Szybki rozwój przenośnej elektroniki, a w szczególności smartfonów i tabletów, stworzył wiele nowych wyzwań dla bezpieczeństwa informacji korporacyjnych. Rzeczywiście, jeśli wcześniej całe cyberbezpieczeństwo opierało się na stworzeniu bezpiecznego obwodu i jego późniejszej ochronie, teraz, gdy prawie każdy pracownik korzysta z własnych urządzeń mobilnych do rozwiązywania problemów w pracy, kontrolowanie obwodu bezpieczeństwa stało się bardzo trudne. Dotyczy to zwłaszcza dużych przedsiębiorstw, w których każdy pracownik posiada login i hasło do poczty elektronicznej i innych zasobów firmowych. Często przy zakupie nowego smartfona lub tabletu pracownik przedsiębiorstwa wprowadza na nim swoje dane uwierzytelniające, często zapominając o wylogowaniu się na starym urządzeniu. Nawet jeśli w przedsiębiorstwie jest tylko 5% takich nieodpowiedzialnych pracowników, to bez odpowiedniej kontroli ze strony administratora sytuacja z mobilnym dostępem do serwera pocztowego bardzo szybko zamienia się w prawdziwy bałagan.
Ponadto dość często dochodzi do zgubienia lub kradzieży urządzeń mobilnych, które następnie wykorzystywane są do wyszukiwania obciążających dowodów, a także dostępu do zasobów firmy i danych stanowiących tajemnicę handlową. Zazwyczaj największą szkodę dla cyberbezpieczeństwa firmy powoduje uzyskanie przez atakujących dostępu do poczty e-mail pracownika. Dzięki temu mogą uzyskać dostęp do globalnej listy adresów i kontaktów, do harmonogramu spotkań, w których miał uczestniczyć nieszczęsny pracownik, a także do jego korespondencji. Ponadto osoby atakujące, które uzyskają dostęp do firmowej poczty e-mail, mogą wysyłać wiadomości phishingowe lub e-maile zainfekowane złośliwym oprogramowaniem z zaufanego adresu e-mail. Wszystko to razem daje atakującym praktycznie nieograniczone możliwości przeprowadzania cyberataków, a także wykorzystania socjotechniki do osiągnięcia swoich celów.
Aby monitorować urządzenia mobilne w obszarze bezpieczeństwa, dostępna jest technologia ABQ, czyli Zezwalaj/Blokuj/Kwarantanna. Pozwala administratorowi kontrolować listę urządzeń mobilnych, które mogą synchronizować dane z serwerem pocztowym, a także, jeśli to konieczne, blokować zaatakowane urządzenia i poddać kwarantannie podejrzane urządzenia mobilne.
Jednakże, jak wie każdy administrator darmowej wersji Zimbra Collaboration Suite Open-Source Edition, jej możliwości interakcji z urządzeniami mobilnymi są bardzo ograniczone. Ściśle mówiąc, użytkownicy darmowej wersji Zimbry mogą odbierać i wysyłać e-maile tylko za pośrednictwem protokołu POP3 lub IMAP, bez wbudowanej możliwości synchronizacji danych dziennika, książek adresowych i notatek z serwerem. Technologia ABQ nie jest także zaimplementowana w darmowej wersji Zimbra Collaboration Suite, co automatycznie kładzie kres wszelkim próbom stworzenia zamkniętego obwodu informacyjnego w przedsiębiorstwie. W sytuacji, gdy administrator nie wie, jakie urządzenia łączą się z jego serwerem, w przedsiębiorstwie może dojść do wycieku informacji, a prawdopodobieństwo cyberataku według wcześniej opisanego scenariusza gwałtownie wzrasta.
Modułowe rozszerzenie Zextras Mobile pomoże rozwiązać ten problem w Zimbra Collaboration Suite Open-Source Edition. Rozszerzenie to pozwala na dodanie pełnej obsługi protokołu ActiveSync do darmowej wersji Zimbry i dzięki temu otwiera wiele możliwości interakcji pomiędzy urządzeniami mobilnymi a Twoim serwerem pocztowym. Oprócz wielu innych funkcji, rozszerzenie Zextras Mobile zapewnia pełną obsługę ABQ.
Od razu ostrzegamy, że skoro źle skonfigurowany ABQ może spowodować, że niektórzy użytkownicy nie będą mogli zsynchronizować danych na swoich urządzeniach mobilnych z serwerem, to do kwestii jego konfiguracji należy podejść z najwyższą ostrożnością i rozwagą . ABQ konfiguruje się z poziomu wiersza poleceń Zextras. To z wiersza poleceń konfiguruje się tryb pracy ABQ w Zimbrze, zarządza się także listami urządzeń.
Realizuje się to w następujący sposób: Po zalogowaniu się użytkownika do poczty firmowej na urządzeniu mobilnym, wysyła on na serwer dane autoryzacyjne oraz dane identyfikacyjne swojego urządzenia, które napotyka na przeszkodę w postaci ABQ, który sprawdza identyfikację dane i sprawdza je z tymi, które znajdują się na listach urządzeń dozwolonych, poddanych kwarantannie i blokowanych. Jeśli urządzenia nie ma na żadnej z list, ABQ postępuje z nim zgodnie z trybem, w jakim pracuje.
ABQ w Zimbrze udostępnia trzy tryby działania:
Dozwalający: W tym trybie pracy, po uwierzytelnieniu użytkownika, synchronizacja odbywa się automatycznie po pierwszym żądaniu z urządzenia mobilnego. W tym trybie pracy istnieje możliwość zablokowania poszczególnych urządzeń, natomiast wszyscy pozostali będą mogli swobodnie synchronizować dane z serwerem.
