργαλεία προστασίας, πρέπει να καταλάβουμε από τι προστατεύουμε τον εαυτό μας, τι χειρότερο μπορεί να συμβεί στη συγκεκριμένη περίπτωσή μας. Σχετικά μιλώντας: το σώμα μας είναι εύκολα ευάλωτο σε μια σφαίρα, ακόμη και σε ένα πιρούνι και ένα καρφί, αλλά δεν φοράμε αλεξίσφαιρο γιλέκο όταν βγαίνουμε από το σπίτι. Επομένως, το μοντέλο απειλής μας δεν περιλαμβάνει τον κίνδυνο πυροβολισμού στο δρόμο για τη δουλειά, αν και στατιστικά αυτό δεν είναι τόσο απίθανο. Επιπλέον, υπό ορισμένες συνθήκες, η χρήση αλεξίσφαιρου γιλέκου είναι απολύτως δικαιολογημένη.

Τα μοντέλα απειλών διαφέρουν από εταιρεία σε εταιρεία. Ας πάρουμε, για παράδειγμα, το smartphone ενός courier που είναι καθ' οδόν για να παραδώσει ένα πακέτο σε έναν πελάτη. Το smartphone του περιέχει μόνο τη διεύθυνση της τρέχουσας παράδοσης και τη διαδρομή στον χάρτη. Το χειρότερο πράγμα που μπορεί να συμβεί στα δεδομένα του είναι μια διαρροή διευθύνσεων παράδοσης δεμάτων.

Και εδώ είναι το smartphone του λογιστή. Έχει πρόσβαση στο εταιρικό δίκτυο μέσω VPN, έχει εγκαταστήσει μια εφαρμογή εταιρικού πελάτη-τράπεζας και αποθηκεύει έγγραφα με πολύτιμες πληροφορίες. Προφανώς, η αξία των δεδομένων σε αυτές τις δύο συσκευές διαφέρει σημαντικά και θα πρέπει να προστατεύονται διαφορετικά.

Θα μας σώσει το antivirus;

Δυστυχώς, πίσω από τα σλόγκαν μάρκετινγκ χάνεται το πραγματικό νόημα των εργασιών που εκτελεί ένα πρόγραμμα προστασίας από ιούς σε μια φορητή συσκευή. Ας προσπαθήσουμε να καταλάβουμε λεπτομερώς τι κάνει το antivirus στο τηλέφωνο.

Έλεγχος ασφαλείας

Τα περισσότερα σύγχρονα προγράμματα προστασίας από ιούς για κινητά ελέγχουν τις ρυθμίσεις ασφαλείας στη συσκευή. Αυτός ο έλεγχος ονομάζεται μερικές φορές «έλεγχος φήμης συσκευής». Τα προγράμματα προστασίας από ιούς θεωρούν μια συσκευή ασφαλή εάν πληρούνται τέσσερις προϋποθέσεις:

  • Η συσκευή δεν έχει χακαριστεί (root, jailbreak).
  • Η συσκευή έχει διαμορφωμένο κωδικό πρόσβασης.
  • Ο εντοπισμός σφαλμάτων USB δεν είναι ενεργοποιημένος στη συσκευή.
  • Δεν επιτρέπεται η εγκατάσταση εφαρμογών από μη αξιόπιστες πηγές (sideloading) στη συσκευή.

Εάν, ως αποτέλεσμα της σάρωσης, διαπιστωθεί ότι η συσκευή δεν είναι ασφαλής, το πρόγραμμα προστασίας από ιούς θα ειδοποιήσει τον κάτοχο και θα προσφέρει να απενεργοποιήσει την «επικίνδυνη» λειτουργία ή να επιστρέψει το εργοστασιακό υλικολογισμικό εάν υπάρχουν ενδείξεις root ή jailbreak.

