主持人 > 博客 > 管理 > 行動防毒軟體不起作用

行動防毒軟體不起作用

行動防毒軟體不起作用
TL博士 如果您的公司行動裝置需要防毒軟體,那麼您就做錯了,而且防毒軟體也無法幫助您。

這篇文章是關於企業手機是否需要防毒軟體、在什麼情況下防毒軟體有效、在什麼情況下無用的激烈爭論的結果。 本文研究了理論上防毒軟體應防禦的威脅模型。

防毒供應商經常設法讓企業客戶相信防毒軟體將大大提高他們的安全性,但在大多數情況下,這只是虛幻的保護,只會降低用戶和管理員的警覺性。

正確的企業基礎設施

當公司擁有數十甚至數千名員工時,不可能手動設定每個使用者設備。 設定每天都可能發生變化,新員工進來,他們的手機和筆記型電腦會損壞或丟失。 因此,管理員的所有工作將包括每天在員工設備上部署新設定。

這個問題很早以前就開始在桌上型電腦上解決。 在 Windows 世界中,此類管理通常使用 Active Directory、集中式驗證系統(單一登入)等進行。 但現在所有員工的電腦都安裝了智慧型手機,大部分工作流程都在智慧型手機上進行,重要資料也儲存在智慧型手機上。 微軟試圖將其Windows Phone與Windows整合到單一的生態系統中,但這個想法隨著Windows Phone的正式死亡而破滅。 因此,在企業環境中,無論如何,你都必須在Android和iOS之間做出選擇。

現在,在企業環境中,UEM(統一端點管理)的概念正在流行用於管理員工設備。 這是一個針對行動裝置和桌上型電腦的集中管理系統。
行動防毒軟體不起作用
用戶設備集中管理(統一端點管理)

UEM系統管理員可以為使用者裝置設定不同的策略。 例如,允許用戶或多或少地控制設備、安裝來自第三方來源的應用程式等。

UEM可以做什麼:

管理所有設定 — 管理員可以完全禁止使用者更改裝置上的設定並遠端變更。

設備上的控制軟體 — 允許在裝置上安裝程式並在使用者不知情的情況下自動安裝程式。 管理員還可以封鎖或允許安裝來自應用程式商店或不受信任來源(對於 Android 而言來自 APK 檔案)的程式。

遠端封鎖 — 如果手機遺失,管理員可以封鎖設備或清除資料。 有些系統還允許您設定如果手機超過N小時沒有聯繫伺服器則自動刪除數據,以消除攻擊者在伺服器發送數據清除命令之前成功移除SIM卡時進行離線駭客嘗試的可能性。

收集統計數據 — 追蹤使用者活動、應用程式使用時間、位置、電池電量等。

什麼是 UEM?

員工智慧型手機的集中管理有兩種根本不同的方法:一種是公司從一家製造商為員工購買設備,而通常選擇同一供應商的管理系統。 在另一種情況下,員工使用他們的個人設備進行工作,操作系統、版本和平台的動物園就開始了。

BYOD (自備設備)是指員工使用自己的個人設備和帳戶進行工作的概念。 一些集中管理系統可讓您新增第二個工作帳戶,並將您的資料完全分離為個人資料和工作資料。

行動防毒軟體不起作用

蘋果業務經理 - Apple 原生的集中管理系統。 只能管理 Apple 裝置、裝有 macOS 的電腦和 iOS 手機。 支援 BYOD,使用不同的 iCloud 帳戶建立第二個隔離環境。

行動防毒軟體不起作用

Google雲端點管理 — 允許您管理 Android 和 Apple iOS 上的手機以及 Windows 10 上的桌面。宣布支援 BYOD。

行動防毒軟體不起作用
三星諾克斯UEM - 僅支援三星行動裝置。 在這種情況下,您可以立即僅使用 三星行動管理.

事實上,還有更多的UEM提供者,但我們不會在本文中一一分析。 要記住的主要事情是,此類系統已經存在,並允許管理員根據現有威脅模型充分配置使用者設備。

威脅模型

在選擇保護工具之前,我們需要了解我們要保護自己免受什麼侵害,在我們的特定情況下可能會發生什麼最糟糕的事情。 相對而言:我們的身體很容易受到子彈甚至叉子和釘子的傷害,但我們出門時不會穿上防彈背心。 因此,我們的威脅模型不包括在上班途中被槍擊的風險,儘管從統計角度來看這並非不可能。 而且,在某些情況下,穿防彈背心是完全合理的。

威脅模型因公司而異。 讓我們以正在向客戶遞送包裹的快遞員的智慧型手機為例。 他的智慧型手機只包含目前送貨的地址和地圖上的路線。 他的資料可能發生的最糟糕的事情是包裹遞送地址的洩漏。

這是會計師的智慧型手機。 他可以透過 VPN 存取公司網絡,安裝公司客戶銀行應用程序,並儲存包含有價值資訊的文件。 顯然,這兩種設備上的資料價值差異很大,應該採取不同的保護方式。

防毒軟體能拯救我們嗎?

