ProHoster > Log > administrasjon > Mobile antivirus fungerer ikke

Mobile antivirus fungerer ikke

Mobile antivirus fungerer ikke
TL; DR hvis bedriftens mobile enheter krever et antivirus, gjør du alt feil og antiviruset vil ikke hjelpe deg.

Dette innlegget er et resultat av en heftig debatt om hvorvidt et antivirus er nødvendig på en bedriftsmobiltelefon, i hvilke tilfeller det fungerer, og i hvilke tilfeller det er ubrukelig. Artikkelen undersøker trusselmodellene som et antivirus i teorien skal beskytte mot.

Antivirusleverandører klarer ofte å overbevise bedriftskunder om at et antivirus vil forbedre deres sikkerhet betraktelig, men i de fleste tilfeller er dette illusorisk beskyttelse, som bare reduserer årvåkenheten til både brukere og administratorer.

Riktig bedriftsinfrastruktur

Når et selskap har titusenvis eller til og med tusenvis av ansatte, er det umulig å konfigurere hver brukerenhet manuelt. Innstillinger kan endres hver dag, nye ansatte kommer inn, mobiltelefoner og bærbare datamaskiner går i stykker eller går seg vill. Som et resultat vil alt administratorarbeidet bestå av daglig distribusjon av nye innstillinger på ansattes enheter.

Dette problemet begynte å bli løst på stasjonære datamaskiner for lenge siden. I Windows-verdenen skjer slik administrasjon vanligvis ved hjelp av Active Directory, sentraliserte autentiseringssystemer (Single Sign In), etc. Men nå har alle ansatte lagt til smarttelefoner på sine datamaskiner, hvor en betydelig del av arbeidsprosessene foregår og viktige data lagres. Microsoft prøvde å integrere sine Windows-telefoner i ett enkelt økosystem med Windows, men denne ideen døde med den offisielle døden til Windows Phone. Derfor, i et bedriftsmiljø, må du uansett velge mellom Android og iOS.

Nå i et bedriftsmiljø er konseptet UEM (Unified endpoint management) på moten for administrasjon av ansattes enheter. Dette er et sentralisert styringssystem for mobile enheter og stasjonære datamaskiner.
Mobile antivirus fungerer ikke
Sentralisert administrasjon av brukerenheter (Enhetlig endepunktadministrasjon)

UEM-systemadministratoren kan angi forskjellige policyer for brukerenheter. For eksempel å la brukeren få mer eller mindre kontroll over enheten, installere applikasjoner fra tredjepartskilder osv.

Hva UEM kan gjøre:

Administrer alle innstillinger — administratoren kan fullstendig forby brukeren fra å endre innstillinger på enheten og endre dem eksternt.

Kontroller programvaren på enheten — tillate muligheten til å installere programmer på enheten og automatisk installere programmer uten brukerens viten. Administratoren kan også blokkere eller tillate installasjon av programmer fra applikasjonsbutikken eller fra upålitelige kilder (fra APK-filer i tilfelle av Android).

Ekstern blokkering — hvis telefonen går tapt, kan administratoren blokkere enheten eller slette dataene. Noen systemer lar deg også stille inn automatisk sletting av data hvis telefonen ikke har kontaktet serveren på mer enn N timer, for å eliminere muligheten for offline hackingforsøk når angripere klarte å fjerne SIM-kortet før dataslettingskommandoen ble sendt fra serveren .

Samle statistikk - spor brukeraktivitet, brukstid for applikasjoner, plassering, batterinivå osv.

Hva er UEM-er?

Det er to fundamentalt forskjellige tilnærminger for sentralisert styring av ansattes smarttelefoner: I ett tilfelle kjøper selskapet enheter fra én produsent for ansatte og velger vanligvis et styringssystem fra samme leverandør. I et annet tilfelle bruker ansatte sine personlige enheter til jobben, og her begynner dyrehagen av operativsystemer, versjoner og plattformer.

BYOD (Bring your own device) er et konsept der ansatte bruker sine personlige enheter og kontoer for å jobbe. Noen sentraliserte administrasjonssystemer lar deg legge til en ekstra jobbkonto og fullstendig skille dataene dine i personlig og jobb.

