TL; DR หากอุปกรณ์เคลื่อนที่ในองค์กรของคุณต้องการโปรแกรมป้องกันไวรัส แสดงว่าคุณกำลังทำทุกอย่างผิดและโปรแกรมป้องกันไวรัสจะไม่ช่วยคุณ
โพสต์นี้เป็นผลมาจากการถกเถียงกันอย่างดุเดือดว่าจำเป็นต้องใช้โปรแกรมป้องกันไวรัสบนโทรศัพท์มือถือขององค์กรหรือไม่ ใช้งานได้ในกรณีใดบ้าง และไม่มีประโยชน์ในกรณีใด บทความนี้จะตรวจสอบโมเดลภัยคุกคามที่ตามทฤษฎีแล้วโปรแกรมป้องกันไวรัสควรป้องกัน
ผู้จำหน่ายแอนตี้ไวรัสมักจะพยายามโน้มน้าวลูกค้าองค์กรว่าแอนตี้ไวรัสจะปรับปรุงความปลอดภัยได้อย่างมาก แต่ในกรณีส่วนใหญ่ นี่เป็นการป้องกันที่ลวงตา ซึ่งจะลดความระมัดระวังของทั้งผู้ใช้และผู้ดูแลระบบเท่านั้น
โครงสร้างพื้นฐานขององค์กรที่เหมาะสม
เมื่อบริษัทมีพนักงานหลายหมื่นคน จะไม่สามารถกำหนดค่าอุปกรณ์ผู้ใช้แต่ละเครื่องด้วยตนเองได้ การตั้งค่าสามารถเปลี่ยนแปลงได้ทุกวัน มีพนักงานใหม่เข้ามา โทรศัพท์มือถือและแล็ปท็อปเสียหายหรือสูญหาย ด้วยเหตุนี้ งานของผู้ดูแลระบบทั้งหมดจึงประกอบด้วยการปรับใช้การตั้งค่าใหม่ทุกวันบนอุปกรณ์ของพนักงาน
ปัญหานี้เริ่มได้รับการแก้ไขบนคอมพิวเตอร์เดสก์ท็อปเมื่อนานมาแล้ว ในโลกของ Windows การจัดการดังกล่าวมักเกิดขึ้นโดยใช้ Active Directory, ระบบการตรวจสอบความถูกต้องแบบรวมศูนย์ (การลงชื่อเข้าใช้ครั้งเดียว) เป็นต้น แต่ตอนนี้พนักงานทุกคนได้เพิ่มสมาร์ทโฟนลงในคอมพิวเตอร์ ซึ่งเป็นส่วนสำคัญของกระบวนการทำงานและจัดเก็บข้อมูลสำคัญไว้ Microsoft พยายามรวม Windows Phone เข้ากับระบบนิเวศเดียวกับ Windows แต่แนวคิดนี้เสียชีวิตพร้อมกับการสิ้นสุดอย่างเป็นทางการของ Windows Phone ดังนั้นในสภาพแวดล้อมขององค์กร ไม่ว่าในกรณีใด คุณต้องเลือกระหว่าง Android และ iOS
ขณะนี้ในสภาพแวดล้อมขององค์กร แนวคิดของ UEM (การจัดการอุปกรณ์ปลายทางแบบครบวงจร) กำลังเป็นที่นิยมในการจัดการอุปกรณ์ของพนักงาน นี่คือระบบการจัดการแบบรวมศูนย์สำหรับอุปกรณ์เคลื่อนที่และคอมพิวเตอร์เดสก์ท็อป
การจัดการอุปกรณ์ผู้ใช้แบบรวมศูนย์ (การจัดการอุปกรณ์ปลายทางแบบครบวงจร)
ผู้ดูแลระบบ UEM สามารถกำหนดนโยบายต่างๆ ให้กับอุปกรณ์ของผู้ใช้ได้ ตัวอย่างเช่น การอนุญาตให้ผู้ใช้ควบคุมอุปกรณ์ได้ไม่มากก็น้อย ติดตั้งแอปพลิเคชันจากแหล่งบุคคลที่สาม เป็นต้น
UEM ทำอะไรได้บ้าง:
จัดการการตั้งค่าทั้งหมด — ผู้ดูแลระบบสามารถห้ามไม่ให้ผู้ใช้เปลี่ยนการตั้งค่าบนอุปกรณ์และเปลี่ยนจากระยะไกลได้อย่างสมบูรณ์
ซอฟต์แวร์ควบคุมบนอุปกรณ์ — ช่วยให้สามารถติดตั้งโปรแกรมบนอุปกรณ์และติดตั้งโปรแกรมอัตโนมัติโดยที่ผู้ใช้ไม่รู้ตัว ผู้ดูแลระบบยังสามารถบล็อกหรืออนุญาตการติดตั้งโปรแกรมจากร้านแอปพลิเคชันหรือจากแหล่งที่ไม่น่าเชื่อถือ (จากไฟล์ APK ในกรณีของ Android)
การปิดกั้นระยะไกล — หากโทรศัพท์สูญหาย ผู้ดูแลระบบสามารถบล็อคอุปกรณ์หรือล้างข้อมูลได้ บางระบบยังอนุญาตให้คุณตั้งค่าการลบข้อมูลอัตโนมัติหากโทรศัพท์ไม่ได้ติดต่อกับเซิร์ฟเวอร์เป็นเวลานานกว่า N ชั่วโมง เพื่อลดโอกาสที่จะพยายามแฮ็กแบบออฟไลน์เมื่อผู้โจมตีจัดการเพื่อถอดซิมการ์ดออกก่อนที่จะส่งคำสั่งล้างข้อมูลจากเซิร์ฟเวอร์ .
