ProHoster > blogg > administration > Mobila antivirus fungerar inte

Mobila antivirus fungerar inte

Mobila antivirus fungerar inte
TL; DR om dina företags mobila enheter kräver ett antivirus, då gör du allt fel och antiviruset kommer inte att hjälpa dig.

Det här inlägget är resultatet av en het debatt om huruvida ett antivirus behövs på en företagsmobil, i vilka fall det fungerar och i vilka fall det är värdelöst. Artikeln undersöker de hotmodeller som i teorin ett antivirus bör skydda mot.

Antivirusleverantörer lyckas ofta övertyga företagskunder om att ett antivirus kommer att förbättra deras säkerhet avsevärt, men i de flesta fall är detta ett illusoriskt skydd, vilket bara minskar vaksamheten hos både användare och administratörer.

Rätt företagsinfrastruktur

När ett företag har tiotals eller till och med tusentals anställda är det omöjligt att manuellt konfigurera varje användarenhet. Inställningarna kan ändras varje dag, nya medarbetare kommer in, deras mobiltelefoner och bärbara datorer går sönder eller går vilse. Som ett resultat skulle allt administratörernas arbete bestå av daglig driftsättning av nya inställningar på anställdas enheter.

Detta problem började lösas på stationära datorer för länge sedan. I Windows-världen sker sådan hantering vanligtvis med Active Directory, centraliserade autentiseringssystem (Single Sign In), etc. Men nu har alla anställda smartphones till sina datorer, på vilka en betydande del av arbetsprocesserna sker och viktig data lagras. Microsoft försökte integrera sina Windows-telefoner i ett enda ekosystem med Windows, men denna idé dog med Windows Phones officiella död. Därför måste du i en företagsmiljö i alla fall välja mellan Android och iOS.

Nu i en företagsmiljö är konceptet UEM (Unified endpoint management) på modet för att hantera anställdas enheter. Detta är ett centraliserat hanteringssystem för mobila enheter och stationära datorer.
Mobila antivirus fungerar inte
Centraliserad hantering av användarenheter (Unified endpoint management)

UEM-systemadministratören kan ställa in olika policyer för användarenheter. Till exempel att låta användaren mer eller mindre kontroll över enheten, installera applikationer från tredjepartskällor etc.

Vad UEM kan göra:

Hantera alla inställningar — administratören kan helt förbjuda användaren att ändra inställningar på enheten och ändra dem på distans.

Styr programvaran på enheten — tillåta möjligheten att installera program på enheten och automatiskt installera program utan användarens vetskap. Administratören kan också blockera eller tillåta installation av program från applikationsbutiken eller från opålitliga källor (från APK-filer i fallet med Android).

Fjärrblockering — om telefonen tappas bort kan administratören blockera enheten eller rensa data. Vissa system låter dig också ställa in automatisk radering av data om telefonen inte har kontaktat servern på mer än N timmar, för att eliminera möjligheten för offline-hackningsförsök när angripare lyckades ta bort SIM-kortet innan datarensningskommandot skickades från servern .

Samla statistik — spåra användaraktivitet, applikationens användningstid, plats, batterinivå, etc.

Vad är UEM?

Det finns två fundamentalt olika tillvägagångssätt för centraliserad hantering av anställdas smartphones: i ett fall köper företaget enheter från en tillverkare för anställda och väljer vanligtvis ett ledningssystem från samma leverantör. I ett annat fall använder anställda sina personliga enheter i arbetet, och här börjar djurparken av operativsystem, versioner och plattformar.

BYOD (Bring your own device) är ett koncept där anställda använder sina personliga enheter och konton för att arbeta. Vissa centraliserade hanteringssystem låter dig lägga till ett andra jobbkonto och helt separera dina data i personligt och jobb.

Mobila antivirus fungerar inte

Apple Business Manager - Apples inbyggda centraliserade hanteringssystem. Kan bara hantera Apple-enheter, datorer med macOS och iOS-telefoner. Stöder BYOD, vilket skapar en andra isolerad miljö med ett annat iCloud-konto.

Mobila antivirus fungerar inte

Google Cloud Endpoint Management — låter dig hantera telefoner på Android och Apple iOS, samt stationära datorer på Windows 10. BYOD-stöd deklareras.

Mobila antivirus fungerar inte
Samsung Knox UEM - Stöder endast mobila enheter från Samsung. I det här fallet kan du bara använda omedelbart Samsung Mobile Management.

