โปรโฮสต์ > บล็อก > การบริหาร > โปรแกรมป้องกันไวรัสบนมือถือไม่ทำงาน

โปรแกรมป้องกันไวรัสบนมือถือไม่ทำงาน

โปรแกรมป้องกันไวรัสบนมือถือไม่ทำงาน
TL; DR หากอุปกรณ์เคลื่อนที่ในองค์กรของคุณต้องการโปรแกรมป้องกันไวรัส แสดงว่าคุณกำลังทำทุกอย่างผิดและโปรแกรมป้องกันไวรัสจะไม่ช่วยคุณ

โพสต์นี้เป็นผลมาจากการถกเถียงกันอย่างดุเดือดว่าจำเป็นต้องใช้โปรแกรมป้องกันไวรัสบนโทรศัพท์มือถือขององค์กรหรือไม่ ใช้งานได้ในกรณีใดบ้าง และไม่มีประโยชน์ในกรณีใด บทความนี้จะตรวจสอบโมเดลภัยคุกคามที่ตามทฤษฎีแล้วโปรแกรมป้องกันไวรัสควรป้องกัน

ผู้จำหน่ายแอนตี้ไวรัสมักจะพยายามโน้มน้าวลูกค้าองค์กรว่าแอนตี้ไวรัสจะปรับปรุงความปลอดภัยได้อย่างมาก แต่ในกรณีส่วนใหญ่ นี่เป็นการป้องกันที่ลวงตา ซึ่งจะลดความระมัดระวังของทั้งผู้ใช้และผู้ดูแลระบบเท่านั้น

โครงสร้างพื้นฐานขององค์กรที่เหมาะสม

เมื่อบริษัทมีพนักงานหลายหมื่นคน จะไม่สามารถกำหนดค่าอุปกรณ์ผู้ใช้แต่ละเครื่องด้วยตนเองได้ การตั้งค่าสามารถเปลี่ยนแปลงได้ทุกวัน มีพนักงานใหม่เข้ามา โทรศัพท์มือถือและแล็ปท็อปเสียหายหรือสูญหาย ด้วยเหตุนี้ งานของผู้ดูแลระบบทั้งหมดจึงประกอบด้วยการปรับใช้การตั้งค่าใหม่ทุกวันบนอุปกรณ์ของพนักงาน

ปัญหานี้เริ่มได้รับการแก้ไขบนคอมพิวเตอร์เดสก์ท็อปเมื่อนานมาแล้ว ในโลกของ Windows การจัดการดังกล่าวมักเกิดขึ้นโดยใช้ Active Directory, ระบบการตรวจสอบความถูกต้องแบบรวมศูนย์ (การลงชื่อเข้าใช้ครั้งเดียว) เป็นต้น แต่ตอนนี้พนักงานทุกคนได้เพิ่มสมาร์ทโฟนลงในคอมพิวเตอร์ ซึ่งเป็นส่วนสำคัญของกระบวนการทำงานและจัดเก็บข้อมูลสำคัญไว้ Microsoft พยายามรวม Windows Phone เข้ากับระบบนิเวศเดียวกับ Windows แต่แนวคิดนี้เสียชีวิตพร้อมกับการสิ้นสุดอย่างเป็นทางการของ Windows Phone ดังนั้นในสภาพแวดล้อมขององค์กร ไม่ว่าในกรณีใด คุณต้องเลือกระหว่าง Android และ iOS

ขณะนี้ในสภาพแวดล้อมขององค์กร แนวคิดของ UEM (การจัดการอุปกรณ์ปลายทางแบบครบวงจร) กำลังเป็นที่นิยมในการจัดการอุปกรณ์ของพนักงาน นี่คือระบบการจัดการแบบรวมศูนย์สำหรับอุปกรณ์เคลื่อนที่และคอมพิวเตอร์เดสก์ท็อป
โปรแกรมป้องกันไวรัสบนมือถือไม่ทำงาน
การจัดการอุปกรณ์ผู้ใช้แบบรวมศูนย์ (การจัดการอุปกรณ์ปลายทางแบบครบวงจร)

ผู้ดูแลระบบ UEM สามารถกำหนดนโยบายต่างๆ ให้กับอุปกรณ์ของผู้ใช้ได้ ตัวอย่างเช่น การอนุญาตให้ผู้ใช้ควบคุมอุปกรณ์ได้ไม่มากก็น้อย ติดตั้งแอปพลิเคชันจากแหล่งบุคคลที่สาม เป็นต้น

UEM ทำอะไรได้บ้าง:

จัดการการตั้งค่าทั้งหมด — ผู้ดูแลระบบสามารถห้ามไม่ให้ผู้ใช้เปลี่ยนการตั้งค่าบนอุปกรณ์และเปลี่ยนจากระยะไกลได้อย่างสมบูรณ์

ซอฟต์แวร์ควบคุมบนอุปกรณ์ — ช่วยให้สามารถติดตั้งโปรแกรมบนอุปกรณ์และติดตั้งโปรแกรมอัตโนมัติโดยที่ผู้ใช้ไม่รู้ตัว ผู้ดูแลระบบยังสามารถบล็อกหรืออนุญาตการติดตั้งโปรแกรมจากร้านแอปพลิเคชันหรือจากแหล่งที่ไม่น่าเชื่อถือ (จากไฟล์ APK ในกรณีของ Android)

การปิดกั้นระยะไกล — หากโทรศัพท์สูญหาย ผู้ดูแลระบบสามารถบล็อคอุปกรณ์หรือล้างข้อมูลได้ บางระบบยังอนุญาตให้คุณตั้งค่าการลบข้อมูลอัตโนมัติหากโทรศัพท์ไม่ได้ติดต่อกับเซิร์ฟเวอร์เป็นเวลานานกว่า N ชั่วโมง เพื่อลดโอกาสที่จะพยายามแฮ็กแบบออฟไลน์เมื่อผู้โจมตีจัดการเพื่อถอดซิมการ์ดออกก่อนที่จะส่งคำสั่งล้างข้อมูลจากเซิร์ฟเวอร์ .