Mobile antivirus fungerer ikke

Apple Business Manager - Apples opprinnelige sentraliserte administrasjonssystem. Kan bare administrere Apple-enheter, datamaskiner med macOS og iOS-telefoner. Støtter BYOD, og ​​skaper et andre isolert miljø med en annen iCloud-konto.

Mobile antivirus fungerer ikke

Google Cloud Endpoint Management — lar deg administrere telefoner på Android og Apple iOS, samt stasjonære datamaskiner på Windows 10. BYOD-støtte er erklært.

Mobile antivirus fungerer ikke
Samsung Knox UEM - Støtter kun Samsung mobile enheter. I dette tilfellet kan du bare bruke umiddelbart Samsung mobiladministrasjon.

Faktisk er det mange flere UEM-leverandører, men vi vil ikke analysere dem alle i denne artikkelen. Det viktigste å huske på er at slike systemer allerede eksisterer og lar administratoren konfigurere brukerenheter tilstrekkelig til den eksisterende trusselmodellen.

Trusselmodell

Før vi velger beskyttelsesverktøy, må vi forstå hva vi beskytter oss mot, hva det verste kan skje i vårt spesielle tilfelle. Relativt sett: kroppen vår er lett sårbar for en kule og til og med en gaffel og en spiker, men vi tar ikke på en skuddsikker vest når vi forlater huset. Vår trusselmodell inkluderer derfor ikke risikoen for å bli skutt på vei til jobb, selv om dette statistisk sett ikke er så usannsynlig. Dessuten, under visse forhold, er det helt berettiget å bruke en skuddsikker vest.

Trusselmodeller varierer fra selskap til selskap. La oss for eksempel ta smarttelefonen til en kurer som er på vei for å levere en pakke til en klient. Smarttelefonen hans inneholder kun adressen til gjeldende levering og ruten på kartet. Det verste som kan skje med dataene hans er en lekkasje av pakkeleveringsadresser.

Og her er regnskapsførerens smarttelefon. Han har tilgang til bedriftsnettverket via VPN, har installert en bedriftsklient-bankapplikasjon og lagrer dokumenter med verdifull informasjon. Det er klart at verdien av dataene på disse to enhetene varierer betydelig og bør beskyttes annerledes.

Vil antivirus redde oss?

Dessverre, bak markedsføringsslagord går den virkelige betydningen av oppgavene som et antivirus utfører på en mobil enhet tapt. La oss prøve å forstå i detalj hva antiviruset gjør på telefonen.

Sikkerhetsrevisjon

De fleste moderne mobile antivirus kontrollerer sikkerhetsinnstillingene på enheten. Denne revisjonen kalles noen ganger en "enhets omdømmesjekk." Antivirus anser en enhet som trygg hvis fire betingelser er oppfylt:

  • Enheten er ikke hacket (root, jailbreak).
  • Enheten har konfigurert et passord.
  • USB-feilsøking er ikke aktivert på enheten.
  • Installasjon av applikasjoner fra ikke-klarerte kilder (sideloading) er ikke tillatt på enheten.

Hvis enheten, som et resultat av skanningen, viser seg å være usikker, vil antiviruset varsle eieren og tilby å deaktivere den "farlige" funksjonaliteten eller returnere fabrikkfastvaren hvis det er tegn på root eller jailbreak.

I følge bedriftskikken er det ikke nok å bare varsle brukeren. Usikre konfigurasjoner må elimineres. For å gjøre dette må du konfigurere sikkerhetspolicyer på mobile enheter som bruker UEM-systemet. Og hvis en rot / jailbreak oppdages, må du raskt fjerne bedriftsdata fra enheten og blokkere tilgangen til bedriftens nettverk. Og dette er også mulig med UEM. Og først etter disse prosedyrene kan mobilenheten anses som trygg.

