主持人 > 博客 > 管理 > 移动防病毒软件不起作用

移动防病毒软件不起作用

移动防病毒软件不起作用
TL博士 如果您的公司移动设备需要防病毒软件,那么您就做错了,并且防病毒软件也无法帮助您。

这篇文章是关于企业手机是否需要防病毒软件、在什么情况下防病毒软件有效、在什么情况下无用的激烈争论的结果。 本文研究了理论上防病毒软件应防御的威胁模型。

防病毒供应商经常设法让企业客户相信防病毒软件将极大地提高他们的安全性,但在大多数情况下,这只是虚幻的保护,只会降低用户和管理员的警惕性。

正确的企业基础设施

当公司拥有数十甚至数千名员工时,不可能手动配置每个用户设备。 设置每天都可能发生变化,新员工进来,他们的手机和笔记本电脑会损坏或丢失。 因此,管理员的所有工作将包括每天在员工设备上部署新设置。

这个问题很早以前就开始在台式电脑上得到解决。 在 Windows 世界中,此类管理通常使用 Active Directory、集中式身份验证系统(单点登录)等进行。 但现在所有员工的计算机上都安装了智能手机,大部分工作流程都在智能手机上进行,重要数据也存储在智能手机上。 微软试图将其Windows Phone与Windows整合到一个单一的生态系统中,但这个想法随着Windows Phone的正式消亡而破灭。 因此,在企业环境中,无论如何,你都必须在Android和iOS之间做出选择。

现在,在企业环境中,UEM(统一端点管理)的概念正在流行用于管理员工设备。 这是一个针对移动设备和台式电脑的集中管理系统。
移动防病毒软件不起作用
用户设备集中管理(统一端点管理)

UEM系统管理员可以为用户设备设置不同的策略。 例如,允许用户或多或少地控制设备、安装来自第三方来源的应用程序等。

UEM可以做什么:

管理所有设置 — 管理员可以完全禁止用户更改设备上的设置并远程更改。

设备上的控制软件 — 允许在设备上安装程序并在用户不知情的情况下自动安装程序。 管理员还可以阻止或允许安装来自应用程序商店或不受信任来源(对于 Android 而言来自 APK 文件)的程序。

远程拦截 — 如果手机丢失,管理员可以封锁设备或清除数据。 有些系统还允许您设置如果手机超过N小时没有联系服务器则自动删除数据,以消除攻击者在服务器发送数据清除命令之前设法移除SIM卡时进行离线黑客尝试的可能性。

收集统计数据 — 跟踪用户活动、应用程序使用时间、位置、电池电量等。

什么是 UEM?

对员工智能手机的集中管理有两种根本不同的方法:一种是公司从一家制造商为员工购买设备,而通常选择同一供应商的管理系统。 在另一种情况下,员工使用他们的个人设备进行工作,操作系统、版本和平台的动物园就开始了。

BYOD (自带设备)是指员工使用自己的个人设备和帐户进行工作的概念。 一些集中管理系统允许您添加第二个工作帐户,并将您的数据完全分离为个人数据和工作数据。

移动防病毒软件不起作用

苹果业务经理 - Apple 原生的集中管理系统。 只能管理 Apple 设备、装有 macOS 的电脑和 iOS 手机。 支持 BYOD,使用不同的 iCloud 帐户创建第二个隔离环境。

移动防病毒软件不起作用

谷歌云端点管理 — 允许您管理 Android 和 Apple iOS 上的手机以及 Windows 10 上的桌面。宣布支持 BYOD。

移动防病毒软件不起作用
三星诺克斯UEM - 仅支持三星移动设备。 在这种情况下,您可以立即仅使用 三星移动管理.

事实上,还有更多的UEM提供商,但我们不会在本文中一一分析。 要记住的主要事情是,此类系统已经存在,并允许管理员根据现有威胁模型充分配置用户设备。

威胁模型

在选择保护工具之前,我们需要了解我们要保护自己免受什么侵害,在我们的特定情况下可能会发生什么最糟糕的事情。 相对而言:我们的身体很容易受到子弹甚至叉子和钉子的伤害,但我们出门时不会穿上防弹背心。 因此,我们的威胁模型不包括在上班途中被枪击的风险,尽管从统计角度来看这并非不可能。 而且,在某些情况下,穿防弹背心是完全有道理的。

威胁模型因公司而异。 让我们以正在向客户递送包裹的快递员的智能手机为例。 他的智能手机只包含当前送货的地址和地图上的路线。 他的数据可能发生的最糟糕的事情是包裹递送地址的泄露。

这是会计师的智能手机。 他可以通过 VPN 访问公司网络,安装公司客户银行应用程序,并存储包含有价值信息的文档。 显然,这两种设备上的数据价值差异很大,应该采取不同的保护方式。

杀毒软件能拯救我们吗?