รวบรวมสถิติ — ติดตามกิจกรรมของผู้ใช้ เวลาใช้งานแอปพลิเคชัน ตำแหน่ง ระดับแบตเตอรี่ ฯลฯ
UEM คืออะไร?
มีสองแนวทางที่แตกต่างกันโดยพื้นฐานสำหรับการจัดการสมาร์ทโฟนของพนักงานแบบรวมศูนย์ ในกรณีหนึ่ง บริษัทซื้ออุปกรณ์จากผู้ผลิตรายหนึ่งสำหรับพนักงาน และมักจะเลือกระบบการจัดการจากซัพพลายเออร์รายเดียวกัน ในอีกกรณีหนึ่ง พนักงานใช้อุปกรณ์ส่วนตัวในการทำงาน และที่นี่จะมีระบบปฏิบัติการ เวอร์ชัน และแพลตฟอร์มเริ่มต้นขึ้น
BYOD (นำอุปกรณ์มาเอง) เป็นแนวคิดที่พนักงานใช้อุปกรณ์และบัญชีส่วนตัวในการทำงาน ระบบการจัดการแบบรวมศูนย์บางระบบช่วยให้คุณสามารถเพิ่มบัญชีงานที่สองและแยกข้อมูลของคุณออกเป็นส่วนตัวและที่ทำงานได้อย่างสมบูรณ์
ที่จริงแล้วมีผู้ให้บริการ UEM อีกหลายราย แต่เราจะไม่วิเคราะห์พวกเขาทั้งหมดในบทความนี้ สิ่งสำคัญที่ต้องจำไว้คือระบบดังกล่าวมีอยู่แล้ว และอนุญาตให้ผู้ดูแลระบบกำหนดค่าอุปกรณ์ของผู้ใช้ให้เหมาะสมกับรูปแบบภัยคุกคามที่มีอยู่
รูปแบบภัยคุกคาม
ก่อนที่จะเลือกเครื่องมือป้องกัน เราต้องเข้าใจว่าเรากำลังป้องกันตัวเองจากอะไร และสิ่งที่เลวร้ายที่สุดสามารถเกิดขึ้นได้ในกรณีของเราโดยเฉพาะ พูดค่อนข้างมาก: ร่างกายของเราเสี่ยงต่อกระสุน แม้แต่ส้อมและตะปูได้ง่าย แต่เราไม่สวมเสื้อเกราะกันกระสุนเมื่อออกจากบ้าน ดังนั้น โมเดลภัยคุกคามของเราจึงไม่รวมความเสี่ยงที่จะถูกยิงระหว่างเดินทางไปทำงาน แม้ว่าในทางสถิติจะไม่น่าจะเป็นไปได้ก็ตาม ยิ่งไปกว่านั้น ในบางเงื่อนไข การสวมเสื้อเกราะกันกระสุนก็เป็นสิ่งที่สมเหตุสมผล
รูปแบบภัยคุกคามแตกต่างกันไปในแต่ละบริษัท ตัวอย่างเช่น สมาร์ทโฟนของผู้จัดส่งที่กำลังเดินทางไปส่งพัสดุให้กับลูกค้า สมาร์ทโฟนของเขามีเพียงที่อยู่ของการจัดส่งปัจจุบันและเส้นทางบนแผนที่เท่านั้น สิ่งที่เลวร้ายที่สุดที่อาจเกิดขึ้นกับข้อมูลของเขาคือการรั่วไหลของที่อยู่จัดส่งพัสดุ
และนี่คือสมาร์ทโฟนของนักบัญชี เขาสามารถเข้าถึงเครือข่ายองค์กรผ่าน VPN ติดตั้งแอปพลิเคชันลูกค้า-ธนาคารระดับองค์กร และจัดเก็บเอกสารที่มีข้อมูลอันมีค่า แน่นอนว่ามูลค่าของข้อมูลบนอุปกรณ์ทั้งสองนี้แตกต่างกันอย่างมากและควรได้รับการปกป้องที่แตกต่างกัน
แอนติไวรัสจะช่วยเราได้ไหม?