Σύμφωνα με την εταιρική συνήθεια, δεν αρκεί απλώς η ειδοποίηση του χρήστη. Οι μη ασφαλείς διαμορφώσεις πρέπει να εξαλειφθούν. Για να το κάνετε αυτό, πρέπει να διαμορφώσετε τις πολιτικές ασφαλείας σε κινητές συσκευές χρησιμοποιώντας το σύστημα UEM. Και αν εντοπιστεί root / jailbreak, πρέπει να αφαιρέσετε γρήγορα εταιρικά δεδομένα από τη συσκευή και να αποκλείσετε την πρόσβασή της στο εταιρικό δίκτυο. Και αυτό είναι επίσης δυνατό με το UEM. Και μόνο μετά από αυτές τις διαδικασίες μπορεί η κινητή συσκευή να θεωρηθεί ασφαλής.

Αναζήτηση και αφαίρεση ιών

Σε αντίθεση με τη δημοφιλή πεποίθηση ότι δεν υπάρχουν ιοί για iOS, αυτό δεν είναι αλήθεια. Υπάρχουν ακόμα κοινά exploits στη φύση για παλαιότερες εκδόσεις του iOS που μολύνουν συσκευές μέσω της εκμετάλλευσης τρωτών σημείων του προγράμματος περιήγησης. Ταυτόχρονα, λόγω της αρχιτεκτονικής του iOS, η ανάπτυξη antivirus για αυτή την πλατφόρμα είναι αδύνατη. Ο κύριος λόγος είναι ότι οι εφαρμογές δεν μπορούν να έχουν πρόσβαση στη λίστα των εγκατεστημένων εφαρμογών και έχουν πολλούς περιορισμούς κατά την πρόσβαση σε αρχεία. Μόνο το UEM μπορεί να λάβει τη λίστα με τις εγκατεστημένες εφαρμογές iOS, αλλά ακόμη και το UEM δεν μπορεί να έχει πρόσβαση στα αρχεία.

Με το Android η κατάσταση είναι διαφορετική. Οι εφαρμογές μπορούν να λάβουν πληροφορίες σχετικά με τις εφαρμογές που είναι εγκατεστημένες στη συσκευή. Μπορούν ακόμη και να έχουν πρόσβαση στις διανομές τους (για παράδειγμα, το Apk Extractor και τα ανάλογά του). Οι εφαρμογές Android έχουν επίσης τη δυνατότητα πρόσβασης σε αρχεία (για παράδειγμα, Total Commander κ.λπ.). Οι εφαρμογές Android μπορούν να απομεταγλωττιστούν.

Με τέτοιες δυνατότητες, ο ακόλουθος αλγόριθμος προστασίας από ιούς φαίνεται λογικός:

  • Επαλήθευση εφαρμογής
  • Λάβετε μια λίστα με εγκατεστημένες εφαρμογές και αθροίσματα ελέγχου (CS) των διανομών τους.
  • Ελέγξτε τις εφαρμογές και το CS τους πρώτα στην τοπική και μετά στην καθολική βάση δεδομένων.
  • Εάν η εφαρμογή είναι άγνωστη, μεταφέρετε τη διανομή της στην παγκόσμια βάση δεδομένων για ανάλυση και αποσυμπίληση.

  • Έλεγχος αρχείων, αναζήτηση υπογραφών ιών
  • Ελέγξτε τα αρχεία CS στην τοπική και μετά στην καθολική βάση δεδομένων.
  • Ελέγξτε τα αρχεία για μη ασφαλές περιεχόμενο (σενάρια, εκμεταλλεύσεις κ.λπ.) χρησιμοποιώντας μια τοπική και μετά μια καθολική βάση δεδομένων.
  • Εάν εντοπιστεί κακόβουλο λογισμικό, ειδοποιήστε τον χρήστη ή/και αποκλείστε την πρόσβαση του χρήστη στο κακόβουλο λογισμικό ή/και προωθήστε τις πληροφορίες στο UEM. Είναι απαραίτητο να μεταφέρετε πληροφορίες στο UEM επειδή το antivirus δεν μπορεί να αφαιρέσει ανεξάρτητα κακόβουλο λογισμικό από τη συσκευή.