不幸的是,在营销口号背后,防病毒软件在移动设备上执行的任务的真正含义已经消失。 让我们尝试详细了解防病毒软件在手机上的作用。

安全审计

大多数现代移动防病毒软件都会审核设备上的安全设置。 此审核有时称为“设备信誉检查”。 如果满足四个条件,防病毒软件就会认为设备安全:

  • 设备未被黑客攻击(root、越狱)。
  • 设备已配置密码。
  • 设备上未启用 USB 调试。
  • 设备上不允许安装来自不受信任来源的应用程序(侧面加载)。

如果扫描结果发现设备不安全,防病毒软件将通知所有者,并提议禁用“危险”功能,或者在有 root 或越狱迹象时返回出厂固件。

按照企业惯例,仅仅通知用户是不够的。 必须消除不安全的配置。 为此,您需要使用 UEM 系统在移动设备上配置安全策略。 如果检测到 root/越狱,您必须快速从设备中删除公司数据并阻止其访问公司网络。 UEM 也可以实现这一点。 只有经过这些程序后,移动设备才能被认为是安全的。

搜索并清除病毒

人们普遍认为 iOS 没有病毒,但事实并非如此。 旧版本的 iOS 仍然存在常见的漏洞, 感染设备 通过利用浏览器漏洞。 同时,由于iOS的架构,开发针对该平台的防病毒软件是不可能的。 主要原因是应用程序无法访问已安装的应用程序列表,并且访问文件时有很多限制。 只有 UEM 可以获取已安装的 iOS 应用程序的列表,但即使 UEM 也无法访问文件。

Android 的情况有所不同。 应用程序可以获得有关设备上安装的应用程序的信息。 他们甚至可以访问他们的发行版(例如,Apk Extractor 及其类似物)。 Android应用程序还具有访问文件的能力(例如Total Commander等)。 Android应用程序可以被反编译。

有了这样的功能,以下防病毒算法看起来就合乎逻辑了:

  • 申请检查
  • 获取已安装的应用程序及其发行版的校验和 (CS) 列表。
  • 首先在本地数据库中检查应用程序及其 CS,然后在全局数据库中检查。
  • 如果应用程序未知,则将其分布传输到全局数据库进行分析和反编译。

  • 检查文件、搜索病毒签名
  • 检查本地的CS文件,然后检查全局数据库。
  • 使用本地数据库和全局数据库检查文件中是否存在不安全内容(脚本、漏洞利用等)。
  • 如果检测到恶意软件,则通知用户和/或阻止用户访问恶意软件和/或将信息转发到 UEM。 有必要将信息传输到 UEM,因为防病毒软件无法独立从设备中删除恶意软件。

最大的担忧是将软件分发从设备传输到外部服务器的可能性。 如果没有这个,就不可能实现杀毒厂商声称的“行为分析”,因为在设备上,您无法在单独的“沙箱”中运行应用程序或对其进行反编译(使用混淆时其效果如何是一个单独的复杂问题)。 另一方面,企业应用程序可能安装在防病毒软件无法识别的员工移动设备上,因为它们不在 Google Play 上。 这些移动应用程序可能包含敏感数据,这可能会导致这些应用程序不会在公共商店中列出。 从安全角度来看,将此类发行版转移给防病毒制造商似乎是不正确的。 将它们添加到异常中是有意义的,但我还不知道这样的机制是否存在。

没有root权限的恶意软件可以

1. 在应用程序顶部绘制自己的隐形窗口 或者实现自己的键盘来复制用户输入的数据——账户参数、银行卡等。 最近的一个例子是漏洞。 CVE-2020-0096,借助它可以替换应用程序的活动屏幕,从而访问用户输入的数据。 对于用户来说,这意味着可以访问设备备份和银行卡数据的 Google 帐户可能被盗。 反过来,对于组织来说,重要的是不要丢失数据。 如果数据位于应用程序的私有内存中并且不包含在 Google 备份中,则恶意软件将无法访问它。

2. 访问公共目录中的数据 – 下载、文档、图库。 不建议在这些目录中存储公司有价值的信息,因为任何应用程序都可以访问它们。 用户本人始终能够使用任何可用的应用程序共享机密文档。