รวบรวมสถิติ — ติดตามกิจกรรมของผู้ใช้ เวลาใช้งานแอปพลิเคชัน ตำแหน่ง ระดับแบตเตอรี่ ฯลฯ

UEM คืออะไร?

มีสองแนวทางที่แตกต่างกันโดยพื้นฐานสำหรับการจัดการสมาร์ทโฟนของพนักงานแบบรวมศูนย์ ในกรณีหนึ่ง บริษัทซื้ออุปกรณ์จากผู้ผลิตรายหนึ่งสำหรับพนักงาน และมักจะเลือกระบบการจัดการจากซัพพลายเออร์รายเดียวกัน ในอีกกรณีหนึ่ง พนักงานใช้อุปกรณ์ส่วนตัวในการทำงาน และที่นี่จะมีระบบปฏิบัติการ เวอร์ชัน และแพลตฟอร์มเริ่มต้นขึ้น

BYOD (นำอุปกรณ์มาเอง) เป็นแนวคิดที่พนักงานใช้อุปกรณ์และบัญชีส่วนตัวในการทำงาน ระบบการจัดการแบบรวมศูนย์บางระบบช่วยให้คุณสามารถเพิ่มบัญชีงานที่สองและแยกข้อมูลของคุณออกเป็นส่วนตัวและที่ทำงานได้อย่างสมบูรณ์

โปรแกรมป้องกันไวรัสบนมือถือไม่ทำงาน

ผู้จัดการธุรกิจของ Apple - ระบบการจัดการแบบรวมศูนย์ดั้งเดิมของ Apple สามารถจัดการได้เฉพาะอุปกรณ์ Apple คอมพิวเตอร์ที่มีโทรศัพท์ macOS และ iOS รองรับ BYOD สร้างสภาพแวดล้อมแยกที่สองด้วยบัญชี iCloud อื่น

โปรแกรมป้องกันไวรัสบนมือถือไม่ทำงาน

การจัดการปลายทางของ Google Cloud — ช่วยให้คุณจัดการโทรศัพท์บน Android และ Apple iOS รวมถึงเดสก์ท็อปบน Windows 10 มีการประกาศรองรับ BYOD

โปรแกรมป้องกันไวรัสบนมือถือไม่ทำงาน
ซัมซุง น็อกซ์ UEM - รองรับอุปกรณ์มือถือซัมซุงเท่านั้น ในกรณีนี้คุณสามารถใช้งานได้ทันทีเท่านั้น การจัดการมือถือซัมซุง.

ที่จริงแล้วมีผู้ให้บริการ UEM อีกหลายราย แต่เราจะไม่วิเคราะห์พวกเขาทั้งหมดในบทความนี้ สิ่งสำคัญที่ต้องจำไว้คือระบบดังกล่าวมีอยู่แล้ว และอนุญาตให้ผู้ดูแลระบบกำหนดค่าอุปกรณ์ของผู้ใช้ให้เหมาะสมกับรูปแบบภัยคุกคามที่มีอยู่

รูปแบบภัยคุกคาม

ก่อนที่จะเลือกเครื่องมือป้องกัน เราต้องเข้าใจว่าเรากำลังป้องกันตัวเองจากอะไร และสิ่งที่เลวร้ายที่สุดสามารถเกิดขึ้นได้ในกรณีของเราโดยเฉพาะ พูดค่อนข้างมาก: ร่างกายของเราเสี่ยงต่อกระสุน แม้แต่ส้อมและตะปูได้ง่าย แต่เราไม่สวมเสื้อเกราะกันกระสุนเมื่อออกจากบ้าน ดังนั้น โมเดลภัยคุกคามของเราจึงไม่รวมความเสี่ยงที่จะถูกยิงระหว่างเดินทางไปทำงาน แม้ว่าในทางสถิติจะไม่น่าจะเป็นไปได้ก็ตาม ยิ่งไปกว่านั้น ในบางเงื่อนไข การสวมเสื้อเกราะกันกระสุนก็เป็นสิ่งที่สมเหตุสมผล

รูปแบบภัยคุกคามแตกต่างกันไปในแต่ละบริษัท ตัวอย่างเช่น สมาร์ทโฟนของผู้จัดส่งที่กำลังเดินทางไปส่งพัสดุให้กับลูกค้า สมาร์ทโฟนของเขามีเพียงที่อยู่ของการจัดส่งปัจจุบันและเส้นทางบนแผนที่เท่านั้น สิ่งที่เลวร้ายที่สุดที่อาจเกิดขึ้นกับข้อมูลของเขาคือการรั่วไหลของที่อยู่จัดส่งพัสดุ

และนี่คือสมาร์ทโฟนของนักบัญชี เขาสามารถเข้าถึงเครือข่ายองค์กรผ่าน VPN ติดตั้งแอปพลิเคชันลูกค้า-ธนาคารระดับองค์กร และจัดเก็บเอกสารที่มีข้อมูลอันมีค่า แน่นอนว่ามูลค่าของข้อมูลบนอุปกรณ์ทั้งสองนี้แตกต่างกันอย่างมากและควรได้รับการปกป้องที่แตกต่างกัน

แอนติไวรัสจะช่วยเราได้ไหม?

