Стрімкий розвиток портативної електроніки та, зокрема, смартфонів та планшетів, створив масу нових викликів для корпоративної інформаційної безпеки. І справді, якщо раніше вся кібербезпека будувалася на створенні захищеного периметра та його подальшій охороні, то тепер, коли практично кожен співробітник використовує для вирішення робочих завдань власні мобільні пристрої, контролювати периметр безпеки стало дуже складно. Особливо це актуально для великих підприємств, у яких кожен працівник має на руках логін та пароль від електронної пошти та інших корпоративних ресурсів. Найчастіше купуючи новий смартфон або планшет, співробітник підприємства вводить на ньому свої облікові дані, нерідко забуваючи при цьому розлогитися на старому пристрої. Навіть якщо таких безвідповідальних співробітників на підприємстві всього 5%, без належного контролю з боку адміністратора стан справ з доступом мобільних пристроїв до поштового сервера дуже швидко перетворюється на справжнісінький бардак.
Крім того, досить часто мобільні пристрої губляться або крадуться, і згодом використовуються для пошуку компромату, а також доступу до корпоративних ресурсів та даних, що становлять комерційну таємницю. Як правило, найбільша шкода корпоративної кібербезпеки тягне за собою отримання зловмисниками доступу до електронної пошти співробітника. Завдяки цьому вони можуть отримати доступ до глобального списку адрес та контактів, до розкладу зустрічей, у яких повинен був взяти участь невдалий співробітник, а також до його листування. Крім того, зловмисники, які отримали доступ до корпоративної пошти, отримують можливість розсилати фішингові або заражені шкідливими програмами листи з довіреної поштової адреси. Все це разом дає зловмисникам практично необмежені можливості для здійснення кібератак, а також використання соціальної інженерії для досягнення своєї мети.
Для того, щоб здійснювати контроль за мобільними пристроями, що входять до периметра безпеки, існує технологія ABQ, або Allow/Block/Quarantine. Вона дозволяє адміністратору контролювати список мобільних пристроїв, яким можна синхронізувати дані з поштовим сервером, а при необхідності блокувати скомпрометовані пристрої та поміщати в карантин підозрілі мобільні пристрої.
Однак, як знає будь-який адміністратор безкоштовної версії Zimbra Collaboration Suite Open-Source Edition, можливості її взаємодії з мобільними пристроями дуже обмежені. Строго кажучи, користувачі безкоштовної версії Zimbra можуть лише отримувати та відправляти листи протоколом POP3 або IMAP, не маючи при цьому вбудованої можливості синхронізувати з сервером дані щоденника, адресних книг та нотаток. Не реалізована у безкоштовній версії Zimbra Collaboration Suite та технологія ABQ, що автоматично ставить хрест на всіх спробах створити закритий інформаційний периметр на підприємстві. В умовах, коли адміністратор не знає, які пристрої підключаються до його сервера, на підприємстві можуть з'явитися витоку інформації, а також різко зростає можливість проведення кібератаки за описаним раніше сценарієм.
Вирішити це питання у Zimbra Collaboration Suite Open-Source Edition допоможе модульне розширення Zextras Mobile. Це розширення дозволяє додати у безкоштовну версію Zimbra повноцінну підтримку протоколу ActiveSync і завдяки цьому відкриває масу можливостей для взаємодії між мобільними пристроями та вашим поштовим сервером. Крім інших різних функцій, розширення Zextras Mobile реалізовано повноцінну підтримку ABQ.
Відразу попередимо, що оскільки неправильно налаштований ABQ може призвести до того, що деякі користувачі не зможуть синхронізувати дані на своїх мобільних пристроях із сервером, підходити до питання його налаштування потрібно з максимальною уважністю та обережністю. Налаштування ABQ здійснюється із командного рядка Zextras. Саме в командному рядку налаштовується режим роботи ABQ у Zimbra, а також керується списками пристроїв.
Реалізовано він наступним чином: Після того, як користувач входить у корпоративну пошту на мобільному пристрої, він відправляє на сервер авторизаційні дані, а також ідентифікаційні дані свого пристрою, які зустрічають на своєму шляху перешкоду у вигляді ABQ, яка переглядає ідентифікаційні дані та звіряє їх з тими , які є у списках дозволених, карантинних та заблокованих пристроїв. Якщо пристрою немає в жодному зі списків, то ABQ надходить з ним відповідно до режиму, в якому він працює.
ABQ у Zimbra передбачає три режими роботи:
Дозвільний (Permissive): При такому режимі роботи, після аутентифікації користувача синхронізація проводиться автоматично за першим запитом з мобільного пристрою. У такому режимі роботи можна заблокувати окремі пристрої, але всі інші зможуть вільно синхронізувати дані з сервером.
