Le développement rapide de l'électronique portable et, en particulier, des smartphones et des tablettes, a créé une multitude de nouveaux défis pour la sécurité des informations d'entreprise. En effet, si auparavant toute la cybersécurité reposait sur la création d'un périmètre protégé et sa protection ultérieure, maintenant, alors que presque chaque employé utilise ses propres appareils mobiles pour résoudre des tâches professionnelles, il est devenu très difficile de contrôler le périmètre de sécurité. Cela est particulièrement vrai pour les grandes entreprises, dans lesquelles chaque employé dispose d'un identifiant et d'un mot de passe pour accéder aux e-mails et autres ressources de l'entreprise. Souvent, lors de l'achat d'un nouveau smartphone ou d'une nouvelle tablette, un employé de l'entreprise y saisit ses informations d'identification, oubliant souvent de se déconnecter sur l'ancien appareil. Même s'il n'y a que 5% de ces employés irresponsables dans l'entreprise, sans contrôle approprié de l'administrateur, la situation avec l'accès des appareils mobiles au serveur de messagerie se transforme très rapidement en un véritable gâchis.
De plus, très souvent, les appareils mobiles sont perdus ou volés, puis utilisés pour rechercher des preuves compromettantes, ainsi que pour accéder aux ressources et aux données de l'entreprise qui sont un secret commercial. En règle générale, le plus grand dommage à la cybersécurité de l'entreprise est lorsque les attaquants accèdent au courrier électronique d'un employé. Grâce à cela, ils peuvent accéder à la liste globale des adresses et contacts, au calendrier des réunions auxquelles l'employé malchanceux était censé assister, ainsi qu'à sa correspondance. De plus, les attaquants qui accèdent à la messagerie de l'entreprise peuvent envoyer des e-mails de phishing ou infectés par des logiciels malveillants à partir d'une adresse e-mail de confiance. Tout cela offre aux attaquants des possibilités presque illimitées de mener des cyberattaques, ainsi que d'utiliser l'ingénierie sociale pour atteindre leurs objectifs.
Afin de contrôler les appareils mobiles inclus dans le périmètre de sécurité, il existe la technologie ABQ, ou Allow/Block/Quarantine. Il permet à l'administrateur de contrôler la liste des appareils mobiles autorisés à synchroniser les données avec le serveur de messagerie et, si nécessaire, de bloquer les appareils compromis et de mettre en quarantaine les appareils mobiles suspects.
Cependant, comme le sait tout administrateur de l'édition gratuite Zimbra Collaboration Suite Open-Source, sa capacité à interagir avec les appareils mobiles est sévèrement limitée. À proprement parler, les utilisateurs de la version gratuite de Zimbra ne peuvent recevoir et envoyer des e-mails qu'en utilisant le protocole POP3 ou IMAP, sans avoir la capacité intégrée de synchroniser les données de l'agenda, des carnets d'adresses et des notes avec le serveur. Non implémenté dans la version gratuite de la Zimbra Collaboration Suite et de la technologie ABQ, qui met automatiquement un terme à toutes les tentatives de création d'un périmètre d'information fermé dans l'entreprise. Dans des conditions où l'administrateur ne sait pas quels appareils sont connectés à son serveur, des fuites d'informations peuvent se produire dans l'entreprise et la probabilité d'une cyberattaque selon le scénario décrit précédemment augmente fortement.
L'extension modulaire Zextras Mobile aidera à résoudre ce problème dans l'édition Open Source de Zimbra Collaboration Suite. Cette extension vous permet d'ajouter la prise en charge complète du protocole ActiveSync à la version gratuite de Zimbra et, grâce à cela, ouvre de nombreuses possibilités d'interaction entre les appareils mobiles et votre serveur de messagerie. En plus de diverses autres fonctionnalités, l'extension Zextras Mobile prend entièrement en charge ABQ.
Nous vous avertirons immédiatement qu'étant donné qu'un ABQ mal configuré peut entraîner le fait que certains utilisateurs ne pourront pas synchroniser les données de leurs appareils mobiles avec le serveur, vous devez aborder la question de sa configuration avec le plus grand soin et la plus grande prudence. . ABQ est configuré à partir de la ligne de commande Zextras. C'est sur la ligne de commande que le mode de fonctionnement ABQ dans Zimbra est configuré, et les listes d'appareils sont également gérées.
Il est implémenté comme suit : après que l'utilisateur se connecte à la messagerie d'entreprise sur un appareil mobile, il envoie des données d'autorisation au serveur, ainsi que les données d'identification de son appareil, qui rencontre un obstacle sous la forme d'ABQ sur son chemin, ce qui examine les données d'identification et les compare avec celles qui sont disponibles dans les listes d'appareils autorisés, mis en quarantaine et bloqués. Si l'appareil ne figure dans aucune des listes, ABQ le traite en fonction du mode dans lequel il fonctionne.