Faktum är att det finns många fler UEM-leverantörer, men vi kommer inte att analysera dem alla i den här artikeln. Det viktigaste att komma ihåg är att sådana system redan finns och tillåter administratören att konfigurera användarenheter på ett adekvat sätt för den befintliga hotmodellen.

Hotmodell

Innan vi väljer skyddsverktyg måste vi förstå vad vi skyddar oss mot, vad det värsta kan hända i just vårt fall. Relativt sett: vår kropp är lätt sårbar för en kula och till och med en gaffel och en spik, men vi tar inte på oss en skottsäker väst när vi lämnar huset. Därför inkluderar vår hotmodell inte risken att bli skjuten på väg till jobbet, även om det statistiskt sett inte är så osannolikt. Dessutom, under vissa förhållanden, är det helt motiverat att bära en skottsäker väst.

Hotmodeller varierar från företag till företag. Låt oss till exempel ta en kurirs smartphone som är på väg att leverera ett paket till en kund. Hans smartphone innehåller bara adressen till den aktuella leveransen och rutten på kartan. Det värsta som kan hända med hans data är ett läckage av paketleveransadresser.

Och här är revisorns smartphone. Han har tillgång till företagets nätverk via VPN, har en företagsklient-bank-applikation installerad och lagrar dokument med värdefull information. Uppenbarligen skiljer sig värdet av data på dessa två enheter avsevärt och bör skyddas på olika sätt.

Kommer antivirus rädda oss?

Tyvärr försvinner bakom marknadsföringsslogans den verkliga innebörden av de uppgifter som ett antivirus utför på en mobil enhet. Låt oss försöka förstå i detalj vad antiviruset gör på telefonen.

Säkerhetsrevision

De flesta moderna mobila antivirus granskar säkerhetsinställningarna på enheten. Denna granskning kallas ibland en "kontroll av enhetens rykte". Antivirus anser att en enhet är säker om fyra villkor är uppfyllda:

  • Enheten är inte hackad (root, jailbreak).
  • Enheten har ett lösenord konfigurerat.
  • USB-felsökning är inte aktiverat på enheten.
  • Installation av applikationer från opålitliga källor (sideloading) är inte tillåten på enheten.

Om enheten, som ett resultat av skanningen, visar sig vara osäker, kommer antivirusprogrammet att meddela ägaren och erbjuda sig att inaktivera den "farliga" funktionen eller returnera den fasta programvaran från fabriken om det finns tecken på root eller jailbreak.

Enligt företagssed räcker det inte att bara meddela användaren. Osäkra konfigurationer måste elimineras. För att göra detta måste du konfigurera säkerhetspolicyer på mobila enheter som använder UEM-systemet. Och om ett root-/jailbreak upptäcks måste du snabbt ta bort företagsdata från enheten och blockera dess åtkomst till företagets nätverk. Och detta är också möjligt med UEM. Och först efter dessa procedurer kan den mobila enheten anses vara säker.

Sök och ta bort virus

I motsats till vad många tror att det inte finns några virus för iOS, är detta inte sant. Det finns fortfarande vanliga utnyttjande i det vilda för äldre versioner av iOS som infektera enheter genom utnyttjande av webbläsarsårbarheter. Samtidigt, på grund av iOS-arkitekturen, är utvecklingen av antivirus för denna plattform omöjlig. Den främsta anledningen är att applikationer inte kan komma åt listan över installerade applikationer och har många begränsningar när de kommer åt filer. Endast UEM kan få listan över installerade iOS-appar, men även UEM kan inte komma åt filer.

Med Android är situationen annorlunda. Applikationer kan få information om applikationer installerade på enheten. De kan till och med komma åt sina distributioner (till exempel Apk Extractor och dess analoger). Android-applikationer har också möjlighet att komma åt filer (till exempel Total Commander, etc.). Android-applikationer kan dekompileras.

Med sådana funktioner ser följande antivirusalgoritm logisk ut:

  • Applikationsverifiering
  • Få en lista över installerade applikationer och kontrollsummor (CS) för deras distributioner.
  • Kontrollera applikationer och deras CS först i den lokala och sedan i den globala databasen.
  • Om applikationen är okänd överför du dess distribution till den globala databasen för analys och dekompilering.

  • Kontrollera filer, söka efter virussignaturer
  • Kontrollera CS-filerna i den lokala, sedan i den globala databasen.
  • Kontrollera filer för osäkert innehåll (skript, utnyttjande etc.) med hjälp av en lokal och sedan en global databas.
  • Om skadlig programvara upptäcks, meddela användaren och/eller blockera användarens åtkomst till skadlig programvara och/eller vidarebefordra informationen till UEM. Det är nödvändigt att överföra information till UEM eftersom antivirusprogrammet inte självständigt kan ta bort skadlig programvara från enheten.