Søk og fjern virus

I motsetning til populær tro om at det ikke finnes virus for iOS, er dette ikke sant. Det er fortsatt vanlige utnyttelser i naturen for eldre versjoner av iOS som infisere enheter gjennom utnyttelse av nettlesersårbarheter. Samtidig, på grunn av arkitekturen til iOS, er utviklingen av antivirus for denne plattformen umulig. Hovedårsaken er at applikasjoner ikke får tilgang til listen over installerte applikasjoner og har mange begrensninger når de får tilgang til filer. Bare UEM kan få listen over installerte iOS-apper, men selv UEM har ikke tilgang til filer.

Med Android er situasjonen annerledes. Apper kan få informasjon om applikasjoner som er installert på enheten. De kan til og med få tilgang til distribusjonene deres (for eksempel Apk Extractor og dets analoger). Android-applikasjoner har også muligheten til å få tilgang til filer (for eksempel Total Commander, etc.). Android-applikasjoner kan dekompileres.

Med slike evner ser følgende antivirusalgoritme logisk ut:

  • Søknadsverifisering
  • Få en liste over installerte applikasjoner og kontrollsummer (CS) for deres distribusjoner.
  • Sjekk applikasjoner og deres CS først i den lokale og deretter i den globale databasen.
  • Hvis applikasjonen er ukjent, overfør distribusjonen til den globale databasen for analyse og dekompilering.

  • Sjekker filer, søker etter virussignaturer
  • Sjekk CS-filene i den lokale, deretter i den globale databasen.
  • Sjekk filer for usikkert innhold (skript, utnyttelser osv.) ved å bruke en lokal og deretter en global database.
  • Hvis skadevare oppdages, varsle brukeren og/eller blokker brukerens tilgang til skadelig programvare og/eller videresend informasjonen til UEM. Det er nødvendig å overføre informasjon til UEM fordi antiviruset ikke uavhengig kan fjerne skadelig programvare fra enheten.

Den største bekymringen er muligheten for å overføre programvaredistribusjoner fra enheten til en ekstern server. Uten dette er det umulig å implementere "atferdsanalysen" hevdet av antivirusprodusenter, fordi På enheten kan du ikke kjøre applikasjonen i en egen "sandkasse" eller dekompilere den (hvor effektiv den er når du bruker obfuskering er et eget komplekst spørsmål). På den annen side kan bedriftsapplikasjoner installeres på ansattes mobile enheter som er ukjente for antiviruset fordi de ikke er på Google Play. Disse mobilappene kan inneholde sensitive data som kan føre til at disse appene ikke er oppført i den offentlige butikken. Å overføre slike distribusjoner til antivirusprodusenten virker feil fra et sikkerhetssynspunkt. Det er fornuftig å legge dem til unntak, men jeg vet ikke om eksistensen av en slik mekanisme ennå.

Skadelig programvare uten root-privilegier kan

1. Tegn ditt eget usynlige vindu på toppen av applikasjonen eller implementer ditt eget tastatur for å kopiere brukerangitte data - kontoparametere, bankkort, etc. Et nylig eksempel er sårbarhet. CVE-2020-0096, som det er mulig å erstatte den aktive skjermen til en applikasjon med og dermed få tilgang til brukeroppgitte data. For brukeren betyr dette muligheten for tyveri av en Google-konto med tilgang til sikkerhetskopi av enheten og bankkortdata. For organisasjonen er det på sin side viktig å ikke miste dataene sine. Hvis dataene er i programmets private minne og ikke finnes i en Google-sikkerhetskopi, vil ikke skadelig programvare få tilgang til dem.

2. Få tilgang til data i offentlige kataloger – nedlastinger, dokumenter, galleri. Det anbefales ikke å lagre informasjon som er verdsatt av bedriften i disse katalogene fordi de kan nås av alle programmer. Og brukeren selv vil alltid kunne dele et konfidensielt dokument ved å bruke en hvilken som helst tilgjengelig applikasjon.

3. Irritere brukeren med reklame, min bitcoins, være en del av et botnett osv.. Dette kan ha en negativ innvirkning på brukerens og/eller enhetens ytelse, men vil ikke utgjøre en trussel mot bedriftens data.