น่าเสียดายที่เบื้องหลังสโลแกนทางการตลาด ความหมายที่แท้จริงของงานที่โปรแกรมป้องกันไวรัสทำบนอุปกรณ์มือถือนั้นหายไป ลองทำความเข้าใจในรายละเอียดว่าโปรแกรมป้องกันไวรัสทำอะไรบนโทรศัพท์

การตรวจสอบความปลอดภัย

แอนตี้ไวรัสมือถือรุ่นใหม่ส่วนใหญ่จะตรวจสอบการตั้งค่าความปลอดภัยบนอุปกรณ์ การตรวจสอบนี้บางครั้งเรียกว่า "การตรวจสอบชื่อเสียงของอุปกรณ์" แอนติไวรัสจะถือว่าอุปกรณ์ปลอดภัยหากตรงตามเงื่อนไขสี่ประการ:

  • อุปกรณ์ไม่ถูกแฮ็ก (รูท, เจลเบรค)
  • อุปกรณ์มีการกำหนดค่ารหัสผ่าน
  • ไม่ได้เปิดใช้งานการแก้ไขจุดบกพร่อง USB บนอุปกรณ์
  • ไม่อนุญาตให้ติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ (ไซด์โหลด) บนอุปกรณ์

หากพบว่าอุปกรณ์ไม่ปลอดภัยจากการสแกน โปรแกรมป้องกันไวรัสจะแจ้งให้เจ้าของทราบและเสนอให้ปิดการใช้งานฟังก์ชัน "อันตราย" หรือส่งคืนเฟิร์มแวร์จากโรงงานหากมีสัญญาณของการรูทหรือการเจลเบรก

ตามธรรมเนียมของบริษัท การแจ้งผู้ใช้เพียงอย่างเดียวนั้นไม่เพียงพอ จะต้องกำจัดการกำหนดค่าที่ไม่ปลอดภัย ในการดำเนินการนี้ คุณจะต้องกำหนดค่านโยบายความปลอดภัยบนอุปกรณ์เคลื่อนที่โดยใช้ระบบ UEM และหากตรวจพบการรูท / การเจลเบรก คุณจะต้องลบข้อมูลองค์กรออกจากอุปกรณ์อย่างรวดเร็วและบล็อกการเข้าถึงเครือข่ายองค์กร และสิ่งนี้ก็เป็นไปได้ด้วย UEM และหลังจากขั้นตอนเหล่านี้เท่านั้นจึงจะถือว่าอุปกรณ์มือถือปลอดภัย

ค้นหาและลบไวรัส

ตรงกันข้ามกับความเชื่อที่นิยมว่าไม่มีไวรัสสำหรับ iOS สิ่งนี้ไม่เป็นความจริง ยังคงมีการหาประโยชน์ทั่วไปใน iOS เวอร์ชันเก่า อุปกรณ์ติดเชื้อ ผ่านการใช้ประโยชน์จากช่องโหว่ของเบราว์เซอร์ ในเวลาเดียวกันเนื่องจากสถาปัตยกรรมของ iOS การพัฒนาโปรแกรมป้องกันไวรัสสำหรับแพลตฟอร์มนี้จึงเป็นไปไม่ได้ สาเหตุหลักคือแอปพลิเคชันไม่สามารถเข้าถึงรายการแอปพลิเคชันที่ติดตั้งได้ และมีข้อ จำกัด มากมายเมื่อเข้าถึงไฟล์ มีเพียง UEM เท่านั้นที่สามารถรับรายการแอป iOS ที่ติดตั้งได้ แต่แม้แต่ UEM ก็ไม่สามารถเข้าถึงไฟล์ได้

เมื่อใช้ Android สถานการณ์จะแตกต่างออกไป แอปพลิเคชันสามารถรับข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้งบนอุปกรณ์ได้ พวกเขายังสามารถเข้าถึงการแจกแจงของพวกเขาได้ (เช่น Apk Extractor และแอนะล็อก) แอปพลิเคชัน Android ยังมีความสามารถในการเข้าถึงไฟล์ (เช่น Total Commander เป็นต้น) แอปพลิเคชัน Android สามารถถอดรหัสได้

ด้วยความสามารถดังกล่าว อัลกอริธึมป้องกันไวรัสต่อไปนี้จึงดูสมเหตุสมผล:

  • การตรวจสอบใบสมัคร
  • รับรายการแอปพลิเคชันที่ติดตั้งและเช็คซัม (CS) ของการแจกแจง
  • ตรวจสอบแอปพลิเคชันและ CS ก่อนในเครื่อง จากนั้นจึงตรวจสอบในฐานข้อมูลส่วนกลาง
  • หากไม่ทราบแอปพลิเคชัน ให้โอนการแจกจ่ายไปยังฐานข้อมูลส่วนกลางเพื่อการวิเคราะห์และถอดรหัส