Η μεγαλύτερη ανησυχία είναι η δυνατότητα μεταφοράς διανομών λογισμικού από τη συσκευή σε εξωτερικό διακομιστή. Χωρίς αυτό, είναι αδύνατο να εφαρμοστεί η «ανάλυση συμπεριφοράς» που ισχυρίζονται οι κατασκευαστές προστασίας από ιούς, επειδή Στη συσκευή, δεν μπορείτε να εκτελέσετε την εφαρμογή σε ξεχωριστό "sandbox" ή να την απομεταγλωττίσετε (το πόσο αποτελεσματική είναι όταν χρησιμοποιείτε τη συσκότιση είναι μια ξεχωριστή περίπλοκη ερώτηση). Από την άλλη πλευρά, οι εταιρικές εφαρμογές ενδέχεται να εγκατασταθούν σε κινητές συσκευές εργαζομένων που είναι άγνωστες στο πρόγραμμα προστασίας από ιούς επειδή δεν βρίσκονται στο Google Play. Αυτές οι εφαρμογές για κινητά ενδέχεται να περιέχουν ευαίσθητα δεδομένα που μπορεί να κάνουν αυτές τις εφαρμογές να μην αναφέρονται στο δημόσιο κατάστημα. Η μεταφορά τέτοιων διανομών στον κατασκευαστή προστασίας από ιούς φαίνεται λανθασμένη από άποψη ασφάλειας. Είναι λογικό να τα προσθέσουμε σε εξαιρέσεις, αλλά δεν γνωρίζω ακόμη για την ύπαρξη τέτοιου μηχανισμού.

Το κακόβουλο λογισμικό χωρίς δικαιώματα root μπορεί

1. Σχεδιάστε το δικό σας αόρατο παράθυρο πάνω από την εφαρμογή ή εφαρμόστε το δικό σας πληκτρολόγιο για να αντιγράψετε δεδομένα που έχουν εισαχθεί από τον χρήστη - παραμέτρους λογαριασμού, τραπεζικές κάρτες κ.λπ. Ένα πρόσφατο παράδειγμα είναι η ευπάθεια. CVE-2020-0096, με τη βοήθεια του οποίου είναι δυνατή η αντικατάσταση της ενεργής οθόνης μιας εφαρμογής και έτσι η πρόσβαση στα δεδομένα που έχουν εισαχθεί από τον χρήστη. Για τον χρήστη, αυτό σημαίνει τη δυνατότητα κλοπής ενός λογαριασμού Google με πρόσβαση σε εφεδρικό αντίγραφο συσκευής και δεδομένα τραπεζικής κάρτας. Για τον οργανισμό, με τη σειρά του, είναι σημαντικό να μην χάσει τα δεδομένα του. Εάν τα δεδομένα βρίσκονται στην ιδιωτική μνήμη της εφαρμογής και δεν περιέχονται σε ένα αντίγραφο ασφαλείας της Google, τότε το κακόβουλο λογισμικό δεν θα έχει πρόσβαση σε αυτά.

2. Πρόσβαση σε δεδομένα σε δημόσιους καταλόγους – λήψεις, έγγραφα, συλλογή. Δεν συνιστάται η αποθήκευση πληροφοριών εταιρικής αξίας σε αυτούς τους καταλόγους, επειδή είναι προσβάσιμοι από οποιαδήποτε εφαρμογή. Και ο ίδιος ο χρήστης θα μπορεί πάντα να μοιράζεται ένα εμπιστευτικό έγγραφο χρησιμοποιώντας οποιαδήποτε διαθέσιμη εφαρμογή.

3. Ενοχλήστε τον χρήστη με διαφημίσεις, εξόρυξη bitcoins, συμμετοχή σε botnet κ.λπ.. Αυτό μπορεί να έχει αρνητικό αντίκτυπο στην απόδοση του χρήστη ή/και της συσκευής, αλλά δεν θα αποτελέσει απειλή για τα εταιρικά δεδομένα.

