Rýchly rozvoj prenosnej elektroniky a najmä smartfónov a tabletov vytvoril množstvo nových výziev pre firemnú informačnú bezpečnosť. Ak totiž predtým bola všetka kybernetická bezpečnosť založená na vytvorení bezpečného perimetra a jeho následnej ochrane, v súčasnosti, keď takmer každý zamestnanec používa svoje vlastné mobilné zariadenia na riešenie pracovných problémov, je veľmi ťažké kontrolovať bezpečnostný perimeter. Platí to najmä pre veľké podniky, v ktorých má každý zamestnanec prihlasovacie meno a heslo pre e-mail a iné podnikové zdroje. Pri kúpe nového smartfónu alebo tabletu doň zamestnanec podniku často zadá svoje prihlasovacie údaje a často sa zabudne odhlásiť na starom zariadení. Aj keď je v podniku len 5 % takýchto nezodpovedných zamestnancov, bez riadnej kontroly zo strany správcu sa situácia s prístupom mobilného zariadenia na mail server veľmi rýchlo zmení na poriadny chaos.
Okrem toho sa pomerne často mobilné zariadenia stratia alebo ukradnú a následne sa používajú na vyhľadávanie usvedčujúcich dôkazov, ako aj na prístup k podnikovým zdrojom a údajom o obchodnom tajomstve. Najväčšie škody na firemnej kybernetickej bezpečnosti zvyčajne spôsobujú útočníci, ktorí získajú prístup k e-mailu zamestnanca. Vďaka tomu môžu získať prístup ku globálnemu zoznamu adries a kontaktov, k harmonogramu stretnutí, ktorých sa mal nešťastný zamestnanec zúčastniť, ako aj k jeho korešpondencii. Útočníci, ktorí získajú prístup k firemnému e-mailu, môžu navyše odosielať e-maily typu phishing alebo e-maily infikované škodlivým softvérom z dôveryhodnej e-mailovej adresy. To všetko dohromady dáva útočníkom prakticky neobmedzené možnosti vykonávať kybernetické útoky, ako aj využívať sociálne inžinierstvo na dosiahnutie svojich cieľov.
Na monitorovanie mobilných zariadení v rámci bezpečnostného perimetra existuje technológia ABQ alebo Povoliť/Zablokovať/Karanténa. Umožňuje správcovi kontrolovať zoznam mobilných zariadení, ktoré majú povolené synchronizovať údaje s poštovým serverom, a v prípade potreby blokovať napadnuté zariadenia a umiestniť podozrivé mobilné zariadenia do karantény.
Ako však každý správca bezplatnej verzie Zimbra Collaboration Suite Open-Source Edition vie, jej schopnosť interakcie s mobilnými zariadeniami je veľmi obmedzená. Presne povedané, používatelia bezplatnej verzie Zimbra môžu prijímať a odosielať e-maily iba prostredníctvom protokolu POP3 alebo IMAP bez toho, aby mali vstavanú možnosť synchronizácie údajov denníka, adresára a poznámok so serverom. Technológia ABQ nie je implementovaná ani v bezplatnej verzii Zimbra Collaboration Suite, ktorá automaticky ukončuje všetky pokusy o vytvorenie uzavretého informačného perimetra v podniku. V podmienkach, keď správca nevie, ktoré zariadenia sa pripájajú k jeho serveru, môže dôjsť k úniku informácií v podniku a pravdepodobnosť kybernetického útoku podľa vyššie opísaného scenára sa prudko zvýši.
Modulárne rozšírenie Zextras Mobile pomôže vyriešiť tento problém v Zimbra Collaboration Suite Open-Source Edition. Toto rozšírenie vám umožňuje pridať plnú podporu protokolu ActiveSync do bezplatnej verzie Zimbra a vďaka tomu otvára množstvo možností pre interakciu medzi mobilnými zariadeniami a vaším poštovým serverom. Okrem rôznych ďalších funkcií prichádza rozšírenie Zextras Mobile s plnou podporou ABQ.
Okamžite vás upozorníme, že keďže nesprávne nakonfigurované ABQ môže viesť k tomu, že niektorí používatelia nebudú môcť synchronizovať údaje na svojich mobilných zariadeniach so serverom, musíte k otázke nastavenia pristupovať s maximálnou starostlivosťou a opatrnosťou. . ABQ sa konfiguruje z príkazového riadku Zextras. Na príkazovom riadku sa konfiguruje prevádzkový režim ABQ v Zimbre a spravujú sa aj zoznamy zariadení.
Realizuje sa nasledovne: Používateľ po prihlásení do firemnej pošty na mobilnom zariadení odošle na server autorizačné údaje, ako aj identifikačné údaje svojho zariadenia, ktoré narazí na prekážku v podobe ABQ, ktoré sa pozrie na identifikáciu. údaje a skontroluje ich s tými, ktoré sú v zoznamoch povolených, karanténnych a blokovaných zariadení. Ak sa zariadenie nenachádza v žiadnom zo zoznamov, ABQ sa ním zaoberá v súlade s režimom, v ktorom pracuje.