น่าเสียดายที่เบื้องหลังสโลแกนทางการตลาด ความหมายที่แท้จริงของงานที่โปรแกรมป้องกันไวรัสทำบนอุปกรณ์มือถือนั้นหายไป ลองทำความเข้าใจในรายละเอียดว่าโปรแกรมป้องกันไวรัสทำอะไรบนโทรศัพท์
การตรวจสอบความปลอดภัย
แอนตี้ไวรัสมือถือรุ่นใหม่ส่วนใหญ่จะตรวจสอบการตั้งค่าความปลอดภัยบนอุปกรณ์ การตรวจสอบนี้บางครั้งเรียกว่า "การตรวจสอบชื่อเสียงของอุปกรณ์" แอนติไวรัสจะถือว่าอุปกรณ์ปลอดภัยหากตรงตามเงื่อนไขสี่ประการ:
- อุปกรณ์ไม่ถูกแฮ็ก (รูท, เจลเบรค)
- อุปกรณ์มีการกำหนดค่ารหัสผ่าน
- ไม่ได้เปิดใช้งานการแก้ไขจุดบกพร่อง USB บนอุปกรณ์
- ไม่อนุญาตให้ติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ (ไซด์โหลด) บนอุปกรณ์
หากพบว่าอุปกรณ์ไม่ปลอดภัยจากการสแกน โปรแกรมป้องกันไวรัสจะแจ้งให้เจ้าของทราบและเสนอให้ปิดการใช้งานฟังก์ชัน "อันตราย" หรือส่งคืนเฟิร์มแวร์จากโรงงานหากมีสัญญาณของการรูทหรือการเจลเบรก
ตามธรรมเนียมของบริษัท การแจ้งผู้ใช้เพียงอย่างเดียวนั้นไม่เพียงพอ จะต้องกำจัดการกำหนดค่าที่ไม่ปลอดภัย ในการดำเนินการนี้ คุณจะต้องกำหนดค่านโยบายความปลอดภัยบนอุปกรณ์เคลื่อนที่โดยใช้ระบบ UEM และหากตรวจพบการรูท / การเจลเบรก คุณจะต้องลบข้อมูลองค์กรออกจากอุปกรณ์อย่างรวดเร็วและบล็อกการเข้าถึงเครือข่ายองค์กร และสิ่งนี้ก็เป็นไปได้ด้วย UEM และหลังจากขั้นตอนเหล่านี้เท่านั้นจึงจะถือว่าอุปกรณ์มือถือปลอดภัย
ค้นหาและลบไวรัส
ตรงกันข้ามกับความเชื่อที่นิยมว่าไม่มีไวรัสสำหรับ iOS สิ่งนี้ไม่เป็นความจริง ยังคงมีการหาประโยชน์ทั่วไปใน iOS เวอร์ชันเก่า
เมื่อใช้ Android สถานการณ์จะแตกต่างออกไป แอปพลิเคชันสามารถรับข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้งบนอุปกรณ์ได้ พวกเขายังสามารถเข้าถึงการแจกแจงของพวกเขาได้ (เช่น Apk Extractor และแอนะล็อก) แอปพลิเคชัน Android ยังมีความสามารถในการเข้าถึงไฟล์ (เช่น Total Commander เป็นต้น) แอปพลิเคชัน Android สามารถถอดรหัสได้
ด้วยความสามารถดังกล่าว อัลกอริธึมป้องกันไวรัสต่อไปนี้จึงดูสมเหตุสมผล:
- การตรวจสอบใบสมัคร
- รับรายการแอปพลิเคชันที่ติดตั้งและเช็คซัม (CS) ของการแจกแจง
- ตรวจสอบแอปพลิเคชันและ CS ก่อนในเครื่อง จากนั้นจึงตรวจสอบในฐานข้อมูลส่วนกลาง
- หากไม่ทราบแอปพลิเคชัน ให้โอนการแจกจ่ายไปยังฐานข้อมูลส่วนกลางเพื่อการวิเคราะห์และถอดรหัส
- ตรวจสอบไฟล์ ค้นหาลายเซ็นไวรัส
- ตรวจสอบไฟล์ CS ในเครื่อง จากนั้นในฐานข้อมูลส่วนกลาง