Skadelig programvare med root-privilegier kan potensielt gjøre hva som helst. De er sjeldne fordi hacking av moderne Android-enheter ved hjelp av en applikasjon er nesten umulig. Sist gang en slik sårbarhet ble oppdaget var i 2016. Dette er den oppsiktsvekkende Dirty COW, som fikk nummeret CVE-2016-5195. Nøkkelen her er at hvis klienten oppdager tegn på et UEM-kompromiss, vil klienten slette all bedriftsinformasjon fra enheten, så sannsynligheten for vellykket datatyveri ved bruk av slik skadevare i bedriftsverdenen er lav.

Skadelige filer kan skade både mobilenheten og bedriftssystemene den har tilgang til. La oss se på disse scenariene mer detaljert.

Skade på en mobilenhet kan for eksempel oppstå hvis du laster ned et bilde til den, som, når den åpnes eller når du prøver å installere bakgrunnsbilde, vil gjøre enheten om til en "kloss" eller starte den på nytt. Dette vil mest sannsynlig skade enheten eller brukeren, men vil ikke påvirke personvernet. Selv om det finnes unntak.

Sårbarheten ble nylig diskutert CVE-2020-8899. Det ble påstått at det kunne brukes til å få tilgang til konsollen til Samsung-mobilenheter ved å bruke et infisert bilde sendt via e-post, direktemeldinger eller MMS. Selv om konsolltilgang betyr å kun få tilgang til data i offentlige kataloger der sensitiv informasjon ikke skal være, blir personvernet til brukernes personlige data kompromittert, og dette har skremt brukerne. Selv om det faktisk bare er mulig å angripe enheter ved hjelp av MMS. Og for et vellykket angrep må du sende fra 75 til 450 (!) meldinger. Antivirus vil dessverre ikke hjelpe her, fordi det ikke har tilgang til meldingsloggen. For å beskytte mot dette er det bare to alternativer. Oppdater OS eller blokker MMS. Du kan vente lenge på det første alternativet og ikke vente, fordi... Enhetsprodusenter gir ikke ut oppdateringer for alle enheter. Å deaktivere MMS-mottak i dette tilfellet er mye enklere.

Filer overført fra mobile enheter kan forårsake skade på bedriftssystemer. For eksempel er det en infisert fil på en mobilenhet som ikke kan skade enheten, men som kan infisere en Windows-datamaskin. Brukeren sender en slik fil på e-post til sin kollega. Han åpner den på PC-en og kan dermed infisere den. Men minst to antivirus står i veien for denne angrepsvektoren – en på e-postserveren, den andre på mottakerens PC. Å legge til et tredje antivirus i denne kjeden på en mobilenhet virker direkte paranoid.

Som du kan se, er den største trusselen i bedriftens digitale verden malware uten root-privilegier. Hvor kan de komme fra på en mobil enhet?

Oftest er de installert ved hjelp av sideloading, adb eller tredjepartsbutikker, som bør være forbudt på mobile enheter med tilgang til bedriftsnettverket. Det er to alternativer igjen for skadelig programvare: fra Google Play eller fra UEM.

Før publisering på Google Play gjennomgår alle apper obligatorisk verifisering. Men for applikasjoner med et lite antall installasjoner utføres kontroller oftest uten menneskelig innblanding, bare i automatisk modus. Derfor kommer det noen ganger skadelig programvare inn i Google Play, men fortsatt ikke ofte. Et antivirusprogram hvis databaser oppdateres i tide, vil kunne oppdage programmer med skadelig programvare på enheten før Google Play Protect, som fortsatt henger etter i hastigheten på oppdatering av antivirusdatabaser.

UEM kan installere hvilken som helst applikasjon på en mobil enhet, inkl. skadelig programvare, så alle programmer må skannes først. Applikasjoner kan kontrolleres både under utviklingen ved hjelp av statiske og dynamiske analyseverktøy, og rett før distribusjonen ved hjelp av spesialiserte sandkasser og/eller antivirusløsninger. Det er viktig at søknaden bekreftes én gang før den lastes opp til UEM. Derfor, i dette tilfellet, er det ikke nødvendig med et antivirus på en mobil enhet.