  • ตรวจสอบไฟล์ ค้นหาลายเซ็นไวรัส
  • ตรวจสอบไฟล์ CS ในเครื่อง จากนั้นในฐานข้อมูลส่วนกลาง
  • ตรวจสอบไฟล์เพื่อหาเนื้อหาที่ไม่ปลอดภัย (สคริปต์ การใช้ประโยชน์ ฯลฯ) โดยใช้ฐานข้อมูลท้องถิ่นและฐานข้อมูลระดับโลก
  • หากตรวจพบมัลแวร์ ให้แจ้งผู้ใช้และ/หรือบล็อกการเข้าถึงมัลแวร์ของผู้ใช้ และ/หรือส่งต่อข้อมูลไปยัง UEM จำเป็นต้องถ่ายโอนข้อมูลไปยัง UEM เนื่องจากโปรแกรมป้องกันไวรัสไม่สามารถลบมัลแวร์ออกจากอุปกรณ์ได้อย่างอิสระ

ข้อกังวลที่ใหญ่ที่สุดคือความเป็นไปได้ในการถ่ายโอนการกระจายซอฟต์แวร์จากอุปกรณ์ไปยังเซิร์ฟเวอร์ภายนอก หากไม่มีสิ่งนี้ ก็เป็นไปไม่ได้เลยที่จะใช้ “การวิเคราะห์พฤติกรรม” ที่ผู้ผลิตโปรแกรมป้องกันไวรัสอ้างสิทธิ์ เนื่องจาก บนอุปกรณ์ คุณจะไม่สามารถเรียกใช้แอปพลิเคชันใน “แซนด์บ็อกซ์” ที่แยกต่างหากหรือแยกคอมไพล์ได้ (คำถามที่ซับซ้อนจะมีประสิทธิภาพเพียงใดเมื่อใช้การทำให้งงงวยเป็นคำถามที่ซับซ้อนแยกต่างหาก) ในทางกลับกัน แอปพลิเคชันขององค์กรอาจติดตั้งบนอุปกรณ์เคลื่อนที่ของพนักงานที่โปรแกรมป้องกันไวรัสไม่รู้จักเนื่องจากไม่ได้อยู่ใน Google Play แอพมือถือเหล่านี้อาจมีข้อมูลที่ละเอียดอ่อนซึ่งอาจทำให้แอพเหล่านี้ไม่ปรากฏในร้านค้าสาธารณะ การถ่ายโอนการแจกจ่ายดังกล่าวไปยังผู้ผลิตโปรแกรมป้องกันไวรัสดูเหมือนไม่ถูกต้องจากมุมมองด้านความปลอดภัย การเพิ่มสิ่งเหล่านี้เข้าไปในข้อยกเว้นเป็นเรื่องที่สมเหตุสมผล แต่ฉันยังไม่รู้เกี่ยวกับการมีอยู่ของกลไกดังกล่าว

มัลแวร์ที่ไม่มีสิทธิ์รูทสามารถทำได้

1. วาดหน้าต่างที่มองไม่เห็นของคุณเองที่ด้านบนของแอปพลิเคชัน หรือใช้แป้นพิมพ์ของคุณเองเพื่อคัดลอกข้อมูลที่ผู้ใช้ป้อน - พารามิเตอร์บัญชี บัตรธนาคาร ฯลฯ ตัวอย่างล่าสุดคือช่องโหว่ CVE-2020-0096ด้วยความช่วยเหลือซึ่งเป็นไปได้ที่จะแทนที่หน้าจอที่ใช้งานอยู่ของแอปพลิเคชันและด้วยเหตุนี้จึงสามารถเข้าถึงข้อมูลที่ผู้ใช้ป้อนได้ สำหรับผู้ใช้ นี่หมายถึงความเป็นไปได้ที่จะถูกขโมยบัญชี Google ที่สามารถเข้าถึงข้อมูลสำรองของอุปกรณ์และข้อมูลบัตรธนาคาร สำหรับองค์กร สิ่งสำคัญคือต้องไม่สูญเสียข้อมูล หากข้อมูลอยู่ในหน่วยความจำส่วนตัวของแอปพลิเคชันและไม่มีอยู่ในข้อมูลสำรองของ Google มัลแวร์จะไม่สามารถเข้าถึงได้

2. เข้าถึงข้อมูลในไดเร็กทอรีสาธารณะ – ดาวน์โหลด, เอกสาร, แกลเลอรี่ ไม่แนะนำให้จัดเก็บข้อมูลมูลค่าของบริษัทไว้ในไดเร็กทอรีเหล่านี้ เนื่องจากสามารถเข้าถึงได้โดยแอปพลิเคชันใดๆ และผู้ใช้เองจะสามารถแบ่งปันเอกสารลับโดยใช้แอปพลิเคชันที่มีอยู่ได้ตลอดเวลา

3. รบกวนผู้ใช้ด้วยการโฆษณา ขุด bitcoins เป็นส่วนหนึ่งของ botnet ฯลฯ. สิ่งนี้อาจส่งผลเสียต่อประสิทธิภาพผู้ใช้และ/หรืออุปกรณ์ แต่จะไม่ก่อให้เกิดภัยคุกคามต่อข้อมูลองค์กร