Det största problemet är möjligheten att överföra programvarudistributioner från enheten till en extern server. Utan detta är det omöjligt att implementera den "beteendeanalys" som hävdas av antivirustillverkare, eftersom På enheten kan du inte köra programmet i en separat "sandlåda" eller dekompilera det (hur effektivt det är när du använder obfuskering är en separat komplex fråga). Å andra sidan kan företagsapplikationer installeras på anställdas mobila enheter som är okända för antiviruset eftersom de inte finns på Google Play. Dessa mobilappar kan innehålla känslig data som kan göra att dessa appar inte listas i den offentliga butiken. Att överföra sådana distributioner till antivirustillverkaren verkar felaktigt ur säkerhetssynpunkt. Det är vettigt att lägga till dem till undantag, men jag vet inte om förekomsten av en sådan mekanism ännu.

Skadlig programvara utan root-privilegier kan

1. Rita ditt eget osynliga fönster ovanpå programmet eller implementera ditt eget tangentbord för att kopiera användarinmatade data - kontoparametrar, bankkort, etc. Ett färskt exempel är sårbarhet. CVE-2020-0096, med vars hjälp det är möjligt att byta ut den aktiva skärmen på en applikation och därigenom få tillgång till användarinmatad data. För användaren innebär detta möjligheten till stöld av ett Google-konto med tillgång till en enhetsbackup och bankkortsdata. För organisationen är det i sin tur viktigt att inte förlora sin data. Om data finns i programmets privata minne och inte finns i en Google-säkerhetskopia, kommer skadlig programvara inte att kunna komma åt den.

2. Få tillgång till data i offentliga kataloger – nedladdningar, dokument, galleri. Det rekommenderas inte att lagra företagsvärd information i dessa kataloger eftersom de kan nås av alla program. Och användaren själv kommer alltid att kunna dela ett konfidentiellt dokument med alla tillgängliga applikationer.

3. Förarga användaren med reklam, bryta bitcoins, vara en del av ett botnät osv.. Detta kan ha en negativ inverkan på användarens och/eller enhetens prestanda, men kommer inte att utgöra ett hot mot företagsdata.

Skadlig programvara med root-privilegier kan potentiellt göra vad som helst. De är sällsynta eftersom det är nästan omöjligt att hacka moderna Android-enheter med en applikation. Senast en sådan sårbarhet upptäcktes var 2016. Detta är den sensationella Dirty COW, som fick numret CVE-2016-5195. Nyckeln här är att om klienten upptäcker tecken på en UEM-kompromiss kommer klienten att radera all företagsinformation från enheten, så sannolikheten för framgångsrik datastöld med sådan skadlig kod i företagsvärlden är låg.

Skadliga filer kan skada både den mobila enheten och de företagssystem den har tillgång till. Låt oss titta på dessa scenarier mer i detalj.

Skador på en mobil enhet kan till exempel orsakas om du laddar ner en bild på den, som när den öppnas eller när du försöker installera tapeter förvandlar enheten till en "kloss" eller startar om den. Detta kommer sannolikt att skada enheten eller användaren, men kommer inte att påverka datasekretessen. Även om det finns undantag.

Sårbarheten diskuterades nyligen CVE-2020-8899. Det påstods att det kunde användas för att få tillgång till konsolen på Samsungs mobila enheter med en infekterad bild skickad via e-post, snabbmeddelande eller MMS. Även om konsolåtkomst innebär att endast kunna komma åt data i offentliga kataloger där känslig information inte ska finnas, äventyras integriteten för användarnas personuppgifter och detta har skrämt användare. Även om det faktiskt bara är möjligt att attackera enheter med MMS. Och för en lyckad attack måste du skicka från 75 till 450 (!) meddelanden. Antivirus kommer tyvärr inte att hjälpa här, eftersom det inte har tillgång till meddelandeloggen. För att skydda mot detta finns det bara två alternativ. Uppdatera OS eller blockera MMS. Du kan vänta länge på det första alternativet och inte vänta, för... Enhetstillverkare släpper inte uppdateringar för alla enheter. Att inaktivera MMS-mottagning i det här fallet är mycket lättare.

Filer som överförs från mobila enheter kan skada företagets system. Det finns till exempel en infekterad fil på en mobil enhet som inte kan skada enheten, men som kan infektera en Windows-dator. Användaren skickar en sådan fil via e-post till sin kollega. Han öppnar den på datorn och kan därmed infektera den. Men åtminstone två antivirus står i vägen för denna attackvektor - ett på e-postservern, det andra på mottagarens PC. Att lägga till ett tredje antivirus i den här kedjan på en mobil enhet verkar rent ut sagt paranoid.