不幸的是,在行銷口號背後,防毒軟體在行動裝置上執行的任務的真正意義已經消失。 讓我們試著詳細了解防毒軟體在手機上的作用。

安全審計

大多數現代行動防毒軟體都會審核設備上的安全設定。 此審核有時稱為“設備信譽檢查”。 如果滿足四個條件,防毒軟體就會認為設備安全:

  • 裝置未被駭客攻擊(root、越獄)。
  • 設備已配置密碼。
  • 裝置上未啟用 USB 偵錯。
  • 設備上不允許安裝來自不受信任來源的應用程式(側面加載)。

如果掃描結果發現裝置不安全,防毒軟體將通知所有者,並提議停用「危險」功能,或在有 root 或越獄跡象時返回原廠韌體。

按照企業慣例,僅僅通知用戶是不夠的。 必須消除不安全的配置。 為此,您需要使用 UEM 系統在行動裝置上設定安全性原則。 如果偵測到 root/越獄,您必須快速從裝置中刪除公司資料並阻止其存取公司網路。 UEM 也可以實現這一點。 只有經過這些程序後,行動裝置才能被認為是安全的。

搜尋並清除病毒

人們普遍認為 iOS 沒有病毒,但事實並非如此。 舊版的 iOS 仍然存在常見的漏洞, 感染裝置 透過利用瀏覽器漏洞。 同時,由於iOS的架構,開發針對該平台的防毒軟體是不可能的。 主要原因是應用程式無法存取已安裝的應用程式列表,並且在存取檔案時有很多限制。 只有 UEM 可以獲得已安裝的 iOS 應用程式的列表,但即使 UEM 也無法存取檔案。

Android 的情況有所不同。 應用程式可以獲得有關設備上安裝的應用程式的資訊。 他們甚至可以存取他們的發行版(例如,Apk Extractor 及其類似物)。 Android應用程式還具有存取檔案的能力(例如Total Commander等)。 Android應用程式可以被反編譯。

有了這樣的功能,以下防毒演算法看起來就合乎邏輯了:

  • 檢查申請
  • 取得已安裝的應用程式及其發行版的校驗和 (CS) 清單。
  • 首先在本機資料庫中檢查應用程式及其 CS,然後在全域資料庫中檢查。
  • 如果應用程式未知,則將其分佈傳輸到全域資料庫進行分析和反編譯。

  • 檢查文件、搜尋病毒簽名
  • 檢查本機的CS文件,然後檢查全域資料庫。
  • 使用本機資料庫和全域資料庫檢查檔案中是否有不安全內容(腳本、漏洞利用等)。
  • 如果偵測到惡意軟體,則通知使用者和/或阻止使用者存取惡意軟體和/或將資訊轉發到 UEM。 有必要將資訊傳輸到 UEM,因為防毒軟體無法獨立從裝置中移除惡意軟體。

最大的擔憂是將軟體分發從設備傳輸到外部伺服器的可能性。 如果沒有這個,就不可能實現防毒廠商聲稱的“行為分析”,因為在裝置上,您無法在單獨的「沙箱」中執行應用程式或對其進行反編譯(使用混淆時其效果如何是單獨的複雜問題)。 另一方面,企業應用程式可能安裝在防毒軟體無法辨識的員工行動裝置上,因為它們不在 Google Play 上。 這些行動應用程式可能包含敏感數據,這可能會導致這些應用程式不會在公共商店中列出。 從安全角度來看,將此類發行版轉移給防毒製造商似乎是不正確的。 將它們添加到異常中是有意義的,但我還不知道這樣的機制是否存在。

沒有root權限的惡意軟體可以

1. 在應用程式頂部繪製自己的隱形窗口 或實現自己的鍵盤來複製使用者輸入的資料——帳戶參數、銀行卡等。 最近的一個例子是漏洞。 CVE-2020,0096,借助它可以替換應用程式的活動螢幕,從而存取用戶輸入的資料。 對於用戶來說,這意味著可以存取裝置備份和銀行卡資料的 Google 帳戶可能被盜。 反過來,對於組織來說,重要的是不要遺失資料。 如果資料位於應用程式的私有記憶體中且不包含在 Google 備份中,則惡意軟體將無法存取它。