- ตรวจสอบไฟล์เพื่อหาเนื้อหาที่ไม่ปลอดภัย (สคริปต์ การใช้ประโยชน์ ฯลฯ) โดยใช้ฐานข้อมูลท้องถิ่นและฐานข้อมูลระดับโลก
- หากตรวจพบมัลแวร์ ให้แจ้งผู้ใช้และ/หรือบล็อกการเข้าถึงมัลแวร์ของผู้ใช้ และ/หรือส่งต่อข้อมูลไปยัง UEM จำเป็นต้องถ่ายโอนข้อมูลไปยัง UEM เนื่องจากโปรแกรมป้องกันไวรัสไม่สามารถลบมัลแวร์ออกจากอุปกรณ์ได้อย่างอิสระ
ข้อกังวลที่ใหญ่ที่สุดคือความเป็นไปได้ในการถ่ายโอนการกระจายซอฟต์แวร์จากอุปกรณ์ไปยังเซิร์ฟเวอร์ภายนอก หากไม่มีสิ่งนี้ ก็เป็นไปไม่ได้เลยที่จะใช้ “การวิเคราะห์พฤติกรรม” ที่ผู้ผลิตโปรแกรมป้องกันไวรัสอ้างสิทธิ์ เนื่องจาก บนอุปกรณ์ คุณจะไม่สามารถเรียกใช้แอปพลิเคชันใน “แซนด์บ็อกซ์” ที่แยกต่างหากหรือแยกคอมไพล์ได้ (คำถามที่ซับซ้อนจะมีประสิทธิภาพเพียงใดเมื่อใช้การทำให้งงงวยเป็นคำถามที่ซับซ้อนแยกต่างหาก) ในทางกลับกัน แอปพลิเคชันขององค์กรอาจติดตั้งบนอุปกรณ์เคลื่อนที่ของพนักงานที่โปรแกรมป้องกันไวรัสไม่รู้จักเนื่องจากไม่ได้อยู่ใน Google Play แอพมือถือเหล่านี้อาจมีข้อมูลที่ละเอียดอ่อนซึ่งอาจทำให้แอพเหล่านี้ไม่ปรากฏในร้านค้าสาธารณะ การถ่ายโอนการแจกจ่ายดังกล่าวไปยังผู้ผลิตโปรแกรมป้องกันไวรัสดูเหมือนไม่ถูกต้องจากมุมมองด้านความปลอดภัย การเพิ่มสิ่งเหล่านี้เข้าไปในข้อยกเว้นเป็นเรื่องที่สมเหตุสมผล แต่ฉันยังไม่รู้เกี่ยวกับการมีอยู่ของกลไกดังกล่าว
มัลแวร์ที่ไม่มีสิทธิ์รูทสามารถทำได้
1. วาดหน้าต่างที่มองไม่เห็นของคุณเองที่ด้านบนของแอปพลิเคชัน หรือใช้แป้นพิมพ์ของคุณเองเพื่อคัดลอกข้อมูลที่ผู้ใช้ป้อน - พารามิเตอร์บัญชี บัตรธนาคาร ฯลฯ ตัวอย่างล่าสุดคือช่องโหว่
2. เข้าถึงข้อมูลในไดเร็กทอรีสาธารณะ – ดาวน์โหลด, เอกสาร, แกลเลอรี่ ไม่แนะนำให้จัดเก็บข้อมูลมูลค่าของบริษัทไว้ในไดเร็กทอรีเหล่านี้ เนื่องจากสามารถเข้าถึงได้โดยแอปพลิเคชันใดๆ และผู้ใช้เองจะสามารถแบ่งปันเอกสารลับโดยใช้แอปพลิเคชันที่มีอยู่ได้ตลอดเวลา
3. รบกวนผู้ใช้ด้วยการโฆษณา ขุด bitcoins เป็นส่วนหนึ่งของ botnet ฯลฯ. สิ่งนี้อาจส่งผลเสียต่อประสิทธิภาพผู้ใช้และ/หรืออุปกรณ์ แต่จะไม่ก่อให้เกิดภัยคุกคามต่อข้อมูลองค์กร
มัลแวร์ที่มีสิทธิ์รูทสามารถทำอะไรก็ได้ เกิดขึ้นได้ยากเนื่องจากการแฮ็กอุปกรณ์ Android สมัยใหม่โดยใช้แอปพลิเคชันแทบจะเป็นไปไม่ได้เลย ครั้งสุดท้ายที่มีการค้นพบช่องโหว่ดังกล่าวคือในปี 2016 นี่คือ Dirty COW ที่น่าตื่นเต้นซึ่งได้รับหมายเลขดังกล่าว
ไฟล์ที่เป็นอันตรายอาจเป็นอันตรายต่อทั้งอุปกรณ์เคลื่อนที่และระบบขององค์กรที่อุปกรณ์เข้าถึงได้ มาดูรายละเอียดสถานการณ์เหล่านี้กันดีกว่า