มัลแวร์ที่มีสิทธิ์รูทสามารถทำอะไรก็ได้ เกิดขึ้นได้ยากเนื่องจากการแฮ็กอุปกรณ์ Android สมัยใหม่โดยใช้แอปพลิเคชันแทบจะเป็นไปไม่ได้เลย ครั้งสุดท้ายที่มีการค้นพบช่องโหว่ดังกล่าวคือในปี 2016 นี่คือ Dirty COW ที่น่าตื่นเต้นซึ่งได้รับหมายเลขดังกล่าว CVE-2016-5195. สิ่งสำคัญที่นี่คือหากตรวจพบสัญญาณของการประนีประนอม UEM ลูกค้าจะลบข้อมูลองค์กรทั้งหมดออกจากอุปกรณ์ ดังนั้นโอกาสที่จะประสบความสำเร็จในการโจรกรรมข้อมูลโดยใช้มัลแวร์ดังกล่าวในโลกธุรกิจจึงต่ำ

ไฟล์ที่เป็นอันตรายอาจเป็นอันตรายต่อทั้งอุปกรณ์เคลื่อนที่และระบบขององค์กรที่อุปกรณ์เข้าถึงได้ มาดูรายละเอียดสถานการณ์เหล่านี้กันดีกว่า

ความเสียหายต่ออุปกรณ์เคลื่อนที่อาจเกิดขึ้นได้ เช่น หากคุณดาวน์โหลดรูปภาพลงในอุปกรณ์ ซึ่งเมื่อเปิดหรือพยายามติดตั้งวอลเปเปอร์ จะทำให้อุปกรณ์กลายเป็น "อิฐ" หรือรีบูตเครื่อง สิ่งนี้น่าจะเป็นอันตรายต่ออุปกรณ์หรือผู้ใช้ แต่จะไม่ส่งผลกระทบต่อความเป็นส่วนตัวของข้อมูล แม้ว่าจะมีข้อยกเว้นก็ตาม

ช่องโหว่นี้ได้ถูกกล่าวถึงเมื่อเร็วๆ นี้ CVE-2020-8899. มีการกล่าวหาว่าสามารถใช้เพื่อเข้าถึงคอนโซลของอุปกรณ์มือถือ Samsung โดยใช้รูปภาพที่ติดไวรัสที่ส่งทางอีเมล โปรแกรมส่งข้อความด่วน หรือ MMS แม้ว่าการเข้าถึงคอนโซลหมายถึงการเข้าถึงเฉพาะข้อมูลในไดเร็กทอรีสาธารณะที่ไม่ควรมีข้อมูลที่ละเอียดอ่อน แต่ความเป็นส่วนตัวของข้อมูลส่วนบุคคลของผู้ใช้กำลังถูกบุกรุก และสิ่งนี้ทำให้ผู้ใช้หวาดกลัว แม้ว่าในความเป็นจริง จะสามารถโจมตีอุปกรณ์โดยใช้ MMS ได้เท่านั้น และเพื่อให้การโจมตีสำเร็จคุณต้องส่งข้อความตั้งแต่ 75 ถึง 450 (!) น่าเสียดายที่โปรแกรมป้องกันไวรัสไม่สามารถช่วยได้ที่นี่เนื่องจากไม่สามารถเข้าถึงบันทึกข้อความได้ เพื่อป้องกันสิ่งนี้ มีเพียงสองทางเลือกเท่านั้น อัปเดตระบบปฏิบัติการหรือบล็อก MMS คุณสามารถรอออปชั่นแรกได้นานและไม่รอ เพราะ... ผู้ผลิตอุปกรณ์ไม่เผยแพร่การอัปเดตสำหรับอุปกรณ์ทั้งหมด การปิดใช้งานการรับ MMS ในกรณีนี้ง่ายกว่ามาก

ไฟล์ที่ถ่ายโอนจากอุปกรณ์พกพาอาจก่อให้เกิดอันตรายต่อระบบขององค์กร ตัวอย่างเช่น มีไฟล์ที่ติดไวรัสบนอุปกรณ์พกพาซึ่งไม่เป็นอันตรายต่ออุปกรณ์ แต่สามารถแพร่เชื้อไปยังคอมพิวเตอร์ Windows ได้ ผู้ใช้ส่งไฟล์ดังกล่าวทางอีเมลถึงเพื่อนร่วมงานของเขา เขาเปิดมันบนพีซีและด้วยเหตุนี้จึงสามารถแพร่เชื้อได้ แต่แอนติไวรัสอย่างน้อยสองตัวที่ขัดขวางการโจมตีนี้ - ตัวหนึ่งอยู่บนเซิร์ฟเวอร์อีเมล และอีกตัวบนพีซีของผู้รับ การเพิ่มแอนติไวรัสตัวที่สามให้กับเครือข่ายนี้บนอุปกรณ์พกพาดูเหมือนจะหวาดระแวงอย่างยิ่ง

อย่างที่คุณเห็น ภัยคุกคามที่ยิ่งใหญ่ที่สุดในโลกดิจิทัลขององค์กรคือมัลแวร์ที่ไม่มีสิทธิ์รูท สิ่งเหล่านี้มาจากไหนบนอุปกรณ์พกพา?