Nettverksbeskyttelse

Avhengig av antivirusprodusenten, kan nettverksbeskyttelsen tilby én eller flere av følgende funksjoner.

URL-filtrering brukes til å:

  • Blokkering av trafikk etter ressurskategorier. For eksempel å forby å se nyheter eller annet ikke-bedriftsinnhold før lunsj, når den ansatte er mest effektiv. I praksis fungerer blokkering oftest med mange begrensninger - antivirusprodusenter klarer ikke alltid å oppdatere kataloger over ressurskategorier i tide, med tanke på tilstedeværelsen av mange "speil". I tillegg er det anonymiserere og Opera VPN, som oftest ikke er blokkert.
  • Beskyttelse mot phishing eller spoofing av målverter. For å gjøre dette kontrolleres først URL-ene som enheten har tilgang til mot antivirusdatabasen. Lenker, så vel som ressursene de fører til (inkludert mulige flere omdirigeringer), sjekkes mot en database med kjente phishing-nettsteder. Domenenavnet, sertifikatet og IP-adressen verifiseres også mellom den mobile enheten og den klarerte serveren. Hvis klienten og serveren mottar forskjellige data, er dette enten MITM («mann i midten»), eller blokkering av trafikk ved å bruke samme antivirus eller ulike typer proxyer og nettfiltre på nettverket som den mobile enheten er koblet til. Det er vanskelig å si med sikkerhet at det er noen i midten.

For å få tilgang til mobiltrafikk bygger antiviruset enten en VPN eller bruker egenskapene til Accessibility API (API for applikasjoner beregnet på funksjonshemmede). Samtidig drift av flere VPN-er på en mobil enhet er umulig, så nettverksbeskyttelse mot antivirus som bygger sin egen VPN er ikke aktuelt i bedriftsverdenen. En VPN fra et antivirus vil ganske enkelt ikke fungere sammen med en bedrifts-VPN, som brukes til å få tilgang til bedriftsnettverket.

Å gi et antivirustilgang til Accessibility API utgjør en annen fare. Tilgang til Accessibility API betyr i hovedsak tillatelse til å gjøre hva som helst for brukeren - se hva brukeren ser, utføre handlinger med applikasjoner i stedet for brukeren, etc. Med tanke på at brukeren eksplisitt må gi antiviruset slik tilgang, vil den mest sannsynlig nekte å gjøre det. Eller, hvis han blir tvunget, vil han kjøpe seg en annen telefon uten antivirus.

Brannmur

Under dette generelle navnet er det tre funksjoner:

  • Samling av statistikk om nettverksbruk, delt på applikasjon og nettverkstype (Wi-Fi, mobiloperatør). De fleste produsenter av Android-enheter gir denne informasjonen i Innstillinger-appen. Å duplisere det i det mobile antivirusgrensesnittet virker overflødig. Samlet informasjon om alle enheter kan være av interesse. Det er vellykket samlet inn og analysert av UEM-systemer.
  • Begrense mobiltrafikk – angi en grense, varsle deg når den er nådd. For de fleste brukere av Android-enheter er disse funksjonene tilgjengelige i Innstillinger-appen. Sentralisert innstilling av restriksjoner er oppgaven til UEM, ikke antivirus.
  • Faktisk brannmur. Eller, med andre ord, blokkering av tilgang til visse IP-adresser og porter. Tatt i betraktning DDNS på alle populære ressurser og behovet for å aktivere VPN for disse formålene, som, som skrevet ovenfor, ikke kan fungere sammen med hoved-VPN, virker funksjonen uanvendelig i bedriftspraksis.

Wi-Fi-fullmaktssjekk

Mobile antivirus kan evaluere sikkerheten til Wi-Fi-nettverk som den mobile enheten kobles til. Det kan antas at tilstedeværelsen og styrken til kryptering er kontrollert. Samtidig bruker alle moderne programmer kryptering for å overføre sensitive data. Derfor, hvis et program er sårbart på koblingsnivå, er det også farlig å bruke det gjennom alle Internett-kanaler, og ikke bare gjennom offentlig Wi-Fi.
Derfor er offentlig Wi-Fi, inkludert uten kryptering, ikke mer farlig og ikke mindre sikker enn noen andre upålitelige dataoverføringskanaler uten kryptering.