Το κακόβουλο λογισμικό με δικαιώματα root μπορεί να κάνει τα πάντα. Είναι σπάνιες, επειδή η παραβίαση σύγχρονων συσκευών Android με χρήση μιας εφαρμογής είναι σχεδόν αδύνατη. Η τελευταία φορά που ανακαλύφθηκε μια τέτοια ευπάθεια ήταν το 2016. Αυτή είναι η συγκλονιστική Dirty COW, στην οποία δόθηκε ο αριθμός CVE-2016-5195. Το κλειδί εδώ είναι ότι εάν εντοπίσει σημάδια συμβιβασμού UEM, ο πελάτης θα διαγράψει όλες τις εταιρικές πληροφορίες από τη συσκευή, επομένως η πιθανότητα επιτυχούς κλοπής δεδομένων με χρήση τέτοιου κακόβουλου λογισμικού στον εταιρικό κόσμο είναι χαμηλή.

Τα κακόβουλα αρχεία μπορούν να βλάψουν τόσο την κινητή συσκευή όσο και τα εταιρικά συστήματα στα οποία έχει πρόσβαση. Ας δούμε αυτά τα σενάρια με περισσότερες λεπτομέρειες.

Μπορεί να προκληθεί ζημιά σε μια κινητή συσκευή, για παράδειγμα, εάν κάνετε λήψη μιας εικόνας σε αυτήν, η οποία, όταν ανοίγει ή όταν προσπαθείτε να εγκαταστήσετε ταπετσαρία, μετατρέπει τη συσκευή σε "τούβλο" ή την επανεκκινεί. Αυτό πιθανότατα θα βλάψει τη συσκευή ή τον χρήστη, αλλά δεν θα επηρεάσει το απόρρητο των δεδομένων. Αν και υπάρχουν εξαιρέσεις.

Η ευπάθεια συζητήθηκε πρόσφατα CVE-2020-8899. Υποστηρίχθηκε ότι θα μπορούσε να χρησιμοποιηθεί για την απόκτηση πρόσβασης στην κονσόλα των κινητών συσκευών Samsung χρησιμοποιώντας μια μολυσμένη εικόνα που αποστέλλεται μέσω email, instant messenger ή MMS. Παρόλο που η πρόσβαση στην κονσόλα σημαίνει τη δυνατότητα πρόσβασης σε δεδομένα μόνο σε δημόσιους καταλόγους όπου δεν θα έπρεπε να υπάρχουν ευαίσθητες πληροφορίες, το απόρρητο των προσωπικών δεδομένων των χρηστών τίθεται σε κίνδυνο και αυτό έχει τρομάξει τους χρήστες. Αν και στην πραγματικότητα, είναι δυνατή μόνο η επίθεση σε συσκευές χρησιμοποιώντας MMS. Και για μια επιτυχημένη επίθεση πρέπει να στείλετε από 75 έως 450 (!) μηνύματα. Το antivirus, δυστυχώς, δεν θα βοηθήσει εδώ, επειδή δεν έχει πρόσβαση στο αρχείο καταγραφής μηνυμάτων. Για να προστατευτείτε από αυτό, υπάρχουν μόνο δύο επιλογές. Ενημερώστε το λειτουργικό σύστημα ή αποκλείστε τα MMS. Μπορείτε να περιμένετε πολύ για την πρώτη επιλογή και να μην περιμένετε, γιατί... Οι κατασκευαστές συσκευών δεν κυκλοφορούν ενημερώσεις για όλες τις συσκευές. Η απενεργοποίηση της λήψης MMS σε αυτήν την περίπτωση είναι πολύ πιο εύκολη.

Τα αρχεία που μεταφέρονται από κινητές συσκευές μπορούν να προκαλέσουν βλάβη στα εταιρικά συστήματα. Για παράδειγμα, υπάρχει ένα μολυσμένο αρχείο σε μια κινητή συσκευή που δεν μπορεί να βλάψει τη συσκευή, αλλά μπορεί να μολύνει έναν υπολογιστή με Windows. Ο χρήστης στέλνει ένα τέτοιο αρχείο με email στον συνάδελφό του. Το ανοίγει στον υπολογιστή και, ως εκ τούτου, μπορεί να το μολύνει. Αλλά τουλάχιστον δύο προγράμματα προστασίας από ιούς στέκονται εμπόδιο σε αυτόν τον φορέα επίθεσης - το ένα στον διακομιστή email και το άλλο στον υπολογιστή του παραλήπτη. Η προσθήκη ενός τρίτου antivirus σε αυτήν την αλυσίδα σε μια φορητή συσκευή φαίνεται εντελώς παρανοϊκή.