ส่วนใหญ่มักติดตั้งโดยใช้ไซด์โหลด adb หรือร้านค้าบุคคลที่สามซึ่งควรห้ามไว้ในอุปกรณ์พกพาที่สามารถเข้าถึงเครือข่ายองค์กรได้ มีสองตัวเลือกที่เหลือสำหรับมัลแวร์: จาก Google Play หรือจาก UEM

ก่อนที่จะเผยแพร่บน Google Play แอปพลิเคชันทั้งหมดจะต้องผ่านการตรวจสอบภาคบังคับ แต่สำหรับแอปพลิเคชันที่มีการติดตั้งจำนวนน้อย การตรวจสอบมักดำเนินการโดยไม่มีการแทรกแซงของมนุษย์ เฉพาะในโหมดอัตโนมัติเท่านั้น ดังนั้นบางครั้งมัลแวร์จึงเข้าสู่ Google Play แต่ก็ยังไม่บ่อยนัก โปรแกรมป้องกันไวรัสที่มีการอัปเดตฐานข้อมูลอย่างทันท่วงทีจะสามารถตรวจจับแอปพลิเคชันที่มีมัลแวร์บนอุปกรณ์ได้ก่อน Google Play Protect ซึ่งยังคงล้าหลังในเรื่องความเร็วในการอัปเดตฐานข้อมูลแอนติไวรัส

UEM สามารถติดตั้งแอปพลิเคชันใดๆ บนอุปกรณ์เคลื่อนที่ได้ รวมถึง มัลแวร์ ดังนั้นจึงต้องสแกนแอปพลิเคชันใดๆ ก่อน สามารถตรวจสอบแอปพลิเคชันได้ทั้งในระหว่างการพัฒนาโดยใช้เครื่องมือวิเคราะห์แบบคงที่และไดนามิก และทันทีก่อนที่จะเผยแพร่โดยใช้แซนด์บ็อกซ์เฉพาะทางและ/หรือโซลูชันป้องกันไวรัส สิ่งสำคัญคือต้องตรวจสอบแอปพลิเคชันหนึ่งครั้งก่อนที่จะอัปโหลดไปยัง UEM ดังนั้นในกรณีนี้จึงไม่จำเป็นต้องมีโปรแกรมป้องกันไวรัสบนอุปกรณ์พกพา

การป้องกันเครือข่าย

การป้องกันเครือข่ายของคุณอาจมีคุณลักษณะต่อไปนี้อย่างน้อยหนึ่งอย่าง ทั้งนี้ขึ้นอยู่กับผู้ผลิตโปรแกรมป้องกันไวรัส

การกรอง URL ใช้เพื่อ:

  • การปิดกั้นการรับส่งข้อมูลตามหมวดหมู่ทรัพยากร เช่น ห้ามดูข่าวหรือเนื้อหาอื่นๆ ที่ไม่ใช่ของบริษัทก่อนรับประทานอาหารกลางวันซึ่งเป็นเวลาที่พนักงานมีประสิทธิผลสูงสุด ในทางปฏิบัติ การบล็อกมักใช้งานได้โดยมีข้อจำกัดหลายประการ - ผู้ผลิตโปรแกรมป้องกันไวรัสไม่สามารถจัดการอัปเดตไดเร็กทอรีของหมวดหมู่ทรัพยากรได้ทันเวลาเสมอไป โดยคำนึงถึงการมีอยู่ของ "มิเรอร์" จำนวนมาก นอกจากนี้ยังมีผู้ไม่ระบุชื่อและ Opera VPN ซึ่งส่วนใหญ่มักไม่ถูกบล็อก
  • ป้องกันฟิชชิ่งหรือการปลอมแปลงโฮสต์เป้าหมาย ในการดำเนินการนี้ URL ที่อุปกรณ์เข้าถึงจะถูกตรวจสอบกับฐานข้อมูลต่อต้านไวรัสก่อน ลิงก์ตลอดจนทรัพยากรที่ลิงก์ไป (รวมถึงการเปลี่ยนเส้นทางที่เป็นไปได้หลายครั้ง) จะถูกตรวจสอบกับฐานข้อมูลของไซต์ฟิชชิ่งที่รู้จัก ชื่อโดเมน ใบรับรอง และที่อยู่ IP ยังได้รับการตรวจสอบระหว่างอุปกรณ์มือถือและเซิร์ฟเวอร์ที่เชื่อถือได้ หากไคลเอนต์และเซิร์ฟเวอร์ได้รับข้อมูลที่แตกต่างกัน นี่คือ MITM (“คนตรงกลาง”) หรือการบล็อกการรับส่งข้อมูลโดยใช้โปรแกรมป้องกันไวรัสเดียวกันหรือพรอกซีและตัวกรองเว็บประเภทต่างๆ บนเครือข่ายที่อุปกรณ์มือถือเชื่อมต่ออยู่ ยากที่จะพูดด้วยความมั่นใจว่ามีคนอยู่ตรงกลาง

เพื่อเข้าถึงการรับส่งข้อมูลบนมือถือ โปรแกรมป้องกันไวรัสจะสร้าง VPN หรือใช้ความสามารถของ Accessibility API (API สำหรับแอปพลิเคชันสำหรับคนพิการ) การทำงานพร้อมกันของ VPN หลายตัวบนอุปกรณ์มือถือนั้นเป็นไปไม่ได้ ดังนั้นการป้องกันเครือข่ายจากโปรแกรมป้องกันไวรัสที่สร้าง VPN ของตัวเองจึงไม่สามารถใช้ได้ในโลกธุรกิจ VPN จากโปรแกรมป้องกันไวรัสจะไม่ทำงานร่วมกับ VPN ขององค์กรซึ่งใช้เพื่อเข้าถึงเครือข่ายขององค์กร