Інтерактивний (Interactive): При такому режимі роботи відразу після автентифікації користувача система безпеки запитує ідентифікаційні дані пристрою та зіставляє їх зі списком дозволених пристроїв. Якщо пристрій перебуває у списку дозволених, синхронізація автоматично продовжується. Якщо ж у «білому списку» цього пристрою не буде, воно буде автоматично поміщене в карантин, щоб адміністратор пізніше міг ухвалити рішення про те, чи дозволятиме цьому пристрою синхронізацію з сервером або заблокувати його. При цьому користувачеві буде надіслано відповідне повідомлення. Інформування ж адміністратора відбувається регулярно, один раз в період часу, що настроюється. При цьому в кожному новому повідомленні будуть утримуватися лише нові пристрої, що потрапили до карантину.
Суворий (Strict): При такому режимі роботи після аутентифікації користувача відразу ж проводиться перевірка наявності ідентифікаційних даних пристрою в списку дозволених. Якщо воно там значиться, синхронізація автоматично триває. У випадку, якщо у списку дозволених пристроїв немає, він відразу потрапляє до списку заблокованих, а користувачеві поштою надходить відповідне повідомлення.
Також за бажання адміністратор Zimbra може повністю відключити ABQ на своєму поштовому сервері.
Налаштування режиму роботи ABQ здійснюється за допомогою команд:
zxsuite config global set attribute abqMode value Permissive
zxsuite config global set attribute abqMode value Interactive
zxsuite config global set attribute abqMode value Strict
zxsuite config global set attribute abqMode value Disabled
Дізнатися поточний режим роботи ABQ можна за допомогою команди zxsuite config global get attribute abqMode.
У випадку, якщо ви використовуєте інтерактивний або суворий режим роботи ABQ, вам часто доведеться працювати зі списками дозволених і заблокованих пристроїв, а також пристроїв, що знаходяться в карантині. Припустимо, що до нашого сервера підключилися два пристрої: один iPhone та один Android із відповідними ідентифікаційними даними. Пізніше з'ясується, що iPhone днями придбав собі генерального директора підприємства і вирішив попрацювати з поштою на ньому, а Android належить звичайному менеджеру, який не має права використовувати робочу пошту на смартфоні з міркувань безпеки.
У випадку з Інтерактивним режимом, всі вони потраплять до карантину, звідки адміністратору потрібно буде перенести iPhone до списку дозволених пристроїв, а Android до списку заблокованих. Для цього він використовує команди zxsuite mobile abq allow iPhone и zxsuite mobile abq block Android. Після цього генеральний директор зможе повноцінно працювати з поштою зі своїх пристроїв, тоді як менеджеру, як і раніше, доведеться переглядати її виключно з робочого ноутбука.
Варто зазначити, що при використанні Інтерактивного режиму, навіть якщо менеджер на своєму Android-пристрої правильно введе свої логін і пароль, він все одно не отримає доступу до свого облікового запису, а увійде до віртуальної поштової скриньки, в якій він отримає сповіщення про те, що його пристрій було додано до карантину та скористатися поштою з нього він не зможе.
У випадку із суворим режимом, усі нові пристрої будуть заблоковані і після того, як з'ясується, кому вони належали, адміністратору залишиться лише додати до списку дозволених пристроїв iPhone генерального директора за допомогою команди zxsuite mobile ABQ set iPhone Allowedзалишивши там телефон менеджера.
Дозвільний режим роботи слабо сумісний з будь-якими правилами безпеки на підприємстві, проте якщо все ж таки виникла необхідність заблокувати будь-який з дозволених мобільних пристроїв, наприклад, якщо менеджер раптово зі скандалом звільнився, зробити це можна за допомогою команди zxsuite mobile ABQ set Android Blocked.
У випадку, якщо на підприємстві для роботи з поштою співробітникам видаються службові гаджети, то при черговій зміні його власника пристрій можна повністю видалити зі списків ABQ, щоб згодом знову ухвалити рішення про те, дозволяти йому синхронізацію з сервером чи ні. Робиться це за допомогою команди zxsuite mobile ABQ delete Android.
Таким чином, як ви можете бачити, за допомогою розширення Zextras Mobile в Zimbra можна реалізувати дуже гнучку систему контролю мобільних пристроїв, що використовується, придатну як для підприємств з досить суворою політикою щодо використання корпоративних ресурсів поза офісом, так і для тих компанії, які досить ліберальні в цьому плані.
Джерело: habr.com