Dezvoltarea rapidă a electronicelor portabile și, în special, a smartphone-urilor și a tabletelor, a creat o mulțime de noi provocări pentru securitatea informațiilor corporative. Într-adevăr, dacă înainte toată securitatea cibernetică se baza pe crearea unui perimetru securizat și protecția lui ulterioară, acum, când aproape fiecare angajat își folosește propriile dispozitive mobile pentru a rezolva problemele de serviciu, a devenit foarte dificil să controlezi perimetrul de securitate. Acest lucru este valabil mai ales pentru întreprinderile mari, în care fiecare angajat are o autentificare și o parolă pentru e-mail și alte resurse corporative. Adesea, atunci când achiziționează un nou smartphone sau o tabletă, un angajat al întreprinderii își introduce acreditările pe acesta, uitând adesea să se deconecteze de pe vechiul dispozitiv. Chiar dacă într-o întreprindere există doar 5% dintre astfel de angajați iresponsabili, fără un control adecvat de către administrator, situația cu accesul dispozitivelor mobile la serverul de mail se transformă foarte repede într-o adevărată mizerie.
În plus, destul de des dispozitivele mobile sunt pierdute sau furate și, ulterior, sunt folosite pentru a căuta probe incriminatorii, precum și pentru accesul la resurse corporative și la datele secrete comerciale. De obicei, cel mai mare prejudiciu adus securității cibernetice corporative vine din cauza accesului atacatorilor la e-mailul unui angajat. Datorită acesteia, ei pot avea acces la o listă globală de adrese și contacte, la programul întâlnirilor la care trebuia să participe nefericitul angajat, precum și la corespondența acestuia. În plus, atacatorii care obțin acces la e-mailul corporativ pot trimite e-mailuri de phishing sau e-mailuri infectate cu programe malware de la o adresă de e-mail de încredere. Toate acestea împreună oferă atacatorilor oportunități practic nelimitate de a efectua atacuri cibernetice, precum și de a folosi ingineria socială pentru a-și atinge obiectivele.
Pentru a monitoriza dispozitivele mobile în perimetrul de securitate, există tehnologia ABQ sau Allow/Block/Carantine. Acesta permite administratorului să controleze lista de dispozitive mobile cărora li se permite să sincronizeze datele cu serverul de e-mail și, dacă este necesar, să blocheze dispozitivele compromise și să pună în carantină dispozitivele mobile suspecte.
Cu toate acestea, după cum știe orice administrator al versiunii gratuite a Zimbra Collaboration Suite Open-Source Edition, capacitatea sa de a interacționa cu dispozitivele mobile este foarte limitată. Strict vorbind, utilizatorii versiunii gratuite de Zimbra pot primi și trimite e-mailuri numai prin protocolul POP3 sau IMAP, fără a avea capacitatea încorporată de a sincroniza jurnalul, agendele și datele notelor cu serverul. De asemenea, tehnologia ABQ nu este implementată în versiunea gratuită a Zimbra Collaboration Suite, care pune capăt automat tuturor încercărilor de a crea un perimetru informațional închis în întreprindere. În condițiile în care administratorul nu știe ce dispozitive se conectează la serverul său, în întreprindere pot apărea scurgeri de informații, iar probabilitatea unui atac cibernetic conform scenariului descris anterior crește brusc.
Extensia modulară Zextras Mobile va ajuta la rezolvarea acestei probleme în Zimbra Collaboration Suite Open-Source Edition. Această extensie vă permite să adăugați suport complet pentru protocolul ActiveSync la versiunea gratuită a Zimbra și, datorită acesteia, deschide o mulțime de posibilități de interacțiune între dispozitivele mobile și serverul dvs. de e-mail. Printre diverse alte caracteristici, extensia Zextras Mobile vine cu suport complet ABQ.
Permiteți-ne să vă avertizăm imediat că, deoarece un ABQ configurat incorect poate duce la faptul că unii utilizatori nu vor putea sincroniza datele de pe dispozitivele lor mobile cu serverul, trebuie să abordați problema configurării cu cea mai mare grijă și precauție. . ABQ este configurat din linia de comandă Zextras. Pe linia de comandă este configurat modul de operare ABQ în Zimbra, iar listele de dispozitive sunt, de asemenea, gestionate.
Este implementat după cum urmează: după ce utilizatorul se conectează la e-mailul corporativ de pe un dispozitiv mobil, el trimite date de autorizare către server, precum și datele de identificare ale dispozitivului său, care întâmpină un obstacol sub forma ABQ, care privește identificarea date și le verifică cu cele , care se află în listele de dispozitive permise, puse în carantină și blocate. Dacă dispozitivul nu se află în niciuna dintre liste, atunci ABQ se ocupă de el în conformitate cu modul în care funcționează.
