La rapida evoluo de portebla elektroniko kaj, precipe, inteligentaj telefonoj kaj tablojdoj, kreis multajn novajn defiojn por kompania informa sekureco. Efektive, se antaŭe la tuta cibersekureco baziĝis sur kreado de sekura perimetro kaj ĝia posta protekto, nun, kiam preskaŭ ĉiu dungito uzas siajn proprajn porteblajn aparatojn por solvi laborproblemojn, fariĝis tre malfacile kontroli la sekurecan perimetron. Ĉi tio validas precipe por grandaj entreprenoj, en kiuj ĉiu dungito havas ensaluton kaj pasvorton por retpoŝto kaj aliaj kompaniaj rimedoj. Ofte, aĉetante novan inteligentan telefonon aŭ tablojdon, dungito enmetas siajn akreditaĵojn sur ĝi, ofte forgesante elsaluti sur la malnova aparato. Eĉ se estas nur 5% de tiaj nerespondecaj dungitoj en entrepreno, sen taŭga kontrolo de la administranto, la situacio kun poŝtelefona aliro al la poŝtservilo tre rapide fariĝas vera ĥaoso.
Krome, sufiĉe ofte porteblaj aparatoj estas perditaj aŭ ŝtelitaj, kaj poste estas uzataj por serĉi kulpajn pruvojn, kaj ankaŭ aliron al kompaniaj rimedoj kaj komercaj sekretaj datumoj. Kiel regulo, la plej granda damaĝo al kompania cibersekureco rezultas de atakantoj akirantaj al retpoŝto de dungito. Dank' al tio, ili povas akiri aliron al tutmonda listo de adresoj kaj kontaktoj, al la horaro de kunvenoj, en kiuj la malfeliĉa dungito devis partopreni, kaj ankaŭ al sia korespondado. Krome, atakantoj, kiuj akiras aliron al kompania retpoŝto, povas sendi phishing-retpoŝtojn aŭ retpoŝtojn infektitajn per malware el fidinda retadreso. Ĉio ĉi kune donas al atakantoj preskaŭ senlimajn ŝancojn fari ciberatakojn, kaj ankaŭ uzi socian inĝenieristikon por atingi siajn celojn.
Por monitori porteblajn aparatojn ene de la sekureca perimetro, ekzistas ABQ-teknologio, aŭ Permesi/Bloki/Kvaranteno. Ĝi permesas al la administranto kontroli la liston de porteblaj aparatoj, kiuj rajtas sinkronigi datumojn kun la poŝtservilo, kaj, se necese, bloki kompromititajn aparatojn kaj kvaranteni suspektindajn porteblajn aparatojn.
Tamen, kiel ĉiu administranto de la senpaga versio de Zimbra Collaboration Suite Open-Source Edition scias, ĝia kapablo interagi kun porteblaj aparatoj estas tre limigita. Strikte parolante, uzantoj de la senpaga versio de Zimbra povas nur ricevi kaj sendi retpoŝtojn per la protokolo POP3 aŭ IMAP, sen havi la enkonstruitan kapablon sinkronigi taglibron, adreslibrojn kaj notojn datumojn kun la servilo. ABQ-teknologio ankaŭ ne estas efektivigita en la senpaga versio de Zimbra Collaboration Suite, kiu aŭtomate ĉesigas ĉiujn provojn krei fermitan informan perimetron en la entrepreno. En kondiĉoj, kie la administranto ne scias, kiuj aparatoj konektas al sia servilo, informaj likoj povas aperi en la entrepreno, kaj la verŝajneco de ciberatako laŭ la antaŭe priskribita scenaro akre pliiĝas.
La modula etendaĵo de Zextras Mobile helpos solvi ĉi tiun problemon en Zimbra Collaboration Suite Open-Source Edition. Ĉi tiu etendaĵo ebligas al vi aldoni plenan subtenon por la protokolo ActiveSync al la senpaga versio de Zimbra kaj, danke al tio, malfermas multajn eblecojn por interago inter porteblaj aparatoj kaj via poŝtservilo. Inter diversaj aliaj funkcioj, la etendaĵo Zextras Mobile venas kun plena ABQ-subteno.
Ni tuj avertu vin, ke ĉar malĝuste agordita ABQ povas konduki al la fakto, ke iuj uzantoj ne povos sinkronigi datumojn de siaj porteblaj aparatoj kun la servilo, vi devas trakti la aferon pri agordo de ĝi kun la plej granda zorgo kaj singardemo. . ABQ estas agordita de la komandlinio de Zextras. Estas sur la komandlinio ke la ABQ operaciumo en Zimbra estas agordita, kaj aparatoj listoj ankaŭ estas administritaj.
Ĝi estas efektivigita jene: Post kiam la uzanto ensalutas en kompania poŝto sur poŝtelefono, li sendas rajtigajn datumojn al la servilo, same kiel identigajn datumojn de sia aparato, kiu renkontas malhelpon en la formo de ABQ, kiu rigardas la identigon. datumoj kaj kontrolas ĝin per tiuj , kiuj estas en la listoj de permesitaj, kvarantenitaj kaj blokitaj aparatoj. Se la aparato ne estas en neniu el la listoj, tiam ABQ traktas ĝin laŭ la reĝimo en kiu ĝi funkcias.