ความเสียหายต่ออุปกรณ์เคลื่อนที่อาจเกิดขึ้นได้ เช่น หากคุณดาวน์โหลดรูปภาพลงในอุปกรณ์ ซึ่งเมื่อเปิดหรือพยายามติดตั้งวอลเปเปอร์ จะทำให้อุปกรณ์กลายเป็น "อิฐ" หรือรีบูตเครื่อง สิ่งนี้น่าจะเป็นอันตรายต่ออุปกรณ์หรือผู้ใช้ แต่จะไม่ส่งผลกระทบต่อความเป็นส่วนตัวของข้อมูล แม้ว่าจะมีข้อยกเว้นก็ตาม
ช่องโหว่นี้ได้ถูกกล่าวถึงเมื่อเร็วๆ นี้
ไฟล์ที่ถ่ายโอนจากอุปกรณ์พกพาอาจก่อให้เกิดอันตรายต่อระบบขององค์กร ตัวอย่างเช่น มีไฟล์ที่ติดไวรัสบนอุปกรณ์พกพาซึ่งไม่เป็นอันตรายต่ออุปกรณ์ แต่สามารถแพร่เชื้อไปยังคอมพิวเตอร์ Windows ได้ ผู้ใช้ส่งไฟล์ดังกล่าวทางอีเมลถึงเพื่อนร่วมงานของเขา เขาเปิดมันบนพีซีและด้วยเหตุนี้จึงสามารถแพร่เชื้อได้ แต่แอนติไวรัสอย่างน้อยสองตัวที่ขัดขวางการโจมตีนี้ - ตัวหนึ่งอยู่บนเซิร์ฟเวอร์อีเมล และอีกตัวบนพีซีของผู้รับ การเพิ่มแอนติไวรัสตัวที่สามให้กับเครือข่ายนี้บนอุปกรณ์พกพาดูเหมือนจะหวาดระแวงอย่างยิ่ง
อย่างที่คุณเห็น ภัยคุกคามที่ยิ่งใหญ่ที่สุดในโลกดิจิทัลขององค์กรคือมัลแวร์ที่ไม่มีสิทธิ์รูท สิ่งเหล่านี้มาจากไหนบนอุปกรณ์พกพา?
ส่วนใหญ่มักติดตั้งโดยใช้ไซด์โหลด adb หรือร้านค้าบุคคลที่สามซึ่งควรห้ามไว้ในอุปกรณ์พกพาที่สามารถเข้าถึงเครือข่ายองค์กรได้ มีสองตัวเลือกที่เหลือสำหรับมัลแวร์: จาก Google Play หรือจาก UEM
ก่อนที่จะเผยแพร่บน Google Play แอปพลิเคชันทั้งหมดจะต้องผ่านการตรวจสอบภาคบังคับ แต่สำหรับแอปพลิเคชันที่มีการติดตั้งจำนวนน้อย การตรวจสอบมักดำเนินการโดยไม่มีการแทรกแซงของมนุษย์ เฉพาะในโหมดอัตโนมัติเท่านั้น ดังนั้นบางครั้งมัลแวร์จึงเข้าสู่ Google Play แต่ก็ยังไม่บ่อยนัก โปรแกรมป้องกันไวรัสที่มีการอัปเดตฐานข้อมูลอย่างทันท่วงทีจะสามารถตรวจจับแอปพลิเคชันที่มีมัลแวร์บนอุปกรณ์ได้ก่อน Google Play Protect ซึ่งยังคงล้าหลังในเรื่องความเร็วในการอัปเดตฐานข้อมูลแอนติไวรัส
UEM สามารถติดตั้งแอปพลิเคชันใดๆ บนอุปกรณ์เคลื่อนที่ได้ รวมถึง มัลแวร์ ดังนั้นจึงต้องสแกนแอปพลิเคชันใดๆ ก่อน สามารถตรวจสอบแอปพลิเคชันได้ทั้งในระหว่างการพัฒนาโดยใช้เครื่องมือวิเคราะห์แบบคงที่และไดนามิก และทันทีก่อนที่จะเผยแพร่โดยใช้แซนด์บ็อกซ์เฉพาะทางและ/หรือโซลูชันป้องกันไวรัส สิ่งสำคัญคือต้องตรวจสอบแอปพลิเคชันหนึ่งครั้งก่อนที่จะอัปโหลดไปยัง UEM ดังนั้นในกรณีนี้จึงไม่จำเป็นต้องมีโปรแกรมป้องกันไวรัสบนอุปกรณ์พกพา
การป้องกันเครือข่าย