Όπως μπορείτε να δείτε, η μεγαλύτερη απειλή στον εταιρικό ψηφιακό κόσμο είναι το κακόβουλο λογισμικό χωρίς δικαιώματα root. Από πού μπορούν να προέρχονται από μια κινητή συσκευή;

Τις περισσότερες φορές εγκαθίστανται χρησιμοποιώντας sideloading, adb ή καταστήματα τρίτων, τα οποία θα πρέπει να απαγορεύονται σε κινητές συσκευές με πρόσβαση στο εταιρικό δίκτυο. Απομένουν δύο επιλογές για κακόβουλο λογισμικό: από το Google Play ή από το UEM.

Πριν από τη δημοσίευση στο Google Play, όλες οι εφαρμογές υποβάλλονται σε υποχρεωτική επαλήθευση. Αλλά για εφαρμογές με μικρό αριθμό εγκαταστάσεων, οι έλεγχοι πραγματοποιούνται τις περισσότερες φορές χωρίς ανθρώπινη παρέμβαση, μόνο σε αυτόματη λειτουργία. Επομένως, μερικές φορές κακόβουλο λογισμικό εισέρχεται στο Google Play, αλλά όχι συχνά. Ένα πρόγραμμα προστασίας από ιούς του οποίου οι βάσεις δεδομένων ενημερώνονται έγκαιρα θα μπορεί να ανιχνεύει εφαρμογές με κακόβουλο λογισμικό στη συσκευή πριν από το Google Play Protect, το οποίο εξακολουθεί να υστερεί στην ταχύτητα ενημέρωσης βάσεων δεδομένων προστασίας από ιούς.

Η UEM μπορεί να εγκαταστήσει οποιαδήποτε εφαρμογή σε φορητή συσκευή, συμ. κακόβουλο λογισμικό, επομένως οποιαδήποτε εφαρμογή πρέπει να σαρωθεί πρώτα. Οι εφαρμογές μπορούν να ελεγχθούν τόσο κατά την ανάπτυξή τους χρησιμοποιώντας εργαλεία στατικής και δυναμικής ανάλυσης, όσο και αμέσως πριν από τη διανομή τους χρησιμοποιώντας εξειδικευμένα sandboxes ή/και λύσεις προστασίας από ιούς. Είναι σημαντικό η εφαρμογή να επαληθευτεί μία φορά πριν μεταφορτωθεί στο UEM. Επομένως, σε αυτήν την περίπτωση, δεν απαιτείται προστασία από ιούς σε φορητή συσκευή.

Προστασία δικτύου

Ανάλογα με τον κατασκευαστή προστασίας από ιούς, η προστασία του δικτύου σας μπορεί να προσφέρει μία ή περισσότερες από τις ακόλουθες δυνατότητες.

Το φιλτράρισμα URL χρησιμοποιείται για:

  • Αποκλεισμός κυκλοφορίας ανά κατηγορίες πόρων. Για παράδειγμα, να απαγορεύεται η παρακολούθηση ειδήσεων ή άλλου μη εταιρικού περιεχομένου πριν από το μεσημεριανό γεύμα, όταν ο εργαζόμενος είναι πιο αποτελεσματικός. Στην πράξη, ο αποκλεισμός λειτουργεί συνήθως με πολλούς περιορισμούς - οι κατασκευαστές προστασίας από ιούς δεν καταφέρνουν πάντα να ενημερώνουν τους καταλόγους των κατηγοριών πόρων εγκαίρως, λαμβάνοντας υπόψη την παρουσία πολλών "καθρεφτών". Επιπλέον, υπάρχουν ανωνυμοποιητές και Opera VPN, τα οποία τις περισσότερες φορές δεν είναι αποκλεισμένα.
  • Προστασία από phishing ή πλαστογράφηση κεντρικών υπολογιστών-στόχων. Για να γίνει αυτό, οι διευθύνσεις URL στις οποίες έχει πρόσβαση η συσκευή ελέγχονται πρώτα στη βάση δεδομένων προστασίας από ιούς. Οι σύνδεσμοι, καθώς και οι πόροι στους οποίους οδηγούν (συμπεριλαμβανομένων πιθανών πολλαπλών ανακατευθύνσεων), ελέγχονται με βάση μια βάση δεδομένων γνωστών τοποθεσιών ηλεκτρονικού ψαρέματος (phishing). Το όνομα τομέα, το πιστοποιητικό και η διεύθυνση IP επαληθεύονται επίσης μεταξύ της κινητής συσκευής και του αξιόπιστου διακομιστή. Εάν ο πελάτης και ο διακομιστής λαμβάνουν διαφορετικά δεδομένα, τότε πρόκειται είτε για MITM ("άνθρωπος στη μέση"), είτε για αποκλεισμό της κυκλοφορίας χρησιμοποιώντας το ίδιο πρόγραμμα προστασίας από ιούς ή διάφορα είδη διακομιστή μεσολάβησης και φίλτρα Ιστού στο δίκτυο στο οποίο είναι συνδεδεμένη η κινητή συσκευή. Είναι δύσκολο να πούμε με σιγουριά ότι υπάρχει κάποιος στη μέση.

Για να αποκτήσει πρόσβαση στην κίνηση από κινητά, το πρόγραμμα προστασίας από ιούς είτε δημιουργεί ένα VPN είτε χρησιμοποιεί τις δυνατότητες του Accessibility API (API για εφαρμογές που προορίζονται για άτομα με ειδικές ανάγκες). Η ταυτόχρονη λειτουργία πολλών VPN σε μια φορητή συσκευή είναι αδύνατη, επομένως η προστασία δικτύου από antivirus που δημιουργούν το δικό τους VPN δεν είναι εφαρμόσιμη στον εταιρικό κόσμο. Ένα VPN από ένα πρόγραμμα προστασίας από ιούς απλά δεν θα λειτουργήσει μαζί με ένα εταιρικό VPN, το οποίο χρησιμοποιείται για πρόσβαση στο εταιρικό δίκτυο.

Η παροχή πρόσβασης σε ένα πρόγραμμα προστασίας από ιούς στο Accessibility API εγκυμονεί έναν άλλο κίνδυνο. Η πρόσβαση στο Accessibility API ουσιαστικά σημαίνει άδεια να κάνει οτιδήποτε για τον χρήστη - δείτε τι βλέπει ο χρήστης, εκτελέστε ενέργειες με εφαρμογές αντί για τον χρήστη κ.λπ. Λαμβάνοντας υπόψη ότι ο χρήστης πρέπει να παραχωρήσει ρητά στο antivirus τέτοια πρόσβαση, πιθανότατα θα αρνηθεί να το κάνει. Ή, αν αναγκαστεί, θα αγοράσει μόνος του άλλο τηλέφωνο χωρίς antivirus.

Τείχος προστασίας

Κάτω από αυτό το γενικό όνομα υπάρχουν τρεις λειτουργίες:

  • Συλλογή στατιστικών στοιχείων σχετικά με τη χρήση του δικτύου, χωρισμένη ανά εφαρμογή και τύπο δικτύου (Wi-Fi, φορέας εκμετάλλευσης κινητής τηλεφωνίας). Οι περισσότεροι κατασκευαστές συσκευών Android παρέχουν αυτές τις πληροφορίες στην εφαρμογή Ρυθμίσεις. Η αντιγραφή του στη διεπαφή προστασίας από ιούς για κινητά φαίνεται περιττή. Συγκεντρωτικές πληροφορίες για όλες τις συσκευές μπορεί να ενδιαφέρουν. Συλλέγεται και αναλύεται με επιτυχία από συστήματα UEM.
  • Περιορισμός της κυκλοφορίας από κινητά – ορισμός ορίου, ειδοποίηση όταν το φτάσετε. Για τους περισσότερους χρήστες συσκευών Android, αυτές οι λειτουργίες είναι διαθέσιμες στην εφαρμογή Ρυθμίσεις. Η κεντρική ρύθμιση των περιορισμών είναι καθήκον του UEM, όχι του antivirus.
  • Στην πραγματικότητα, τείχος προστασίας. Ή, με άλλα λόγια, αποκλεισμός της πρόσβασης σε συγκεκριμένες διευθύνσεις IP και θύρες. Λαμβάνοντας υπόψη το DDNS σε όλους τους δημοφιλείς πόρους και την ανάγκη ενεργοποίησης του VPN για αυτούς τους σκοπούς, το οποίο, όπως γράφτηκε παραπάνω, δεν μπορεί να λειτουργήσει σε συνδυασμό με το κύριο VPN, η λειτουργία φαίνεται ανεφάρμοστη στην εταιρική πρακτική.