ABQ dans Zimbra propose trois modes de fonctionnement :
Permissif: Dans ce mode de fonctionnement, après authentification de l'utilisateur, la synchronisation s'effectue automatiquement à la première demande de l'appareil mobile. Dans ce mode de fonctionnement, il est possible de bloquer des appareils individuels, mais tous les autres pourront librement synchroniser les données avec le serveur.
Interactif: Dans ce mode de fonctionnement, immédiatement après l'authentification de l'utilisateur, le système de sécurité demande les données d'identification de l'appareil et les compare à la liste des appareils autorisés. Si l'appareil figure sur la liste autorisée, la synchronisation se poursuit automatiquement. Si cet appareil ne figure pas sur la liste blanche, il sera automatiquement mis en quarantaine afin que l'administrateur puisse décider ultérieurement s'il autorise la synchronisation de cet appareil avec le serveur ou le bloque. La notification correspondante sera envoyée à l'utilisateur. L'administrateur est informé régulièrement, une fois dans une période de temps personnalisable. Dans le même temps, chaque nouvelle notification contiendra uniquement les nouveaux appareils qui ont été mis en quarantaine.
Strict: Dans ce mode de fonctionnement, après l'authentification de l'utilisateur, il vérifie immédiatement si les données d'identification de l'appareil figurent dans la liste autorisée. S'il y est répertorié, la synchronisation se poursuit automatiquement. Dans le cas où l'appareil ne figure pas sur la liste autorisée, il entre immédiatement dans la liste bloquée et l'utilisateur reçoit une notification correspondante par e-mail.
De plus, s'il le souhaite, l'administrateur Zimbra peut désactiver complètement ABQ sur son serveur de messagerie.
Le réglage du mode de fonctionnement ABQ s'effectue à l'aide des commandes :
Attribut d'ensemble global de configuration zxsuite Valeur abqMode Permissif
attribut d'ensemble global de configuration zxsuite valeur abqMode Interactif
attribut d'ensemble global de configuration zxsuite valeur abqMode Strict
attribut d'ensemble global de configuration zxsuite valeur abqMode désactivé
Vous pouvez connaître le mode de fonctionnement actuel d'ABQ à l'aide de la commande zxsuite config global get attribut abqMode.
Si vous utilisez les modes de fonctionnement interactifs ou stricts d'ABQ, vous devrez souvent travailler avec des listes d'appareils autorisés, bloqués et mis en quarantaine. Supposons que deux appareils se sont connectés à notre serveur : un iPhone et un Android avec les données d'identification correspondantes. Plus tard, il s'avère que l'iPhone a été récemment acheté par le PDG de l'entreprise et a décidé de travailler avec le courrier dessus, et Android appartient à un gestionnaire ordinaire qui n'a pas le droit d'utiliser le courrier professionnel sur un smartphone pour des raisons de sécurité.
Dans le cas du mode interactif, tous seront mis en quarantaine, d'où l'administrateur devra déplacer l'iPhone vers la liste des appareils autorisés et Android vers la liste des appareils bloqués. Pour ce faire, il utilise les commandes zxsuite mobile abq autoriser l'iPhone и zxsuite mobile abq bloquer Android. Après cela, le PDG pourra pleinement travailler avec le courrier de ses appareils, tandis que le responsable devra toujours le consulter exclusivement depuis son ordinateur portable de travail.
Il est à noter que lors de l'utilisation du mode Interactif, même si le gestionnaire sur son appareil Android entre correctement son identifiant et son mot de passe, il n'aura toujours pas accès à son compte, mais entrera dans une boîte aux lettres virtuelle, dans laquelle il recevra une notification que son appareil a été mis en quarantaine et qu'il ne pourra pas utiliser le courrier qu'il contient.
Dans le cas du mode strict, tous les nouveaux appareils seront bloqués et après avoir découvert à qui ils appartenaient, l'administrateur n'aura qu'à ajouter l'iPhone du PDG à la liste des appareils autorisés à l'aide de la commande zxsuite mobile ABQ set iPhone Autoriséen y laissant le numéro de téléphone du gérant.
Le mode de fonctionnement permissif est peu compatible avec les règles de sécurité de l'entreprise, cependant, s'il est toujours nécessaire de bloquer l'un des appareils mobiles autorisés, par exemple, si le responsable quitte soudainement avec un scandale, cela peut être fait en utilisant la commande zxsuite mobile ABQ set Android bloqué.
Si l'entreprise fournit aux employés des gadgets de service pour travailler avec le courrier, alors avec le prochain changement de propriétaire, l'appareil peut être complètement supprimé des listes ABQ afin de décider ensuite à nouveau de l'autoriser ou non à se synchroniser avec le serveur. Cela se fait à l'aide de la commande zxsuite mobile ABQ supprimer Android.
Ainsi, comme vous pouvez le voir, avec l'aide de l'extension Zextras Mobile dans Zimbra, vous pouvez mettre en place un système très flexible de surveillance de l'utilisation des appareils mobiles, adapté aux entreprises ayant une politique assez stricte sur l'utilisation des ressources de l'entreprise en dehors du bureau, et pour les entreprises qui sont assez libérales dans leur utilisation des appareils mobiles.
Source: habr.com