การป้องกันเครือข่ายของคุณอาจมีคุณลักษณะต่อไปนี้อย่างน้อยหนึ่งอย่าง ทั้งนี้ขึ้นอยู่กับผู้ผลิตโปรแกรมป้องกันไวรัส
การกรอง URL ใช้เพื่อ:
- การปิดกั้นการรับส่งข้อมูลตามหมวดหมู่ทรัพยากร เช่น ห้ามดูข่าวหรือเนื้อหาอื่นๆ ที่ไม่ใช่ของบริษัทก่อนรับประทานอาหารกลางวันซึ่งเป็นเวลาที่พนักงานมีประสิทธิผลสูงสุด ในทางปฏิบัติ การบล็อกมักใช้งานได้โดยมีข้อจำกัดหลายประการ - ผู้ผลิตโปรแกรมป้องกันไวรัสไม่สามารถจัดการอัปเดตไดเร็กทอรีของหมวดหมู่ทรัพยากรได้ทันเวลาเสมอไป โดยคำนึงถึงการมีอยู่ของ "มิเรอร์" จำนวนมาก นอกจากนี้ยังมีผู้ไม่ระบุชื่อและ Opera VPN ซึ่งส่วนใหญ่มักไม่ถูกบล็อก
- ป้องกันฟิชชิ่งหรือการปลอมแปลงโฮสต์เป้าหมาย ในการดำเนินการนี้ URL ที่อุปกรณ์เข้าถึงจะถูกตรวจสอบกับฐานข้อมูลต่อต้านไวรัสก่อน ลิงก์ตลอดจนทรัพยากรที่ลิงก์ไป (รวมถึงการเปลี่ยนเส้นทางที่เป็นไปได้หลายครั้ง) จะถูกตรวจสอบกับฐานข้อมูลของไซต์ฟิชชิ่งที่รู้จัก ชื่อโดเมน ใบรับรอง และที่อยู่ IP ยังได้รับการตรวจสอบระหว่างอุปกรณ์มือถือและเซิร์ฟเวอร์ที่เชื่อถือได้ หากไคลเอนต์และเซิร์ฟเวอร์ได้รับข้อมูลที่แตกต่างกัน นี่คือ MITM (“คนตรงกลาง”) หรือการบล็อกการรับส่งข้อมูลโดยใช้โปรแกรมป้องกันไวรัสเดียวกันหรือพรอกซีและตัวกรองเว็บประเภทต่างๆ บนเครือข่ายที่อุปกรณ์มือถือเชื่อมต่ออยู่ ยากที่จะพูดด้วยความมั่นใจว่ามีคนอยู่ตรงกลาง
เพื่อเข้าถึงการรับส่งข้อมูลบนมือถือ โปรแกรมป้องกันไวรัสจะสร้าง VPN หรือใช้ความสามารถของ Accessibility API (API สำหรับแอปพลิเคชันสำหรับคนพิการ) การทำงานพร้อมกันของ VPN หลายตัวบนอุปกรณ์มือถือนั้นเป็นไปไม่ได้ ดังนั้นการป้องกันเครือข่ายจากโปรแกรมป้องกันไวรัสที่สร้าง VPN ของตัวเองจึงไม่สามารถใช้ได้ในโลกธุรกิจ VPN จากโปรแกรมป้องกันไวรัสจะไม่ทำงานร่วมกับ VPN ขององค์กรซึ่งใช้เพื่อเข้าถึงเครือข่ายขององค์กร
การให้โปรแกรมป้องกันไวรัสเข้าถึง Accessibility API ก่อให้เกิดอันตรายอีกอย่างหนึ่ง การเข้าถึง Accessibility API โดยพื้นฐานแล้วหมายถึงการอนุญาตให้ทำทุกอย่างให้กับผู้ใช้ - ดูสิ่งที่ผู้ใช้เห็น ดำเนินการกับแอปพลิเคชันแทนผู้ใช้ ฯลฯ เมื่อพิจารณาว่าผู้ใช้จะต้องให้สิทธิ์การเข้าถึงดังกล่าวแก่โปรแกรมป้องกันไวรัสอย่างชัดเจน จึงมีแนวโน้มที่จะปฏิเสธที่จะทำเช่นนั้น หรือหากถูกบังคับเขาจะซื้อโทรศัพท์เครื่องอื่นให้ตัวเองโดยไม่มีโปรแกรมป้องกันไวรัส
ไฟร์วอลล์
ภายใต้ชื่อทั่วไปนี้มีสามฟังก์ชัน:
- การรวบรวมสถิติการใช้งานเครือข่าย แบ่งตามแอปพลิเคชันและประเภทเครือข่าย (Wi-Fi, ผู้ให้บริการโทรศัพท์เคลื่อนที่) ผู้ผลิตอุปกรณ์ Android ส่วนใหญ่ให้ข้อมูลนี้ในแอปการตั้งค่า การทำซ้ำในอินเทอร์เฟซการป้องกันไวรัสบนมือถือดูเหมือนซ้ำซ้อน ข้อมูลโดยรวมบนอุปกรณ์ทั้งหมดอาจเป็นที่สนใจ รวบรวมและวิเคราะห์โดยระบบ UEM ได้สำเร็จ
- การจำกัดการรับส่งข้อมูลบนมือถือ – กำหนดขีดจำกัด และแจ้งเตือนคุณเมื่อถึงขีดจำกัด สำหรับผู้ใช้อุปกรณ์ Android ส่วนใหญ่ คุณลักษณะเหล่านี้มีอยู่ในแอปการตั้งค่า การตั้งค่าข้อจำกัดแบบรวมศูนย์เป็นหน้าที่ของ UEM ไม่ใช่โปรแกรมป้องกันไวรัส
- ที่จริงแล้วไฟร์วอลล์ หรืออีกนัยหนึ่งคือการบล็อกการเข้าถึงที่อยู่ IP และพอร์ตบางอย่าง เมื่อพิจารณาถึง DDNS ในแหล่งข้อมูลยอดนิยมทั้งหมดและความจำเป็นในการเปิดใช้งาน VPN เพื่อวัตถุประสงค์เหล่านี้ ซึ่งตามที่เขียนไว้ข้างต้น ไม่สามารถทำงานร่วมกับ VPN หลักได้ ฟังก์ชันนี้ดูเหมือนจะไม่สามารถใช้งานได้ในทางปฏิบัติขององค์กร
การตรวจสอบหนังสือมอบอำนาจ Wi-Fi
โปรแกรมป้องกันไวรัสมือถือสามารถประเมินความปลอดภัยของเครือข่าย Wi-Fi ที่อุปกรณ์มือถือเชื่อมต่อได้ สามารถสันนิษฐานได้ว่ามีการตรวจสอบความมีอยู่และความแรงของการเข้ารหัสแล้ว ในเวลาเดียวกัน โปรแกรมสมัยใหม่ทั้งหมดใช้การเข้ารหัสเพื่อส่งข้อมูลที่ละเอียดอ่อน ดังนั้น หากบางโปรแกรมมีช่องโหว่ที่ระดับลิงก์ ก็อาจเป็นอันตรายต่อการใช้งานผ่านช่องทางอินเทอร์เน็ต ไม่ใช่แค่ผ่าน Wi-Fi สาธารณะเท่านั้น
ดังนั้น Wi-Fi สาธารณะ รวมถึงไม่มีการเข้ารหัส จึงไม่เป็นอันตรายและปลอดภัยน้อยกว่าช่องทางการส่งข้อมูลอื่นๆ ที่ไม่น่าเชื่อถือที่ไม่มีการเข้ารหัส
การป้องกันสแปม
ตามกฎแล้วการป้องกันขึ้นอยู่กับการกรองสายเรียกเข้าตามรายการที่ระบุโดยผู้ใช้หรือตามฐานข้อมูลของผู้ส่งอีเมลขยะที่รู้จักซึ่งรบกวนการประกันสินเชื่อและคำเชิญไปโรงละครอย่างไม่สิ้นสุด แม้ว่าพวกเขาจะไม่ได้โทรมาระหว่างการแยกตัวเอง แต่พวกเขาจะเริ่มต้นใหม่อีกครั้งในไม่ช้า เฉพาะการโทรเท่านั้นที่อาจถูกกรอง ข้อความบนอุปกรณ์ Android ในปัจจุบันจะไม่ถูกกรอง เมื่อพิจารณาถึงผู้ส่งอีเมลขยะเปลี่ยนหมายเลขของตนเป็นประจำ และความเป็นไปไม่ได้ในการปกป้องช่องทางข้อความ (SMS, โปรแกรมส่งข้อความด่วน) ฟังก์ชั่นนี้ถือเป็นการตลาดมากกว่าลักษณะเชิงปฏิบัติ
ป้องกันการโจรกรรม