Spambeskyttelse

Beskyttelse kommer som regel ned på å filtrere innkommende anrop i henhold til en liste spesifisert av brukeren, eller i henhold til en database med kjente spammere som uendelig plager med forsikringer, lån og invitasjoner til teateret. Selv om de ikke ringer under selvisolasjon, begynner de snart igjen. Bare anrop er gjenstand for filtrering. Meldinger på gjeldende Android-enheter filtreres ikke. Med tanke på at spammere regelmessig endrer numrene og umuligheten av å beskytte tekstkanaler (SMS, direktemeldinger), er funksjonaliteten mer av markedsføringsmessig enn praktisk karakter.

Tyverisikring

Utføre fjernhandlinger med en mobilenhet hvis den mistes eller blir stjålet. Et alternativ til Find My iPhone og Find My Device-tjenestene fra henholdsvis Apple og Google. I motsetning til sine motparter, kan ikke tjenestene til antivirusprodusenter blokkere en enhet hvis en angriper har klart å tilbakestille den til fabrikkinnstillingene. Men hvis dette ikke har skjedd ennå, kan du gjøre følgende med enheten eksternt:

  • Blokkere. Beskyttelse mot en enkeltsinnet tyv, fordi det enkelt kan gjøres ved å tilbakestille enheten til fabrikkinnstillinger via gjenoppretting.
  • Finn ut koordinatene til enheten. Nyttig når enheten nylig ble tapt.
  • Slå på et høyt pip for å hjelpe deg med å finne enheten din hvis den er i stille modus.
  • Tilbakestill enheten til fabrikkinnstillingene. Det er fornuftig når brukeren har gjenkjent enheten som uopprettelig tapt, men ikke vil at dataene som er lagret på den skal avsløres.
  • For å lage et bilde. Ta et bilde av angriperen hvis han holder telefonen i hendene. Den mest tvilsomme funksjonaliteten er at sannsynligheten for at en angriper beundrer telefonen i god belysning er lav. Men tilstedeværelsen på enheten av en applikasjon som stille kan kontrollere smarttelefonens kamera, ta bilder og sende dem til serveren gir rimelig bekymring.

Ekstern kommandoutførelse er grunnleggende i ethvert UEM-system. Det eneste som mangler fra dem er fjernfotografering. Dette er en sikker måte å få brukere til å ta batteriene ut av telefonene og legge dem i en Faraday-veske etter endt arbeidsdag.

Tyverisikringsfunksjoner i mobile antivirus er kun tilgjengelig for Android. For iOS er det bare UEM som kan utføre slike handlinger. Det kan bare være én UEM på en iOS-enhet – dette er en arkitektonisk funksjon i iOS.

Funn

  1. En situasjon der en bruker kan installere skadelig programvare på en telefon, er IKKE AKSEPTABLE.
  2. Riktig konfigurert UEM på en bedriftsenhet eliminerer behovet for antivirus.
  3. Hvis 0-dagers sårbarheter i operativsystemet utnyttes, er antiviruset ubrukelig. Den kan bare indikere for administratoren at enheten er sårbar.
  4. Antiviruset kan ikke avgjøre om sårbarheten blir utnyttet. I tillegg til å gi ut en oppdatering for en enhet som produsenten ikke lenger gir ut sikkerhetsoppdateringer for. På det meste er det et år eller to.
  5. Hvis vi ignorerer kravene til regulatorer og markedsføring, er bedriftens mobile antivirus kun nødvendig på Android-enheter, der brukere har tilgang til Google Play og installasjon av programmer fra tredjepartskilder. I andre tilfeller er effektiviteten av å bruke antivirus ikke mer enn en placebo.

Mobile antivirus fungerer ikke

Kilde: www.habr.com

Legg til en kommentar