3. 通过广告骚扰用户、挖掘比特币、成为僵尸网络的一部分等。。 这可能会对用户和/或设备性能产生负面影响,但不会对公司数据构成威胁。

具有 root 权限的恶意软件可能会做任何事情。 它们很少见,因为使用应用程序入侵现代 Android 设备几乎是不可能的。 上次发现此类漏洞是在 2016 年。 这就是轰动一时的 Dirty COW,它的编号是 CVE-2016-5195。 这里的关键是,如果客户端检测到 UEM 泄露的迹象,客户端将从设备中删除所有公司信息,因此在企业界使用此类恶意软件成功窃取数据的可能性很低。

恶意文件可能会损害移动设备及其有权访问的公司系统。 让我们更详细地看看这些场景。

例如,如果您将图片下载到移动设备上,当打开该图片或尝试安装壁纸时,可能会导致移动设备损坏或重新启动。 这很可能会损害设备或用户,但不会影响数据隐私。 虽然也有例外。

最近讨论了该漏洞 CVE-2020-8899。 据称,它可用于使用通过电子邮件、即时消息或彩信发送的受感染图片来访问三星移动设备的控制台。 虽然控制台访问意味着只能访问不应访问敏感信息的公共目录中的数据,但用户个人数据的隐私正在受到损害,这让用户感到害怕。 尽管事实上,只能使用彩信来攻击设备。 为了成功进行攻击,您需要发送 75 到 450 (!) 条消息。 不幸的是,防病毒软件在这里无济于事,因为它无法访问消息日志。 为了防止这种情况,只有两个选择。 更新操作系统或阻止彩信。 你可以等第一个选项很长时间而不等,因为…… 设备制造商不会发布所有设备的更新。 在这种情况下禁用彩信接收要容易得多。

从移动设备传输的文件可能会对公司系统造成损害。 例如,移动设备上有一个受感染的文件,该文件不会损害该设备,但可以感染 Windows 计算机。 用户通过电子邮件将这样的文件发送给他的同事。 他在电脑上打开它,从而可以感染它。 但至少有两种防病毒软件可以阻止这种攻击媒介——一种位于电子邮件服务器上,另一种位于收件人的 PC 上。 在移动设备上向这个链中添加第三个防病毒软件似乎是彻头彻尾的偏执。

如您所见,企业数字世界中最大的威胁是没有 root 权限的恶意软件。 它们在移动设备上来自哪里?

大多数情况下,它们是使用旁加载、adb 或第三方商店安装的,在能够访问公司网络的移动设备上应禁止这些行为。 恶意软件有两种到达方式:来自 Google Play 或来自 UEM。

在 Google Play 上发布之前,所有应用程序都会经过强制验证。 但对于安装数量较少的应用程序,检查通常是在没有人工干预的情况下仅在自动模式下执行的。 因此,有时恶意软件会进入 Google Play,但并不常见。 数据库更新及时的防病毒软件将能够先于 Google Play Protect 检测到设备上存在恶意软件的应用程序,而 Google Play Protect 的防病毒数据库更新速度仍然落后。

UEM 可以在移动设备上安装任何应用程序,包括。 恶意软件,因此必须首先扫描任何应用程序。 应用程序可以在开发期间使用静态和动态分析工具进行检查,也可以在分发之前使用专门的沙箱和/或防病毒解决方案进行检查。 重要的是,应用程序在上传到 UEM 之前要经过一次验证。 因此,在这种情况下,移动设备上不需要防病毒软件。

网络保护

根据防病毒制造商的不同,您的网络保护可能会提供以下一项或多项功能。

URL 过滤用于:

  • 按资源类别阻止流量。 例如,禁止在午餐前观看新闻或其他非公司内容,此时员工效率最高。 在实践中,阻止通常会受到许多限制——考虑到许多“镜像”的存在,防病毒制造商并不总是能够及时更新资源类别的目录。 另外,还有匿名程序和 Opera VPN,它们通常不会被阻止。
  • 防止目标主机的网络钓鱼或欺骗。 为此,首先根据防病毒数据库检查设备访问的 URL。 链接及其指向的资源(包括可能的多个重定向)将根据已知网络钓鱼站点的数据库进行检查。 域名、证书和IP地址也在移动设备和可信服务器之间进行验证。 如果客户端和服务器接收到不同的数据,则这要么是 MITM(“中间人”),要么是在移动设备所连接的网络上使用相同的防病毒软件或各种代理和 Web 过滤器来阻止流量。 很难有把握地说中间有人。

为了访问移动流量,防病毒软件要么构建 VPN,要么使用 Accessibility API(针对残疾人的应用程序的 API)的功能。 在移动设备上同时运行多个 VPN 是不可能的,因此针对构建自己的 VPN 的防病毒软件的网络保护不适用于企业界。 防病毒软件的 VPN 根本无法与用于访问公司网络的公司 VPN 一起使用。