การให้โปรแกรมป้องกันไวรัสเข้าถึง Accessibility API ก่อให้เกิดอันตรายอีกอย่างหนึ่ง การเข้าถึง Accessibility API โดยพื้นฐานแล้วหมายถึงการอนุญาตให้ทำทุกอย่างให้กับผู้ใช้ - ดูสิ่งที่ผู้ใช้เห็น ดำเนินการกับแอปพลิเคชันแทนผู้ใช้ ฯลฯ เมื่อพิจารณาว่าผู้ใช้จะต้องให้สิทธิ์การเข้าถึงดังกล่าวแก่โปรแกรมป้องกันไวรัสอย่างชัดเจน จึงมีแนวโน้มที่จะปฏิเสธที่จะทำเช่นนั้น หรือหากถูกบังคับเขาจะซื้อโทรศัพท์เครื่องอื่นให้ตัวเองโดยไม่มีโปรแกรมป้องกันไวรัส

ไฟร์วอลล์

ภายใต้ชื่อทั่วไปนี้มีสามฟังก์ชัน:

  • การรวบรวมสถิติการใช้งานเครือข่าย แบ่งตามแอปพลิเคชันและประเภทเครือข่าย (Wi-Fi, ผู้ให้บริการโทรศัพท์เคลื่อนที่) ผู้ผลิตอุปกรณ์ Android ส่วนใหญ่ให้ข้อมูลนี้ในแอปการตั้งค่า การทำซ้ำในอินเทอร์เฟซการป้องกันไวรัสบนมือถือดูเหมือนซ้ำซ้อน ข้อมูลโดยรวมบนอุปกรณ์ทั้งหมดอาจเป็นที่สนใจ รวบรวมและวิเคราะห์โดยระบบ UEM ได้สำเร็จ
  • การจำกัดการรับส่งข้อมูลบนมือถือ – กำหนดขีดจำกัด และแจ้งเตือนคุณเมื่อถึงขีดจำกัด สำหรับผู้ใช้อุปกรณ์ Android ส่วนใหญ่ คุณลักษณะเหล่านี้มีอยู่ในแอปการตั้งค่า การตั้งค่าข้อจำกัดแบบรวมศูนย์เป็นหน้าที่ของ UEM ไม่ใช่โปรแกรมป้องกันไวรัส
  • ที่จริงแล้วไฟร์วอลล์ หรืออีกนัยหนึ่งคือการบล็อกการเข้าถึงที่อยู่ IP และพอร์ตบางอย่าง เมื่อพิจารณาถึง DDNS ในแหล่งข้อมูลยอดนิยมทั้งหมดและความจำเป็นในการเปิดใช้งาน VPN เพื่อวัตถุประสงค์เหล่านี้ ซึ่งตามที่เขียนไว้ข้างต้น ไม่สามารถทำงานร่วมกับ VPN หลักได้ ฟังก์ชันนี้ดูเหมือนจะไม่สามารถใช้งานได้ในทางปฏิบัติขององค์กร

การตรวจสอบหนังสือมอบอำนาจ Wi-Fi

โปรแกรมป้องกันไวรัสมือถือสามารถประเมินความปลอดภัยของเครือข่าย Wi-Fi ที่อุปกรณ์มือถือเชื่อมต่อได้ สามารถสันนิษฐานได้ว่ามีการตรวจสอบความมีอยู่และความแรงของการเข้ารหัสแล้ว ในเวลาเดียวกัน โปรแกรมสมัยใหม่ทั้งหมดใช้การเข้ารหัสเพื่อส่งข้อมูลที่ละเอียดอ่อน ดังนั้น หากบางโปรแกรมมีช่องโหว่ที่ระดับลิงก์ ก็อาจเป็นอันตรายต่อการใช้งานผ่านช่องทางอินเทอร์เน็ต ไม่ใช่แค่ผ่าน Wi-Fi สาธารณะเท่านั้น
ดังนั้น Wi-Fi สาธารณะ รวมถึงไม่มีการเข้ารหัส จึงไม่เป็นอันตรายและปลอดภัยน้อยกว่าช่องทางการส่งข้อมูลอื่นๆ ที่ไม่น่าเชื่อถือที่ไม่มีการเข้ารหัส

การป้องกันสแปม

ตามกฎแล้วการป้องกันขึ้นอยู่กับการกรองสายเรียกเข้าตามรายการที่ระบุโดยผู้ใช้หรือตามฐานข้อมูลของผู้ส่งอีเมลขยะที่รู้จักซึ่งรบกวนการประกันสินเชื่อและคำเชิญไปโรงละครอย่างไม่สิ้นสุด แม้ว่าพวกเขาจะไม่ได้โทรมาระหว่างการแยกตัวเอง แต่พวกเขาจะเริ่มต้นใหม่อีกครั้งในไม่ช้า เฉพาะการโทรเท่านั้นที่อาจถูกกรอง ข้อความบนอุปกรณ์ Android ในปัจจุบันจะไม่ถูกกรอง เมื่อพิจารณาถึงผู้ส่งอีเมลขยะเปลี่ยนหมายเลขของตนเป็นประจำ และความเป็นไปไม่ได้ในการปกป้องช่องทางข้อความ (SMS, โปรแกรมส่งข้อความด่วน) ฟังก์ชั่นนี้ถือเป็นการตลาดมากกว่าลักษณะเชิงปฏิบัติ