Interaktywny: W tym trybie działania, natychmiast po uwierzytelnieniu użytkownika, system bezpieczeństwa żąda danych identyfikacyjnych urządzenia i porównuje je z listą dozwolonych urządzeń. Jeżeli urządzenie znajduje się na liście dozwolonych, synchronizacja będzie automatycznie kontynuowana. Jeśli tego urządzenia nie ma na białej liście, zostanie ono automatycznie poddane kwarantannie, aby administrator mógł później zdecydować, czy zezwolić temu urządzeniu na synchronizację z serwerem, czy też je zablokować. W takim przypadku do użytkownika zostanie przesłane odpowiednie powiadomienie. Administrator jest informowany regularnie, raz w konfigurowalnym okresie czasu. W takim przypadku każde nowe powiadomienie będzie zawierać wyłącznie nowe urządzenia poddane kwarantannie.
Ścisły: W tym trybie pracy, po uwierzytelnieniu użytkownika, natychmiast sprawdzane jest, czy dane identyfikacyjne urządzenia znajdują się na liście dozwolonych. Jeśli jest tam wymieniony, synchronizacja będzie automatycznie kontynuowana. Jeśli urządzenie nie znajduje się na liście dozwolonych, natychmiast trafia na listę zablokowanych, a użytkownik otrzymuje odpowiednie powiadomienie pocztą.
Ponadto, jeśli jest taka potrzeba, administrator Zimbry może całkowicie wyłączyć ABQ na swoim serwerze pocztowym.
Tryb pracy ABQ konfiguruje się za pomocą poleceń:
globalny zestaw atrybutów konfiguracji zxsuite wartość abqMode Dopuszczalne
globalny zestaw atrybutów konfiguracji zxsuite wartość abqMode Interaktywny
globalny zestaw atrybutów konfiguracji zxsuite wartość abqMode Ścisłe
globalny zestaw atrybutów konfiguracji zxsuite Wartość abqMode Wyłączony
Za pomocą polecenia możesz sprawdzić aktualny tryb pracy ABQ globalna konfiguracja zxsuite pobierz atrybut abqMode.
Jeśli używasz interaktywnych lub rygorystycznych trybów pracy ABQ, często będziesz musiał pracować z listami dozwolonych, blokowanych i poddanych kwarantannie urządzeń. Załóżmy, że do naszego serwera podłączone są dwa urządzenia: jeden iPhone i jeden Android z odpowiednimi danymi identyfikacyjnymi. Później okazuje się, że dyrektor generalny przedsiębiorstwa kupił niedawno iPhone'a i postanowił pracować na nim z pocztą, a Android należy do zwykłego menedżera, który ze względów bezpieczeństwa nie ma prawa korzystać z poczty służbowej na smartfonie.
W przypadku trybu interaktywnego wszystkie zostaną poddane kwarantannie, skąd administrator będzie musiał przenieść iPhone'a na listę dozwolonych urządzeń, a Androida na listę zablokowanych. W tym celu używa poleceń zxsuite mobile abq pozwala na korzystanie z iPhone'a и zxsuite mobile abq blokuje Androida. Po tym dyrektor generalny będzie mógł w pełni pracować z pocztą na swoich urządzeniach, podczas gdy menedżer nadal będzie musiał przeglądać ją wyłącznie na swoim służbowym laptopie.
Warto zaznaczyć, że korzystając z trybu Interaktywnego, nawet jeśli menadżer wprowadzi poprawnie swoją nazwę użytkownika i hasło na swoim urządzeniu z Androidem, to i tak nie uzyska dostępu do swojego konta, lecz wejdzie do wirtualnej skrzynki pocztowej, na którą otrzyma powiadomienie, że jego urządzenie zostało dodane do kwarantanny i nie będzie mógł korzystać z poczty.
W przypadku trybu ścisłego wszystkie nowe urządzenia zostaną zablokowane, a po ustaleniu do kogo należały, administratorowi pozostanie jedynie dodanie iPhone'a CEO do listy dozwolonych urządzeń za pomocą polecenia zxsuite mobile ABQ ustaw iPhone'a Dozwolone, zostawiając tam numer telefonu do menadżera.
Zezwalający tryb działania jest słabo kompatybilny z wszelkimi zasadami bezpieczeństwa obowiązującymi w przedsiębiorstwie, jeśli jednak nadal istnieje potrzeba blokowania któregoś z dozwolonych urządzeń mobilnych, np. gdy menadżer nagle odchodzi ze względu na skandal, można to zrobić za pomocą Komenda zxsuite mobile ABQ ustaw Androida zablokowany.
Jeśli przedsiębiorstwo udostępnia pracownikom gadżety serwisowe do pracy z pocztą, to przy kolejnej zmianie właściciela urządzenie będzie można całkowicie usunąć z list ABQ, aby później ponownie zdecydować, czy zezwolić mu na synchronizację z serwerem, czy nie. Odbywa się to za pomocą polecenia zxsuite mobile ABQ usuń Androida.
Tym samym, jak widać, za pomocą rozszerzenia Zextras Mobile w Zimbrze można wdrożyć bardzo elastyczny system monitorowania używanych urządzeń mobilnych, odpowiedni zarówno dla przedsiębiorstw posiadających dość rygorystyczną politykę dotyczącą korzystania z zasobów korporacyjnych poza biurem oraz dla tych firm, które są dość liberalne w korzystaniu z urządzeń mobilnych w tym zakresie.
Źródło: www.habr.com