Hiter razvoj prenosne elektronike, še posebej pametnih telefonov in tablic, je ustvaril veliko novih izzivov za korporativno informacijsko varnost. Dejansko, če je prej vsa kibernetska varnost temeljila na ustvarjanju varnega perimetra in njegovi kasnejši zaščiti, je zdaj, ko skoraj vsak zaposleni uporablja svoje mobilne naprave za reševanje delovnih težav, postalo zelo težko nadzorovati varnostni mej. To še posebej velja za velika podjetja, v katerih ima vsak zaposleni prijavo in geslo za e-pošto in druge korporativne vire. Pogosto pri nakupu novega pametnega telefona ali tabličnega računalnika zaposleni v podjetju vanj vnese svoje poverilnice, pri čemer se pogosto pozabi odjaviti na stari napravi. Tudi če je takšnih neodgovornih zaposlenih v podjetju le 5 %, se brez ustreznega skrbniškega nadzora situacija z dostopom mobilne naprave do poštnega strežnika zelo hitro sprevrže v pravo zmešnjavo.
Poleg tega se mobilne naprave pogosto izgubijo ali ukradejo in se nato uporabijo za iskanje obremenilnih dokazov, pa tudi za dostop do virov podjetja in podatkov o poslovnih skrivnostih. Običajno največjo škodo kibernetski varnosti podjetja povzročijo napadalci, ki pridobijo dostop do e-pošte zaposlenega. Zahvaljujoč temu lahko dobijo dostop do globalnega seznama naslovov in kontaktov, do urnika sestankov, na katerih naj bi sodeloval nesrečni uslužbenec, pa tudi do njegove korespondence. Poleg tega lahko napadalci, ki pridobijo dostop do poslovne e-pošte, pošiljajo lažna e-poštna sporočila ali e-poštna sporočila, okužena z zlonamerno programsko opremo, z zaupanja vrednega e-poštnega naslova. Vse to skupaj daje napadalcem tako rekoč neomejene možnosti izvajanja kibernetskih napadov, pa tudi uporabe socialnega inženiringa za doseganje svojih ciljev.
Za spremljanje mobilnih naprav znotraj varnostnega perimetra obstaja tehnologija ABQ ali Dovoli/Blokiraj/Karantena. Skrbniku omogoča nadzor nad seznamom mobilnih naprav, ki jim je dovoljena sinhronizacija podatkov s poštnim strežnikom, in po potrebi blokiranje ogroženih naprav in sumljive mobilne naprave v karanteno.
Vendar, kot ve vsak skrbnik brezplačne različice Zimbra Collaboration Suite Open-Source Edition, je njena zmožnost interakcije z mobilnimi napravami zelo omejena. Strogo gledano lahko uporabniki brezplačne različice Zimbre prejemajo in pošiljajo e-pošto le prek protokola POP3 ali IMAP, ne da bi imeli vgrajeno možnost sinhronizacije podatkov dnevnikov, imenikov in zapiskov s strežnikom. Tehnologija ABQ tudi ni implementirana v brezplačni različici Zimbra Collaboration Suite, kar samodejno konča vse poskuse ustvarjanja zaprtega informacijskega perimetra v podjetju. V pogojih, ko administrator ne ve, katere naprave se povezujejo z njegovim strežnikom, lahko pride do uhajanja informacij v podjetju in verjetnost kibernetskega napada po prej opisanem scenariju se močno poveča.
Modularna razširitev Zextras Mobile bo pomagala rešiti to težavo v odprtokodni izdaji Zimbra Collaboration Suite. Ta razširitev vam omogoča dodajanje polne podpore za protokol ActiveSync v brezplačno različico Zimbre in zahvaljujoč temu odpira veliko možnosti za interakcijo med mobilnimi napravami in vašim poštnim strežnikom. Med različnimi drugimi funkcijami ima razširitev Zextras Mobile popolno podporo za ABQ.
Naj vas takoj opozorimo, ker lahko nepravilno nastavljen ABQ povzroči, da nekateri uporabniki ne bodo mogli sinhronizirati podatkov na svojih mobilnih napravah s strežnikom, morate k vprašanju nastavitve pristopiti z največjo skrbnostjo in previdnostjo. . ABQ se konfigurira iz ukazne vrstice Zextras. V ukazni vrstici se konfigurira način delovanja ABQ v Zimbri, upravljajo pa se tudi seznami naprav.
Izvedeno je na naslednji način: Ko se uporabnik prijavi v korporativno pošto na mobilni napravi, strežniku pošlje avtorizacijske podatke ter identifikacijske podatke svoje naprave, ki naleti na oviro v obliki ABQ, ki gleda na identifikacijo. podatke in jih preveri s tistimi, ki so na seznamih dovoljenih, karantenskih in blokiranih naprav. Če naprave ni na nobenem od seznamov, jo ABQ obravnava v skladu z načinom, v katerem deluje.
ABQ v Zimbri omogoča tri načine delovanja:
Permisivno: V tem načinu delovanja se po avtentikaciji uporabnika sinhronizacija izvede samodejno ob prvi zahtevi mobilne naprave. V tem načinu delovanja je možno blokirati posamezne naprave, vsi ostali pa bodo lahko prosto sinhronizirali podatke s strežnikom.
Interaktiven: V tem načinu delovanja takoj po avtentikaciji uporabnika varnostni sistem zahteva identifikacijske podatke naprave in jih primerja s seznamom dovoljenih naprav. Če je naprava na seznamu dovoljenih, se sinhronizacija samodejno nadaljuje. Če te naprave ni na belem seznamu, bo samodejno postavljena v karanteno, tako da se lahko skrbnik pozneje odloči, ali bo tej napravi dovolil sinhronizacijo s strežnikom ali jo blokiral. V tem primeru bo uporabniku poslano ustrezno obvestilo. Administrator je obveščen redno, enkrat v nastavljivem časovnem obdobju. V tem primeru bo vsako novo obvestilo vsebovalo samo nove naprave v karanteni.
Strogo: V tem načinu delovanja se po avtentifikaciji uporabnika takoj preveri, ali so identifikacijski podatki naprave na seznamu dovoljenih. Če je tam navedeno, se sinhronizacija samodejno nadaljuje. Če naprava ni na seznamu dovoljenih, gre takoj na seznam blokiranih, uporabnik pa prejme ustrezno obvestilo po pošti.
Po želji lahko skrbnik Zimbre popolnoma onemogoči ABQ na svojem poštnem strežniku.
Način delovanja ABQ se konfigurira z ukazi:
zxsuite config global set atribut abqMode value Permissive
zxsuite config global set atribut abqMode value Interactive
zxsuite config global set atribut abqMode vrednost Strict
zxsuite config global set atribut abqMode vrednost Onemogočeno
Trenutni način delovanja ABQ lahko ugotovite z ukazom zxsuite config global get atribut abqMode.
Če uporabljate interaktivne ali stroge načine delovanja ABQ, boste pogosto morali delati s seznami dovoljenih, blokiranih in naprav v karanteni. Predpostavimo, da sta na naš strežnik povezani dve napravi: en iPhone in en Android z ustreznimi identifikacijskimi podatki. Kasneje se izkaže, da je generalni direktor podjetja pred kratkim kupil iPhone in se odločil, da bo na njem delal s pošto, Android pa pripada navadnemu upravitelju, ki iz varnostnih razlogov nima pravice uporabljati službene pošte na pametnem telefonu.
V primeru interaktivnega načina bodo vsi v karanteni, od koder bo skrbnik moral iPhone premakniti na seznam dovoljenih naprav, Android pa na seznam blokiranih. Za to uporablja ukaze zxsuite mobile abq omogoča iPhone и zxsuite mobile abq block Android. Po tem bo generalni direktor lahko v celoti delal s pošto iz svojih naprav, vodja pa jo bo moral še vedno pregledovati izključno s svojega službenega prenosnika.
Omeniti velja, da pri uporabi interaktivnega načina, tudi če upravitelj pravilno vnese svoje uporabniško ime in geslo na svoji napravi Android, še vedno ne bo imel dostopa do svojega računa, temveč bo vstopil v virtualni poštni predal, v katerega bo prejel obvestilo, da njegova naprava je bila dodana v karanteno in ne bo mogel uporabljati pošte z nje.
V primeru strogega načina bodo vse nove naprave blokirane in ko bo ugotovljeno, čigave so, bo skrbnik moral le dodati iPhone direktorja na seznam dovoljenih naprav z ukazom zxsuite mobile ABQ set iPhone Dovoljeno, kjer pusti telefonsko številko upravitelja.
Permisivni način delovanja je slabo združljiv s kakršnimi koli varnostnimi pravili v podjetju, če pa še vedno obstaja potreba po blokiranju katere od dovoljenih mobilnih naprav, na primer, če vodja nenadoma odpove zaradi škandala, lahko to storite z ukaz zxsuite mobile ABQ set Android Blocked.
Če podjetje zaposlenim zagotovi storitvene pripomočke za delo s pošto, lahko napravo ob naslednji spremembi lastnika popolnoma odstranite s seznamov ABQ, da se pozneje znova odločite, ali ji dovolite sinhronizacijo s strežnikom ali ne. To se naredi z ukazom zxsuite mobile ABQ izbriši Android.
Tako lahko, kot lahko vidite, s pomočjo razširitve Zextras Mobile v Zimbri implementirate zelo prilagodljiv sistem za spremljanje uporabljenih mobilnih naprav, ki je primeren tako za podjetja z dokaj strogo politiko glede uporabe korporativnih virov zunaj pisarne. , in za tista podjetja, ki so v zvezi s tem precej liberalna pri uporabi mobilnih naprav.
Vir: www.habr.com