Som du kan se är det största hotet i företagens digitala värld skadlig programvara utan root-privilegier. Var kan de komma ifrån på en mobil enhet?

Oftast installeras de med hjälp av sideloading, adb eller tredjepartsbutiker, vilket bör vara förbjudet på mobila enheter med åtkomst till företagsnätverket. Det finns två alternativ kvar för skadlig programvara: från Google Play eller från UEM.

Innan de publiceras på Google Play genomgår alla appar en obligatorisk verifiering. Men för applikationer med ett litet antal installationer utförs kontroller oftast utan mänsklig inblandning, endast i automatiskt läge. Därför kommer skadlig programvara ibland in i Google Play, men fortfarande inte ofta. Ett antivirusprogram vars databaser uppdateras i tid kommer att kunna upptäcka applikationer med skadlig programvara på enheten före Google Play Protect, som fortfarande släpar efter i hastigheten för uppdatering av antivirusdatabaser.

UEM kan installera vilken applikation som helst på en mobil enhet, inkl. skadlig programvara, så alla program måste genomsökas först. Applikationer kan kontrolleras både under utvecklingen med statiska och dynamiska analysverktyg och omedelbart före distributionen med hjälp av specialiserade sandlådor och/eller antiviruslösningar. Det är viktigt att ansökan verifieras en gång innan den laddas upp till UEM. Därför, i det här fallet, behövs inget antivirus på en mobil enhet.

Nätverksskydd

Beroende på antivirustillverkaren kan ditt nätverksskydd erbjuda en eller flera av följande funktioner.

URL-filtrering används för att:

  • Blockera trafik efter resurskategorier. Till exempel att förbjuda att titta på nyheter eller annat icke-företagsinnehåll före lunch, när den anställde är mest effektiv. I praktiken fungerar blockering oftast med många begränsningar - antivirustillverkare lyckas inte alltid uppdatera kataloger med resurskategorier i tid, med hänsyn till förekomsten av många "speglar". Dessutom finns det anonymiserare och Opera VPN, som oftast inte är blockerade.
  • Skydd mot nätfiske eller spoofing av målvärdar. För att göra detta kontrolleras först webbadresserna som enheten kommer åt mot antivirusdatabasen. Länkar, såväl som resurserna som de leder till (inklusive möjliga flera omdirigeringar), kontrolleras mot en databas med kända nätfiskewebbplatser. Domännamnet, certifikatet och IP-adressen verifieras också mellan den mobila enheten och den betrodda servern. Om klienten och servern tar emot olika data är detta antingen MITM ("man i mitten") eller blockerar trafik med samma antivirus eller olika typer av proxyservrar och webbfilter på nätverket som den mobila enheten är ansluten till. Det är svårt att med tillförsikt säga att det finns någon i mitten.

För att få tillgång till mobiltrafik bygger antiviruset antingen ett VPN eller använder funktionerna i Accessibility API (API för applikationer avsedda för personer med funktionsnedsättning). Samtidig drift av flera VPN på en mobil enhet är omöjlig, så nätverksskydd mot antivirus som bygger sina egna VPN är inte tillämpligt i företagsvärlden. Ett VPN från ett antivirus fungerar helt enkelt inte tillsammans med ett företags VPN, som används för att komma åt företagets nätverk.

Att ge ett antivirus åtkomst till Accessibility API utgör en annan fara. Tillgång till Accessibility API innebär i huvudsak tillåtelse att göra vad som helst för användaren - se vad användaren ser, utföra åtgärder med applikationer istället för användaren, etc. Med tanke på att användaren uttryckligen måste ge antiviruset sådan åtkomst, kommer den sannolikt att vägra att göra det. Eller om han tvingas köpa sig en annan telefon utan antivirus.

Brandvägg

Under detta allmänna namn finns tre funktioner:

  • Insamling av statistik om nätverksanvändning, uppdelad efter applikation och nätverkstyp (Wi-Fi, mobiloperatör). De flesta tillverkare av Android-enheter tillhandahåller denna information i appen Inställningar. Att duplicera det i det mobila antivirusgränssnittet verkar överflödigt. Samlad information om alla enheter kan vara av intresse. Det har framgångsrikt samlats in och analyserats av UEM-system.
  • Begränsa mobiltrafik – sätta en gräns, meddelar dig när den är nådd. För de flesta användare av Android-enheter är dessa funktioner tillgängliga i appen Inställningar. Centraliserad inställning av begränsningar är UEM:s uppgift, inte antivirus.
  • Egentligen brandvägg. Eller, med andra ord, blockering av åtkomst till vissa IP-adresser och portar. Med hänsyn till DDNS på alla populära resurser och behovet av att aktivera VPN för dessa ändamål, vilket, som skrivet ovan, inte kan fungera tillsammans med huvud-VPN, verkar funktionen otillämplig i företagspraxis.