ป้องกันการโจรกรรม

ดำเนินการระยะไกลกับอุปกรณ์มือถือหากสูญหายหรือถูกขโมย ทางเลือกอื่นในบริการ Find My iPhone และ Find My Device จาก Apple และ Google ตามลำดับ ต่างจากบริการแบบอะนาล็อกตรงที่บริการของผู้ผลิตโปรแกรมป้องกันไวรัสไม่สามารถบล็อกอุปกรณ์ได้หากผู้โจมตีสามารถรีเซ็ตอุปกรณ์เป็นการตั้งค่าจากโรงงานได้ แต่หากยังไม่เกิดขึ้น คุณสามารถดำเนินการต่อไปนี้กับอุปกรณ์จากระยะไกลได้:

  • ปิดกั้น. การป้องกันจากโจรใจง่ายเพราะสามารถทำได้ง่าย ๆ โดยการรีเซ็ตอุปกรณ์เป็นการตั้งค่าจากโรงงานผ่านการกู้คืน
  • ค้นหาพิกัดของอุปกรณ์ มีประโยชน์เมื่ออุปกรณ์สูญหายเมื่อเร็วๆ นี้
  • เปิดเสียงบี๊บดังๆ เพื่อช่วยคุณค้นหาอุปกรณ์ของคุณหากอยู่ในโหมดปิดเสียง
  • รีเซ็ตอุปกรณ์เป็นการตั้งค่าจากโรงงาน เป็นเรื่องที่สมเหตุสมผลเมื่อผู้ใช้รับรู้ว่าอุปกรณ์สูญหายอย่างไม่อาจแก้ไขได้ แต่ไม่ต้องการให้ข้อมูลที่เก็บไว้ในอุปกรณ์ถูกเปิดเผย
  • เพื่อให้มีรูปถ่าย ถ่ายภาพผู้โจมตีหากเขาถือโทรศัพท์อยู่ในมือ ฟังก์ชั่นที่น่าสงสัยที่สุดคือโอกาสที่ผู้โจมตีจะชื่นชมโทรศัพท์ในสภาพแสงที่ดีนั้นมีน้อย แต่การมีอยู่บนอุปกรณ์ของแอปพลิเคชันที่สามารถควบคุมกล้องของสมาร์ทโฟนอย่างเงียบ ๆ ถ่ายภาพและส่งไปยังเซิร์ฟเวอร์ทำให้เกิดความกังวลตามสมควร

การดำเนินการคำสั่งระยะไกลเป็นพื้นฐานในระบบ UEM ใดๆ สิ่งเดียวที่ขาดหายไปคือการถ่ายภาพระยะไกล นี่เป็นวิธีที่แน่นอนในการให้ผู้ใช้ถอดแบตเตอรี่ออกจากโทรศัพท์และใส่ไว้ในกระเป๋าฟาราเดย์หลังจากสิ้นสุดวันทำงาน

ฟังก์ชั่นป้องกันการโจรกรรมในแอนตี้ไวรัสบนมือถือนั้นมีให้ใช้งานบน Android เท่านั้น สำหรับ iOS มีเพียง UEM เท่านั้นที่ดำเนินการดังกล่าวได้ อุปกรณ์ iOS สามารถมี UEM ได้เพียงอันเดียว - นี่คือคุณสมบัติทางสถาปัตยกรรมของ iOS

ผลการวิจัย

  1. สถานการณ์ที่ผู้ใช้สามารถติดตั้งมัลแวร์บนโทรศัพท์นั้นเป็นสิ่งที่ยอมรับไม่ได้
  2. UEM ที่กำหนดค่าอย่างเหมาะสมบนอุปกรณ์ขององค์กรทำให้ไม่จำเป็นต้องใช้โปรแกรมป้องกันไวรัส
  3. หากมีการใช้ประโยชน์จากช่องโหว่ 0 วันในระบบปฏิบัติการ โปรแกรมป้องกันไวรัสจะไม่มีประโยชน์ สามารถระบุให้ผู้ดูแลระบบทราบว่าอุปกรณ์มีช่องโหว่เท่านั้น
  4. โปรแกรมป้องกันไวรัสไม่สามารถระบุได้ว่าช่องโหว่นี้กำลังถูกโจมตีหรือไม่ พร้อมทั้งปล่อยอัพเดตสำหรับอุปกรณ์ที่ผู้ผลิตไม่ปล่อยอัพเดตความปลอดภัยอีกต่อไป อย่างมากก็หนึ่งหรือสองปี
  5. หากเราเพิกเฉยต่อข้อกำหนดของหน่วยงานกำกับดูแลและการตลาด แอนติไวรัสมือถือขององค์กรจะมีความจำเป็นบนอุปกรณ์ Android เท่านั้น ซึ่งผู้ใช้สามารถเข้าถึง Google Play และติดตั้งโปรแกรมจากแหล่งบุคคลที่สาม ในกรณีอื่นๆ ประสิทธิผลของการใช้แอนติไวรัสไม่ได้มากไปกว่ายาหลอก

โปรแกรมป้องกันไวรัสบนมือถือไม่ทำงาน

ที่มา: will.com

เพิ่มความคิดเห็น