ABQ v Zimbre ponúka tri režimy prevádzky:
Povoľný: V tomto režime prevádzky sa po overení používateľa synchronizácia vykoná automaticky pri prvej požiadavke z mobilného zariadenia. V tomto prevádzkovom režime je možné blokovať jednotlivé zariadenia, ale všetci ostatní budú môcť ľubovoľne synchronizovať dáta so serverom.
Interaktívne: V tomto režime prevádzky si bezpečnostný systém ihneď po autentifikácii používateľa vyžiada identifikačné údaje zariadenia a porovná ich so zoznamom povolených zariadení. Ak je zariadenie na zozname povolených, synchronizácia automaticky pokračuje. Ak toto zariadenie nie je na bielej listine, bude automaticky umiestnené do karantény, aby sa správca mohol neskôr rozhodnúť, či tomuto zariadeniu povolí synchronizáciu so serverom alebo ho zablokuje. V tomto prípade bude používateľovi zaslané príslušné upozornenie. Správca je informovaný pravidelne, raz za nastaviteľné časové obdobie. V tomto prípade bude každé nové oznámenie obsahovať iba nové zariadenia v karanténe.
Prísne: V tomto režime prevádzky sa po overení používateľa okamžite skontroluje, či sú identifikačné údaje zariadenia v zozname povolených. Ak je tam uvedený, synchronizácia automaticky pokračuje. Ak zariadenie nie je na zozname povolených, okamžite prejde do zoznamu blokovaných a používateľ dostane príslušné upozornenie poštou.
Ak je to potrebné, správca Zimbry môže tiež úplne zakázať ABQ na svojom poštovom serveri.
Prevádzkový režim ABQ sa konfiguruje pomocou príkazov:
zxsuite config globálne nastavenie atribútu abqMode hodnota Permisívne
zxsuite config global set atribút abqMode value Interactive
zxsuite config globálne nastavenie atribútu abqMode hodnota Strict
zxsuite config global set atribút abqMode value Disabled
Aktuálny prevádzkový režim ABQ zistíte pomocou príkazu zxsuite config global získať atribút abqMode.
Ak používate interaktívne alebo prísne prevádzkové režimy ABQ, často budete musieť pracovať so zoznamami povolených, blokovaných a karanténnych zariadení. Predpokladajme, že k nášmu serveru sú pripojené dve zariadenia: jeden iPhone a jeden Android s príslušnými identifikačnými údajmi. Neskôr sa ukázalo, že generálny riaditeľ podniku si nedávno kúpil iPhone a rozhodol sa na ňom pracovať s poštou a Android patrí obyčajnému manažérovi, ktorý z bezpečnostných dôvodov nemá právo používať pracovnú poštu na smartfóne.
V prípade interaktívneho režimu budú všetky v karanténe, odkiaľ bude musieť správca presunúť iPhone do zoznamu povolených zariadení a Android do zoznamu blokovaných. Na to používa príkazy zxsuite mobile abq umožňujú iPhone и zxsuite mobile abq block Android. Potom bude môcť generálny riaditeľ plnohodnotne pracovať s poštou zo svojich zariadení, pričom manažér si ju bude musieť stále prezerať výlučne zo svojho pracovného notebooku.
Stojí za zmienku, že pri používaní interaktívneho režimu, aj keď manažér správne zadá svoje používateľské meno a heslo na svojom zariadení s Androidom, stále nezíska prístup k svojmu účtu, ale vstúpi do virtuálnej schránky, v ktorej dostane upozornenie, že jeho zariadenie bolo pridané do karantény a nebude môcť z neho používať poštu.
V prípade prísneho režimu budú všetky nové zariadenia zablokované a po zistení, komu patrili, bude musieť administrátor iba pridať iPhone CEO do zoznamu povolených zariadení pomocou príkazu zxsuite mobile ABQ set iPhone povolený, pričom tam necháte telefónne číslo manažéra.
Permisívny režim prevádzky je zle kompatibilný s akýmikoľvek bezpečnostnými pravidlami v podniku, ak však stále existuje potreba blokovať niektoré z povolených mobilných zariadení, napríklad ak manažér náhle skončí so škandálom, možno to urobiť pomocou príkaz zxsuite mobile ABQ set Android Blocked.
Ak podnik poskytuje zamestnancom moduly gadget na prácu s poštou, potom pri ďalšej zmene vlastníka môže byť zariadenie úplne odstránené zo zoznamov ABQ, aby sa neskôr mohlo znova rozhodnúť, či mu povolí synchronizáciu so serverom alebo nie. To sa vykonáva pomocou príkazu zxsuite mobile ABQ odstrániť Android.
Ako teda vidíte, pomocou rozšírenia Zextras Mobile v Zimbre môžete implementovať veľmi flexibilný systém na monitorovanie používaných mobilných zariadení, vhodný pre oba podniky s pomerne prísnou politikou využívania firemných zdrojov mimo kancelárie. a pre tie spoločnosti, ktoré sú v tomto smere dosť liberálne v používaní mobilných zariadení.
Zdroj: hab.com