Έλεγχος πληρεξούσιου Wi-Fi

Τα κινητά antivirus μπορούν να αξιολογήσουν την ασφάλεια των δικτύων Wi-Fi στα οποία συνδέεται η κινητή συσκευή. Μπορεί να υποτεθεί ότι ελέγχεται η παρουσία και η ισχύς της κρυπτογράφησης. Ταυτόχρονα, όλα τα σύγχρονα προγράμματα χρησιμοποιούν κρυπτογράφηση για τη μετάδοση ευαίσθητων δεδομένων. Επομένως, εάν κάποιο πρόγραμμα είναι ευάλωτο σε επίπεδο σύνδεσης, τότε είναι επίσης επικίνδυνο να το χρησιμοποιήσετε μέσω οποιωνδήποτε καναλιών Διαδικτύου και όχι μόνο μέσω του δημόσιου Wi-Fi.
Επομένως, το δημόσιο Wi-Fi, συμπεριλαμβανομένου του χωρίς κρυπτογράφηση, δεν είναι πιο επικίνδυνο και λιγότερο ασφαλές από οποιοδήποτε άλλο μη αξιόπιστο κανάλι μετάδοσης δεδομένων χωρίς κρυπτογράφηση.

Προστασία ανεπιθύμητων

Η προστασία, κατά κανόνα, καταλήγει στο φιλτράρισμα των εισερχόμενων κλήσεων σύμφωνα με μια λίστα που καθορίζει ο χρήστης ή σύμφωνα με μια βάση δεδομένων γνωστών αποστολέων ανεπιθύμητης αλληλογραφίας που ενοχλούν ασταμάτητα τις ασφάλειες, τα δάνεια και τις προσκλήσεις για το θέατρο. Αν και δεν τηλεφωνούν κατά τη διάρκεια της απομόνωσης, σύντομα θα ξεκινήσουν ξανά. Μόνο οι κλήσεις υπόκεινται σε φιλτράρισμα. Τα μηνύματα στις τρέχουσες συσκευές Android δεν φιλτράρονται. Λαμβάνοντας υπόψη ότι οι spammers αλλάζουν τακτικά τους αριθμούς τους και την αδυναμία προστασίας των καναλιών κειμένου (SMS, instant messengers), η λειτουργικότητα είναι περισσότερο μάρκετινγκ παρά πρακτικής φύσης.

Αντικλεπτική προστασία

Εκτέλεση απομακρυσμένων ενεργειών με φορητή συσκευή σε περίπτωση απώλειας ή κλοπής. Μια εναλλακτική λύση στις υπηρεσίες Find My iPhone και Find My Device από την Apple και την Google, αντίστοιχα. Σε αντίθεση με τα ανάλογα τους, οι υπηρεσίες των κατασκευαστών προστασίας από ιούς δεν μπορούν να αποκλείσουν μια συσκευή εάν ένας εισβολέας έχει καταφέρει να την επαναφέρει στις εργοστασιακές ρυθμίσεις. Αλλά αν αυτό δεν έχει συμβεί ακόμα, μπορείτε να κάνετε τα εξής με τη συσκευή από απόσταση:

  • ΟΙΚΟΔΟΜΙΚΟ ΤΕΤΡΑΓΩΝΟ. Προστασία από έναν απλοϊκό κλέφτη, γιατί μπορεί εύκολα να γίνει επαναφέροντας τη συσκευή στις εργοστασιακές ρυθμίσεις μέσω ανάκτησης.
  • Μάθετε τις συντεταγμένες της συσκευής. Χρήσιμο όταν η συσκευή χάθηκε πρόσφατα.
  • Ενεργοποιήστε ένα δυνατό ηχητικό σήμα για να σας βοηθήσει να βρείτε τη συσκευή σας εάν βρίσκεται σε αθόρυβη λειτουργία.
  • Επαναφέρετε τη συσκευή στις εργοστασιακές ρυθμίσεις. Είναι λογικό όταν ο χρήστης έχει αναγνωρίσει τη συσκευή ως ανεπανόρθωτα χαμένη, αλλά δεν θέλει να αποκαλυφθούν τα δεδομένα που είναι αποθηκευμένα σε αυτήν.
  • Για να φτιάξετε μια φωτογραφία. Φωτογραφίστε τον εισβολέα αν κρατάει το τηλέφωνο στα χέρια του. Η πιο αμφισβητήσιμη λειτουργικότητα είναι ότι η πιθανότητα ένας εισβολέας να θαυμάσει το τηλέφωνο σε καλό φωτισμό είναι χαμηλή. Όμως, η παρουσία στη συσκευή μιας εφαρμογής που μπορεί να ελέγξει αθόρυβα την κάμερα του smartphone, να τραβήξει φωτογραφίες και να τις στείλει στον διακομιστή της προκαλεί εύλογη ανησυχία.

Η απομακρυσμένη εκτέλεση εντολών είναι βασική σε οποιοδήποτε σύστημα UEM. Το μόνο που τους λείπει είναι η απομακρυσμένη φωτογραφία. Αυτός είναι ένας σίγουρος τρόπος για να κάνετε τους χρήστες να βγάλουν τις μπαταρίες από τα τηλέφωνά τους και να τις βάλουν σε μια τσάντα Faraday μετά το τέλος της εργάσιμης ημέρας.

Οι λειτουργίες κατά της κλοπής σε προγράμματα προστασίας από ιούς κινητών είναι διαθέσιμες μόνο για Android. Για iOS, μόνο το UEM μπορεί να εκτελέσει τέτοιες ενέργειες. Μπορεί να υπάρχει μόνο ένα UEM σε μια συσκευή iOS - αυτό είναι ένα αρχιτεκτονικό χαρακτηριστικό του iOS.

Ευρήματα

  1. Μια κατάσταση στην οποία ένας χρήστης μπορεί να εγκαταστήσει κακόβουλο λογισμικό σε ένα τηλέφωνο ΔΕΝ ΕΙΝΑΙ ΑΠΟΔΕΚΤΗ.
  2. Το σωστά διαμορφωμένο UEM σε μια εταιρική συσκευή εξαλείφει την ανάγκη προστασίας από ιούς.
  3. Εάν γίνει εκμετάλλευση ευπάθειας 0 ημερών στο λειτουργικό σύστημα, το πρόγραμμα προστασίας από ιούς είναι άχρηστο. Μπορεί μόνο να υποδείξει στον διαχειριστή ότι η συσκευή είναι ευάλωτη.
  4. Το πρόγραμμα προστασίας από ιούς δεν μπορεί να προσδιορίσει εάν γίνεται εκμετάλλευση της ευπάθειας. Εκτός από την κυκλοφορία μιας ενημέρωσης για μια συσκευή για την οποία ο κατασκευαστής δεν εκδίδει πλέον ενημερώσεις ασφαλείας. Το πολύ είναι ένα ή δύο χρόνια.
  5. Αν αγνοήσουμε τις απαιτήσεις των ρυθμιστικών αρχών και του μάρκετινγκ, τότε τα εταιρικά κινητά antivirus χρειάζονται μόνο σε συσκευές Android όπου οι χρήστες έχουν πρόσβαση στο Google Play και εγκατάσταση προγραμμάτων από πηγές τρίτων. Σε άλλες περιπτώσεις, η αποτελεσματικότητα της χρήσης αντιιών δεν είναι παρά ένα εικονικό φάρμακο.

Τα κινητά antivirus δεν λειτουργούν

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο