Брз развој преносиве електронике, а посебно паметних телефона и таблета, створио је много нових изазова за корпоративну информатичку безбедност. Заиста, ако се раније сва сајбер безбедност заснивала на стварању безбедног периметра и његовој накнадној заштити, сада, када скоро сваки запослени користи сопствене мобилне уређаје за решавање радних проблема, постало је веома тешко контролисати безбедносни периметар. Ово посебно важи за велика предузећа, у којима сваки запослени има логин и лозинку за е-пошту и друге корпоративне ресурсе. Често, приликом куповине новог паметног телефона или таблета, запослени у предузећу унесе своје акредитиве на њега, често заборављајући да се одјави на старом уређају. Чак и ако у предузећу има само 5% овако неодговорних запослених, без одговарајуће контроле администратора, ситуација са приступом мејл серверу мобилног уређаја врло брзо се претвара у прави хаос.
Поред тога, прилично често се мобилни уређаји изгубе или украду, а затим се користе за тражење инкриминишућих доказа, као и за приступ корпоративним ресурсима и подацима о пословној тајни. Типично, највећа штета по корпоративну сајбер безбедност долази од тога што нападачи добију приступ е-пошти запосленог. Захваљујући томе, они могу да добију приступ глобалној листи адреса и контаката, распореду састанака на којима је несрећни запосленик требало да учествује, као и његовој преписци. Поред тога, нападачи који добију приступ корпоративној е-пошти могу да шаљу е-поруке за „пецање“ или е-поруке заражене малвером са поуздане адресе е-поште. Све ово заједно даје нападачима практично неограничене могућности да изврше сајбер нападе, као и да користе друштвени инжењеринг за постизање својих циљева.
За праћење мобилних уређаја унутар безбедносног периметра, постоји АБК технологија или Дозволи/Блокирај/Карантин. Омогућава администратору да контролише листу мобилних уређаја којима је дозвољено да синхронизују податке са сервером поште и, ако је потребно, блокира компромитоване уређаје и ставља у карантин сумњиве мобилне уређаје.
Међутим, као што сваки администратор бесплатне верзије Зимбра Цоллаборатион Суите Опен-Соурце Едитион зна, његова способност интеракције са мобилним уређајима је веома ограничена. Строго говорећи, корисници бесплатне верзије Зимбре могу само да примају и шаљу мејлове преко ПОП3 или ИМАП протокола, без уграђене могућности да синхронизују податке из дневника, адресара и белешки са сервером. Технологија АБК такође није имплементирана у бесплатној верзији Зимбра Цоллаборатион Суите, што аутоматски ставља тачку на све покушаје стварања затвореног информационог периметра у предузећу. У условима када администратор не зна који уређаји се повезују на његов сервер, може доћи до цурења информација у предузећу, а вероватноћа сајбер напада према претходно описаном сценарију нагло расте.
Модуларно проширење Зектрас Мобиле ће помоћи у решавању овог проблема у Зимбра Цоллаборатион Суите Опен-Соурце издању. Ово проширење вам омогућава да бесплатној верзији Зимбре додате пуну подршку за АцтивеСинц протокол и, захваљујући томе, отвара много могућности за интеракцију између мобилних уређаја и вашег сервера поште. Између разних других функција, екстензија Зектрас Мобиле долази са пуном подршком за АБК.
Одмах да вас упозоримо да, пошто погрешно конфигурисан АБК може довести до тога да неки корисници неће моћи да синхронизују податке на својим мобилним уређајима са сервером, потребно је да приступите питању његовог подешавања са највећом пажњом и опрезом. . АБК се конфигурише из командне линије Зектрас. На командној линији се конфигурише АБК режим рада у Зимбри, а такође се управља листама уређаја.
Реализује се на следећи начин: Након што се корисник пријави у корпоративну пошту на мобилном уређају, он серверу шаље ауторизационе податке, као и идентификационе податке свог уређаја, који наилази на препреку у виду АБК, који гледа на идентификацију. податке и проверава их са оним , који се налазе на листама дозвољених, у карантину и блокираних уређаја. Ако се уређај не налази ни на једној листи, онда АБК поступа са њим у складу са режимом у коме ради.
АБК у Зимбри нуди три начина рада:
Пермиссиве: У овом режиму рада, након аутентификације корисника, синхронизација се врши аутоматски на први захтев са мобилног уређаја. У овом режиму рада могуће је блокирати појединачне уређаје, али ће сви остали моћи слободно да синхронизују податке са сервером.
Интерацтиве: У овом режиму рада, одмах након аутентификације корисника, сигурносни систем захтева идентификационе податке уређаја и упоређује их са листом дозвољених уређаја. Ако се уређај налази на листи дозвољених, синхронизација се аутоматски наставља. Ако овај уређај није на белој листи, аутоматски ће бити стављен у карантин како би администратор касније могао да одлучи да ли да дозволи синхронизацију овог уређаја са сервером или да га блокира. У том случају, кориснику ће бити послато одговарајуће обавештење. Администратор се редовно обавештава, једном у подесивом временском периоду. У овом случају, свако ново обавештење ће садржати само нове уређаје у карантину.
Строги: У овом режиму рада, након аутентификације корисника, одмах се проверава да ли се идентификациони подаци уређаја налазе на листи дозвољених. Ако је тамо наведено, синхронизација се аутоматски наставља. Ако уређај није на листи дозвољених, он одмах прелази на листу блокираних, а корисник добија одговарајуће обавештење поштом.
Такође, по жељи, Зимбра администратор може потпуно онемогућити АБК на свом серверу поште.
АБК режим рада се конфигурише помоћу команди:
зксуите цонфиг глобални сет атрибут абкМоде вредност Пермиссиве
зксуите цонфиг глобални сет атрибут абкМоде вредност Интерактиван
зксуите цонфиг глобални сет атрибут абкМоде вредност Строго
зксуите цонфиг глобални сет атрибут абкМоде вредност Онемогућено
Можете сазнати тренутни режим рада АБК користећи команду зксуите цонфиг глобал гет атрибут абкМоде.
Ако користите интерактивне или строге АБК режиме рада, често ћете морати да радите са листама дозвољених, блокираних и уређаја у карантину. Претпоставимо да су на наш сервер повезана два уређаја: један иПхоне и један Андроид са одговарајућим идентификационим подацима. Касније се испоставило да је генерални директор предузећа недавно купио иПхоне и одлучио да ради са поштом на њему, а Андроид припада обичном менаџеру који нема право да користи радну пошту на паметном телефону из безбедносних разлога.
У случају интерактивног режима, сви ће бити стављени у карантин, одакле ће администратор морати да премести иПхоне на листу дозвољених уређаја, а Андроид на листу блокираних. Да би то урадио, користи команде зксуите мобиле абк дозвољава иПхоне и зксуите мобиле абк блоцк Андроид. Након тога, генерални директор ће моћи у потпуности да ради са поштом са својих уређаја, док ће менаџер и даље морати да је гледа искључиво са свог радног лаптопа.
Вреди напоменути да приликом коришћења интерактивног режима, чак и ако менаџер исправно унесе своје корисничко име и лозинку на свом Андроид уређају, он и даље неће добити приступ свом налогу, већ ће ући у виртуелно поштанско сандуче у којем ће добити обавештење да његов уређај је додат у карантин и он неће моћи да користи пошту са њега.
У случају строгог режима, сви нови уређаји ће бити блокирани и након што се сазна коме су припадали, администратор ће морати само да дода иПхоне извршног директора на листу дозвољених уређаја користећи команду зксуите мобиле АБК сет иПхоне Дозвољено, остављајући тамо телефонски број менаџера.
Дозвољени начин рада је лоше компатибилан са било којим сигурносним правилима у предузећу, међутим, ако и даље постоји потреба да се блокира било који од дозвољених мобилних уређаја, на пример, ако менаџер изненада одустане због скандала, то се може урадити помоћу команда зксуите мобиле АБК сет Андроид Блоцкед.
Ако предузеће обезбеди запосленима услужне гаџете за рад са поштом, онда када се следећи пут промени власник, уређај може бити потпуно уклоњен са АБК листа да би се касније поново одлучило да ли да му дозволи да се синхронизује са сервером или не. Ово се ради помоћу команде зксуите мобиле АБК избрисати Андроид.
Дакле, као што видите, уз помоћ екстензије Зектрас Мобиле у Зимбри, можете имплементирати веома флексибилан систем за праћење мобилних уређаја који се користе, погодан за оба предузећа са прилично строгом политиком у вези са коришћењем корпоративних ресурса ван канцеларије , и за оне компаније које су прилично либералне у коришћењу мобилних уређаја.у том погледу.
Извор: ввв.хабр.цом