允许防病毒软件访问 Accessibility API 会带来另一个危险。 访问 Accessibility API 本质上意味着允许为用户执行任何操作 - 查看用户看到的内容、使用应用程序而不是用户执行操作等。 考虑到用户必须明确授予防病毒软件此类访问权限,它很可能会拒绝这样做。 或者,如果被迫的话,他会给自己买另一部没有防病毒软件的手机。

防火墙

在这个通用名称下有三个功能:

  • 收集网络使用情况的统计数据,按应用程序和网络类型(Wi-Fi、蜂窝运营商)划分。 大多数 Android 设备制造商在“设置”应用程序中提供此信息。 在移动防病毒界面中复制它似乎是多余的。 所有设备上的汇总信息可能会令人感兴趣。 它被 UEM 系统成功收集和分析。
  • 限制移动流量 - 设置限制,达到限制时通知您。 对于大多数 Android 设备用户来说,这些功能可在“设置”应用中使用。 集中设置限制是 UEM 的任务,而不是防病毒软件的任务。
  • 其实就是防火墙。 或者,换句话说,阻止对某些 IP 地址和端口的访问。 考虑到所有流行资源上的 DDNS 以及为此目的启用 VPN 的需要,如上所述,VPN 无法与主 VPN 结合使用,因此该功能在企业实践中似乎不适用。

Wi-Fi授权书检查

移动防病毒软件可以评估移动设备连接的 Wi-Fi 网络的安全性。 可以假设检查加密的存在和强度。 同时,所有现代程序都使用加密来传输敏感数据。 因此,如果某些程序在链路级别存在漏洞,那么通过任何互联网渠道(而不仅仅是通过公共 Wi-Fi)使用它也是危险的。
因此,公共 Wi-Fi(包括未加密的)并不比任何其他未加密的不可信数据传输通道更危险,也同样安全。

垃圾邮件防护

一般来说,保护可以归结为根据用户指定的列表或根据已知垃圾邮件发送者的数据库过滤来电,这些垃圾邮件发送者无休止地纠缠着保险、贷款和剧院邀请。 虽然他们在自我隔离期间不会打电话,但很快就会重新开始。 只有呼叫才会受到过滤。 当前 Android 设备上的消息不会被过滤。 考虑到垃圾邮件发送者经常更改其号码以及无法保护文本渠道(短信、即时消息),该功能更多的是一种营销而非实用性质。

防盗保护

如果移动设备丢失或被盗,则使用移动设备执行远程操作。 分别是 Apple 和 Google 的“查找我的 iPhone”和“查找我的设备”服务的替代方案。 与同类产品不同的是,如果攻击者设法将设备重置为出厂设置,防病毒制造商的服务将无法阻止该设备。 但如果这种情况尚未发生,您可以远程使用设备执行以下操作:

  • 堵塞。 防止头脑简单的小偷,因为可以通过恢复将设备重置为出厂设置来轻松完成。
  • 找出设备的坐标。 当设备最近丢失时很有用。
  • 如果设备处于静音模式,请打开响亮的蜂鸣声以帮助您找到设备。
  • 将设备重置为出厂设置。 当用户意识到设备已无法挽回丢失,但不希望存储在设备上的数据被泄露时,这是有意义的。
  • 拍一张照片。 如果攻击者手里拿着手机,请拍下他的照片。 最值得怀疑的功能是,攻击者在良好的照明条件下欣赏手机的可能性很低。 但设备上存在一个可以悄悄控制智能手机相机、拍照并将其发送到服务器的应用程序引起了合理的担忧。

远程命令执行是任何 UEM 系统的基础。 他们唯一缺少的是远程摄影。 这是让用户在工作日结束后从手机中取出电池并将其放入法拉第袋中的可靠方法。

移动防病毒软件中的防盗功能仅适用于 Android。 对于 iOS,只有 UEM 可以执行此类操作。 一台 iOS 设备上只能有一个 UEM - 这是 iOS 的一项架构特性。

发现

  1. 用户在手机上安装恶意软件的情况是不可接受的。
  2. 在公司设备上正确配置 UEM 无需防病毒。
  3. 如果操作系统中的0day漏洞被利用,那么防病毒软件就毫无用处。 它只能向管理员表明该设备存在漏洞。
  4. 防病毒软件无法确定该漏洞是否被利用。 以及为制造商不再发布安全更新的设备发布更新。 最多也就一两年。
  5. 如果我们忽视监管机构和营销部门的要求,那么企业移动防病毒软件只需要在 Android 设备上使用,因为用户可以访问 Google Play 并安装第三方来源的程序。 在其他情况下,使用防病毒软件的效果只不过是安慰剂。

移动防病毒软件不起作用

来源: habr.com

添加评论