ABQ en Zimbra disponigas tri reĝimojn de operacio:
Permesa: En ĉi tiu operacia maniero, post uzanta aŭtentigo, sinkronigo estas farita aŭtomate laŭ la unua peto de poŝtelefono. En ĉi tiu operacia reĝimo, eblas bloki individuajn aparatojn, sed ĉiuj aliaj povos libere sinkronigi datumojn kun la servilo.
Interaga: En ĉi tiu operacia maniero, tuj post kiam la uzanto estas aŭtentikigita, la sekureca sistemo petas la aparaton-identigdatenojn kaj komparas ĝin kun la listo de permesitaj aparatoj. Se la aparato estas en la permesita listo, sinkronigo aŭtomate daŭras. Se ĉi tiu aparato ne estas en la blanka listo, ĝi estos aŭtomate en kvarantena por ke la administranto povu poste decidi ĉu permesi ĉi tiun aparaton sinkronigi kun la servilo aŭ bloki ĝin. En ĉi tiu kazo, responda sciigo estos sendita al la uzanto. La administranto estas informita regule, unufoje en agordebla tempodaŭro. En ĉi tiu kazo, ĉiu nova sciigo enhavos nur novajn kvarantenigitajn aparatojn.
Strikta: En ĉi tiu maniero de funkciado, post uzantaŭtentigo, tuj kontrolo estas farita por vidi ĉu la identigaj datumoj de la aparato estas en la permesita listo. Se ĝi estas listigita tie, sinkronigado aŭtomate daŭras. Se aparato ne estas en la permesita listo, ĝi tuj iras al la blokita listo, kaj la uzanto ricevas respondan sciigon per poŝto.
Ankaŭ, se ĝi deziras, la administranto de Zimbra povas tute malŝalti ABQ sur sia poŝtservilo.
La operaciumo ABQ estas agordita per la komandoj:
zxsuite config global set attribute abqMode valoro Permissive
zxsuite config global set attribute abqMode valoro Interaga
zxsuite config global set attribute abqMode valoro Strikta
zxsuite config global set attribute abqMode valoro Malŝaltita
Vi povas ekscii la nunan operacian reĝimon de ABQ uzante la komandon zxsuite config global get attribute abqMode.
Se vi uzas interagajn aŭ striktajn ABQ-funkciajn reĝimojn, vi ofte devos labori kun listoj de permesitaj, blokitaj kaj kvarantenigitaj aparatoj. Ni supozu, ke du aparatoj estas konektitaj al nia servilo: unu iPhone kaj unu Android kun la respondaj identigaj datumoj. Poste montriĝas, ke la ĝenerala direktoro de la entrepreno ĵus aĉetis iPhone kaj decidis labori per poŝto sur ĝi, kaj Android apartenas al ordinara administranto, kiu ne rajtas uzi laborpoŝton sur inteligenta telefono pro sekurecaj kialoj.
En la kazo de Interaga reĝimo, ĉiuj estos en kvaranteno, de kie la administranto devos movi la iPhone al la listo de permesitaj aparatoj, kaj Android al la listo de blokitaj. Por fari tion li uzas la komandojn zxsuite mobile abq permesas iPhone и zxsuite mobile abq blokas Android. Post ĉi tio, la ĉefoficisto povos plene labori kun poŝto de siaj aparatoj, dum la administranto ankoraŭ devos vidi ĝin ekskluzive de sia labortekkomputilo.
Rimarkindas, ke uzante la Interaga reĝimo, eĉ se la administranto enmetas sian uzantnomon kaj pasvorton ĝuste sur sia Android-aparato, li ankoraŭ ne akiros aliron al sia konto, sed eniros virtualan leterkeston, en kiu li ricevos sciigon, ke lia aparato estis aldonita al kvaranteno kaj li ne povos uzi poŝton de ĝi.
En la kazo de strikta reĝimo, ĉiuj novaj aparatoj estos blokitaj kaj post kiam oni ekscios, al kiu ili apartenis, la administranto devos nur aldoni la iPhone de la CEO al la listo de permesitaj aparatoj uzante la komandon. zxsuite movebla ABQ-aro iPhone Permesita, lasante la telefonnumeron de la administranto tie.
La permesema operacia maniero estas malbone kongrua kun iuj sekurecaj reguloj ĉe la entrepreno, tamen, se ankoraŭ necesas bloki iun ajn el la permesitaj moveblaj aparatoj, ekzemple, se administranto subite ĉesas kun skandalo, tio povas esti farita uzante la komando zxsuite movebla ABQ-aro Android Blokita.
Se entrepreno provizas dungitojn per servaj aparatoj por labori kun poŝto, tiam la venontan fojon kiam ĝia posedanto ŝanĝiĝas, la aparato povas esti tute forigita el la ABQ-listoj por poste decidi denove ĉu permesi ĝin sinkronigi kun la servilo aŭ ne. Ĉi tio estas farita per la komando zxsuite mobile ABQ forigi Android.
Tiel, kiel vi povas vidi, kun la helpo de la etendaĵo Zextras Mobile en Zimbra, vi povas efektivigi tre flekseblan sistemon por kontroli la porteblajn aparatojn uzatajn, taŭgan por ambaŭ entreprenoj kun sufiĉe strikta politiko pri la uzo de kompaniaj rimedoj ekster la oficejo. , kaj por tiuj kompanioj, kiuj estas sufiĉe liberalaj en sia uzo de porteblaj aparatoj. tiurilate.
fonto: www.habr.com