Wi-Fi fullmaktskontroll

Mobila antivirus kan utvärdera säkerheten för Wi-Fi-nätverk som den mobila enheten ansluter till. Det kan antas att krypteringens närvaro och styrka kontrolleras. Samtidigt använder alla moderna program kryptering för att överföra känslig data. Därför, om något program är sårbart på länknivå, är det också farligt att använda det via alla internetkanaler, och inte bara via offentliga Wi-Fi.
Därför är offentlig Wi-Fi, inklusive utan kryptering, inte farligare och inte mindre säker än alla andra opålitliga dataöverföringskanaler utan kryptering.

Spamskydd

Skydd, som regel, handlar om att filtrera inkommande samtal enligt en lista som specificeras av användaren, eller enligt en databas med kända spammare som oändligt tjatar med försäkringar, lån och inbjudningar till teatern. Även om de inte ringer under självisolering kommer de snart att börja igen. Endast samtal är föremål för filtrering. Meddelanden på nuvarande Android-enheter filtreras inte. Med tanke på att spammare regelbundet ändrar sina nummer och omöjligheten att skydda textkanaler (SMS, instant messengers), är funktionen mer av marknadsföring snarare än praktisk karaktär.

Stöldskydd

Utföra fjärråtgärder med en mobil enhet om den tappas bort eller blir stulen. Ett alternativ till tjänsterna Hitta min iPhone och Hitta min enhet från Apple respektive Google. Till skillnad från deras analoger kan antivirustillverkarnas tjänster inte blockera en enhet om en angripare har lyckats återställa den till fabriksinställningarna. Men om detta inte har hänt ännu kan du göra följande med enheten på distans:

  • Blockera. Skydd mot en enkelsinnad tjuv, eftersom det enkelt kan göras genom att återställa enheten till fabriksinställningarna via återställning.
  • Ta reda på enhetens koordinater. Användbart när enheten nyligen tappats bort.
  • Slå på ett högt pip för att hjälpa dig hitta din enhet om den är i tyst läge.
  • Återställ enheten till fabriksinställningarna. Det är vettigt när användaren har identifierat enheten som oåterkallelig förlorad, men inte vill att data som lagras på den ska avslöjas.
  • Att göra ett foto. Ta ett foto av angriparen om han håller telefonen i sina händer. Den mest tvivelaktiga funktionen är att sannolikheten för att en angripare beundrar telefonen i bra belysning är liten. Men närvaron på enheten av en applikation som tyst kan styra smarttelefonens kamera, ta bilder och skicka dem till sin server orsakar rimlig oro.

Fjärrstyrning av kommandon är grundläggande i alla UEM-system. Det enda som saknas hos dem är fjärrfotografering. Detta är ett säkert sätt att få användare att ta ut batterierna ur sina telefoner och lägga dem i en Faraday-väska efter arbetsdagens slut.

Stöldskyddsfunktioner i mobila antivirus är endast tillgängliga för Android. För iOS kan endast UEM utföra sådana åtgärder. Det kan bara finnas en UEM på en iOS-enhet – det här är en arkitektonisk funktion hos iOS.

Resultat

  1. En situation där en användare kan installera skadlig programvara på en telefon är INTE ACCEPTABEL.
  2. Korrekt konfigurerad UEM på en företagsenhet eliminerar behovet av antivirus.
  3. Om 0-dagars sårbarheter i operativsystemet utnyttjas är antiviruset värdelöst. Det kan bara indikera för administratören att enheten är sårbar.
  4. Antiviruset kan inte avgöra om sårbarheten utnyttjas. Samt att släppa en uppdatering för en enhet som tillverkaren inte längre släpper säkerhetsuppdateringar för. Som mest är det ett eller två år.
  5. Om vi ​​ignorerar kraven från tillsynsmyndigheter och marknadsföring, behövs företags mobila antivirus endast på Android-enheter, där användare har tillgång till Google Play och installation av program från tredjepartskällor. I andra fall är effektiviteten av att använda antivirus inte mer än placebo.

Mobila antivirus fungerar inte

Källa: will.com

Lägg en kommentar