ดำเนินการระยะไกลกับอุปกรณ์มือถือหากสูญหายหรือถูกขโมย ทางเลือกอื่นในบริการ Find My iPhone และ Find My Device จาก Apple และ Google ตามลำดับ ต่างจากบริการแบบอะนาล็อกตรงที่บริการของผู้ผลิตโปรแกรมป้องกันไวรัสไม่สามารถบล็อกอุปกรณ์ได้หากผู้โจมตีสามารถรีเซ็ตอุปกรณ์เป็นการตั้งค่าจากโรงงานได้ แต่หากยังไม่เกิดขึ้น คุณสามารถดำเนินการต่อไปนี้กับอุปกรณ์จากระยะไกลได้:
- ปิดกั้น. การป้องกันจากโจรใจง่ายเพราะสามารถทำได้ง่าย ๆ โดยการรีเซ็ตอุปกรณ์เป็นการตั้งค่าจากโรงงานผ่านการกู้คืน
- ค้นหาพิกัดของอุปกรณ์ มีประโยชน์เมื่ออุปกรณ์สูญหายเมื่อเร็วๆ นี้
- เปิดเสียงบี๊บดังๆ เพื่อช่วยคุณค้นหาอุปกรณ์ของคุณหากอยู่ในโหมดปิดเสียง
- รีเซ็ตอุปกรณ์เป็นการตั้งค่าจากโรงงาน เป็นเรื่องที่สมเหตุสมผลเมื่อผู้ใช้รับรู้ว่าอุปกรณ์สูญหายอย่างไม่อาจแก้ไขได้ แต่ไม่ต้องการให้ข้อมูลที่เก็บไว้ในอุปกรณ์ถูกเปิดเผย
- เพื่อให้มีรูปถ่าย ถ่ายภาพผู้โจมตีหากเขาถือโทรศัพท์อยู่ในมือ ฟังก์ชั่นที่น่าสงสัยที่สุดคือโอกาสที่ผู้โจมตีจะชื่นชมโทรศัพท์ในสภาพแสงที่ดีนั้นมีน้อย แต่การมีอยู่บนอุปกรณ์ของแอปพลิเคชันที่สามารถควบคุมกล้องของสมาร์ทโฟนอย่างเงียบ ๆ ถ่ายภาพและส่งไปยังเซิร์ฟเวอร์ทำให้เกิดความกังวลตามสมควร
การดำเนินการคำสั่งระยะไกลเป็นพื้นฐานในระบบ UEM ใดๆ สิ่งเดียวที่ขาดหายไปคือการถ่ายภาพระยะไกล นี่เป็นวิธีที่แน่นอนในการให้ผู้ใช้ถอดแบตเตอรี่ออกจากโทรศัพท์และใส่ไว้ในกระเป๋าฟาราเดย์หลังจากสิ้นสุดวันทำงาน
ฟังก์ชั่นป้องกันการโจรกรรมในแอนตี้ไวรัสบนมือถือนั้นมีให้ใช้งานบน Android เท่านั้น สำหรับ iOS มีเพียง UEM เท่านั้นที่ดำเนินการดังกล่าวได้ อุปกรณ์ iOS สามารถมี UEM ได้เพียงอันเดียว - นี่คือคุณสมบัติทางสถาปัตยกรรมของ iOS
ผลการวิจัย
- สถานการณ์ที่ผู้ใช้สามารถติดตั้งมัลแวร์บนโทรศัพท์นั้นเป็นสิ่งที่ยอมรับไม่ได้
- UEM ที่กำหนดค่าอย่างเหมาะสมบนอุปกรณ์ขององค์กรทำให้ไม่จำเป็นต้องใช้โปรแกรมป้องกันไวรัส
- หากมีการใช้ประโยชน์จากช่องโหว่ 0 วันในระบบปฏิบัติการ โปรแกรมป้องกันไวรัสจะไม่มีประโยชน์ สามารถระบุให้ผู้ดูแลระบบทราบว่าอุปกรณ์มีช่องโหว่เท่านั้น
- โปรแกรมป้องกันไวรัสไม่สามารถระบุได้ว่าช่องโหว่นี้กำลังถูกโจมตีหรือไม่ พร้อมทั้งปล่อยอัพเดตสำหรับอุปกรณ์ที่ผู้ผลิตไม่ปล่อยอัพเดตความปลอดภัยอีกต่อไป อย่างมากก็หนึ่งหรือสองปี
- หากเราเพิกเฉยต่อข้อกำหนดของหน่วยงานกำกับดูแลและการตลาด แอนติไวรัสมือถือขององค์กรจะมีความจำเป็นบนอุปกรณ์ Android เท่านั้น ซึ่งผู้ใช้สามารถเข้าถึง Google Play และติดตั้งโปรแกรมจากแหล่งบุคคลที่สาม ในกรณีอื่นๆ ประสิทธิผลของการใช้แอนติไวรัสไม่ได้มากไปกว่ายาหลอก
ที่มา: will.com