ABQ în Zimbra oferă trei moduri de funcționare:
Permisiv: În acest mod de operare, după autentificarea utilizatorului, sincronizarea se realizează automat la prima solicitare de la un dispozitiv mobil. În acest mod de operare, este posibil să blocați dispozitivele individuale, dar toți ceilalți vor putea să sincronizeze liber datele cu serverul.
Interactiv: În acest mod de operare, imediat după autentificarea utilizatorului, sistemul de securitate solicită datele de identificare a dispozitivului și le compară cu lista de dispozitive permise. Dacă dispozitivul se află pe lista permise, sincronizarea continuă automat. Dacă acest dispozitiv nu se află pe lista albă, va fi pus automat în carantină, astfel încât administratorul să poată decide ulterior dacă permite acestui dispozitiv să se sincronizeze cu serverul sau să îl blocheze. În acest caz, o notificare corespunzătoare va fi trimisă utilizatorului. Administratorul este informat în mod regulat, o dată într-o perioadă de timp configurabilă. În acest caz, fiecare notificare nouă va conține doar dispozitive noi aflate în carantină.
Strict: În acest mod de operare, după autentificarea utilizatorului, se face imediat o verificare pentru a vedea dacă datele de identificare ale dispozitivului sunt în lista permisă. Dacă este listat acolo, sincronizarea continuă automat. Dacă un dispozitiv nu se află în lista permisă, acesta trece imediat în lista blocată, iar utilizatorul primește o notificare corespunzătoare prin poștă.
De asemenea, dacă dorește, administratorul Zimbra poate dezactiva complet ABQ pe serverul său de e-mail.
Modul de operare ABQ este configurat folosind comenzile:
zxsuite config global set attribute abqMode value Permisiv
zxsuite config global set attribute abqMode value Interactiv
zxsuite config global set attribute abqMode value Strict
zxsuite config global set attribute abqMode value Dezactivat
Puteți afla modul de operare curent al ABQ folosind comanda zxsuite config global get attribute abqMode.
Dacă utilizați moduri de operare interactive sau stricte ABQ, va trebui adesea să lucrați cu liste de dispozitive permise, blocate și puse în carantină. Să presupunem că două dispozitive sunt conectate la serverul nostru: unul iPhone și unul Android cu datele de identificare corespunzătoare. Mai târziu, se dovedește că directorul general al întreprinderii a achiziționat recent un iPhone și a decis să lucreze cu e-mailul pe acesta, iar Android aparține unui manager obișnuit care nu are dreptul de a utiliza corespondența de serviciu pe un smartphone din motive de securitate.
În cazul modului Interactiv, toate vor fi puse în carantină, de unde administratorul va trebui să mute iPhone-ul în lista de dispozitive permise, iar Android-ul în lista celor blocate. Pentru a face acest lucru, el folosește comenzile zxsuite mobile abq permite iPhone и zxsuite mobil abq bloc Android. După aceasta, CEO-ul va putea lucra pe deplin cu e-mailul de pe dispozitivele sale, în timp ce managerul va trebui totuși să-l vizualizeze exclusiv de pe laptopul său de serviciu.
Este de remarcat faptul că atunci când folosește modul Interactiv, chiar dacă managerul își introduce numele de utilizator și parola corect pe dispozitivul său Android, tot nu va avea acces la contul său, ci va intra într-o cutie poștală virtuală în care va primi o notificare că dispozitivul său a fost adăugat în carantină și nu va putea folosi e-mailul din acesta.
În cazul modului strict, toate dispozitivele noi vor fi blocate și după ce se va afla cui aparțin, administratorul va trebui doar să adauge iPhone-ul CEO-ului la lista de dispozitive permise folosind comanda zxsuite mobile ABQ set iPhone Permis, lăsând acolo numărul de telefon al managerului.
Modul permisiv de funcționare este slab compatibil cu orice reguli de securitate la nivel de întreprindere, cu toate acestea, dacă există încă necesitatea de a bloca oricare dintre dispozitivele mobile permise, de exemplu, dacă un manager renunță brusc la un scandal, acest lucru se poate face folosind comanda zxsuite mobile ABQ set Android blocat.
Dacă o întreprindere oferă angajaților gadgeturi de serviciu pentru lucrul cu poșta, atunci data viitoare când proprietarul său se schimbă, dispozitivul poate fi eliminat complet din listele ABQ pentru a decide ulterior dacă îi permite să se sincronizeze cu serverul sau nu. Acest lucru se face folosind comanda zxsuite mobile ABQ șterge Android.
Astfel, după cum puteți vedea, cu ajutorul extensiei Zextras Mobile din Zimbra, puteți implementa un sistem foarte flexibil de monitorizare a dispozitivelor mobile utilizate, potrivit ambelor întreprinderi cu o politică destul de strictă în ceea ce privește utilizarea resurselor corporative în afara biroului. , și pentru acele companii care sunt destul de liberale în utilizarea dispozitivelor mobile în acest sens.
Sursa: www.habr.com