2. 存取公共目錄中的數據 – 下載、文件、圖庫。 不建議在這些目錄中儲存公司有價值的信息,因為任何應用程式都可以存取它們。 使用者本身始終能夠使用任何可用的應用程式共用機密文件。

3. 透過廣告騷擾用戶、挖掘比特幣、成為殭屍網路的一部分等。。 這可能會對用戶和/或設備效能產生負面影響,但不會對公司資料構成威脅。

具有 root 權限的惡意軟體可能會做任何事情。 它們很少見,因為使用應用程式入侵現代 Android 設備幾乎是不可能的。 上次發現這類漏洞是在 2016 年。 這就是轟動一時的 Dirty COW,它的編號是 CVE-2016,5195。 這裡的關鍵是,如果客戶端檢測到 UEM 洩漏的跡象,客戶端將從設備中刪除所有公司信息,因此在企業界使用此類惡意軟體成功竊取資料的可能性很低。

惡意檔案可能會損害行動裝置及其有權存取的公司係統。 讓我們更詳細地看看這些場景。

例如,如果您將圖片下載到行動裝置上,當開啟該圖片或嘗試安裝桌布時,可能會導致行動裝置損壞或重新啟動。 這很可能會損害設備或用戶,但不會影響資料隱私。 雖然也有例外。

最近討論了該漏洞 CVE-2020,8899。 據稱,它可用於使用透過電子郵件、即時訊息或彩信發送的受感染圖片來存取三星行動裝置的控制台。 雖然控制台存取意味著只能存取不應存取敏感資訊的公共目錄中的數據,但用戶個人資料的隱私正在受到損害,這讓用戶感到害怕。 儘管事實上,只能使用彩信來攻擊設備。 為了成功進行攻擊,您需要發送 75 到 450 (!) 訊息。 不幸的是,防毒軟體在這裡無濟於事,因為它無法存取訊息日誌。 為了防止這種情況,只有兩個選擇。 更新作業系統或封鎖彩信。 你可以等第一個選項很久而不等,因為… 設備製造商不會發布所有設備的更新。 在這種情況下禁用彩信接收要容易得多。

從行動裝置傳輸的文件可能會對公司係統造成損害。 例如,行動裝置上有一個受感染的文件,該文件不會損害該設備,但可以感染 Windows 電腦。 使用者透過電子郵件將這樣的文件發送給他的同事。 他在電腦上打開它,從而可以感染它。 但至少有兩種防毒軟體可以阻止這種攻擊媒介——一種位於電子郵件伺服器上,另一種位於收件者的 PC 上。 在行動裝置上向這個鏈中添加第三個防毒軟體似乎是徹頭徹尾的偏執。

如您所見,企業數位世界中最大的威脅是沒有 root 權限的惡意軟體。 它們在行動裝置上來自哪裡?

大多數情況下,它們是使用旁加載、adb 或第三方商店安裝的,在能夠存取公司網路的行動裝置上應禁止這些行為。 惡意軟體有兩種到達方式:來自 Google Play 或來自 UEM。

在 Google Play 上發布之前,所有應用程式都會經過強制驗證。 但對於安裝數量較少的應用程序,檢查通常是在沒有人工幹預的情況下僅在自動模式下執行的。 因此,有時惡意軟體會進入 Google Play,但並不常見。 資料庫更新及時的防毒軟體將能夠先於 Google Play Protect 檢測到設備上存在惡意軟體的應用程序,而 Google Play Protect 的防毒資料庫更新速度仍然落後。

UEM 可以在行動裝置上安裝任何應用程序,包括。 惡意軟體,因此必須先掃描任何應用程式。 應用程式可以在開發期間使用靜態和動態分析工具進行檢查,也可以在分發之前使用專門的沙箱和/或防毒解決方案進行檢查。 重要的是,應用程式在上傳到 UEM 之前要經過一次驗證。 因此,在這種情況下,行動裝置上不需要防毒軟體。

網路防護

根據防毒製造商的不同,您的網路保護可能會提供以下一項或多項功能。

URL 過濾用於:

  • 按資源類別阻止流量。 例如,禁止在午餐前觀看新聞或其他非公司內容,此時員工效率最高。 在實踐中,阻止通常會受到許多限制——考慮到許多「鏡像」的存在,防毒製造商並不總是能夠及時更新資源類別的目錄。 另外,還有匿名程式和 Opera VPN,它們通常不會被封鎖。
  • 防止目標主機的網路釣魚或欺騙。 為此,首先根據防毒資料庫檢查裝置存取的 URL。 連結及其指向的資源(包括可能的多個重定向)將根據已知網路釣魚網站的資料庫進行檢查。 網域名稱、憑證和IP位址也在行動裝置和可信任伺服器之間進行驗證。 如果客戶端和伺服器接收不同的數據,則這要么是 MITM(「中間人」),要么是在行動裝置所連接的網路上使用相同的防毒軟體或各種代理程式和 Web 過濾器來阻止流量。 很難有把握地說中間有人。

為了存取行動流量,防毒軟體要么建立 VPN,要么使用 Accessibility API(針對殘疾人的應用程式的 API)的功能。 在行動裝置上同時執行多個 VPN 是不可能的,因此針對建構自己的 VPN 的防毒軟體的網路保護不適用於企業界。 防毒軟體的 VPN 根本無法與用於存取公司網路的公司 VPN 一起使用。

允許防毒軟體存取 Accessibility API 會帶來另一個危險。 存取 Accessibility API 本質上意味著允許為使用者執行任何操作 - 查看使用者看到的內容、使用應用程式而不是使用者執行操作等。 考慮到用戶必須明確授予防毒軟體此類存取權限,它很可能會拒絕這樣做。 或者,如果被迫的話,他會給自己買另一部沒有防毒軟體的手機。

防火牆

在這個通用名稱下有三個功能:

  • 收集網路使用情況的統計數據,按應用程式和網路類型(Wi-Fi、蜂窩運營商)劃分。 大多數 Android 裝置製造商在「設定」應用程式中提供此資訊。 在行動防毒介面中複製它似乎是多餘的。 所有設備上的匯總資訊可能會令人感興趣。 它被 UEM 系統成功收集和分析。
  • 限制行動流量 - 設定限制,達到限制時通知您。 對於大多數 Android 裝置用戶來說,這些功能可在「設定」應用程式中使用。 集中設定限制是 UEM 的任務,而不是防毒軟體的任務。
  • 其實就是防火牆。 或者,換句話說,阻止對某些 IP 位址和連接埠的存取。 考慮到所有流行資源上的 DDNS 以及為此目的啟用 VPN 的需要,如上所述,VPN 無法與主 VPN 結合使用,因此該功能在企業實踐中似乎不適用。

Wi-Fi授權書檢查

行動防毒軟體可以評估行動裝置連接的 Wi-Fi 網路的安全性。 可以假設檢查加密的存在和強度。 同時,所有現代程式都使用加密來傳輸敏感資料。 因此,如果某些程式在鏈路層級存在漏洞,那麼透過任何網路管道(而不僅僅是透過公共 Wi-Fi)使用它也是危險的。
因此,公共 Wi-Fi(包括未加密的)並不比任何其他未加密的不可信資料傳輸通道更危險,也同樣安全。

垃圾郵件防護

一般來說,保護歸結為根據用戶指定的清單或根據已知垃圾郵件發送者的資料庫過濾來電,這些垃圾郵件發送者無休止地糾纏著保險、貸款和劇院邀請。 雖然他們在自我隔離期間不會打電話,但很快就會重新開始。 只有通話才會被過濾。 目前 Android 裝置上的消息不會被過濾。 考慮到垃圾郵件發送者經常更改其號碼以及無法保護文字管道(簡訊、即時訊息),該功能更多的是一種行銷而非實用性質。

防盜保護

如果行動裝置遺失或被盜,則使用行動裝置執行遠端操作。 分別是 Apple 和 Google 的「尋找我的 iPhone」和「尋找我的裝置」服務的替代方案。 與同類產品不同的是,如果攻擊者設法將設備重置為出廠設置,防毒製造商的服務將無法阻止該設備。 但如果這種情況尚未發生,您可以遠端使用設備執行以下操作:

  • 堵塞。 防止頭腦簡單的小偷,因為可以透過恢復將設備重置為出廠設定來輕鬆完成。
  • 找出設備的座標。 當設備最近丟失時很有用。
  • 如果裝置處於靜音模式,請開啟響亮的蜂鳴聲以協助您找到裝置。
  • 將設備重設為出廠設定。 當用戶意識到設備已無法挽回丟失,但不希望儲存在設備上的資料外洩時,這是有意義的。
  • 拍一張照片。 如果攻擊者手裡拿著手機,請拍下他的照片。 最值得懷疑的功能是,攻擊者在良好的照明條件下欣賞手機的可能性很低。 但設備上存在一個可以悄悄控制智慧型手機相機、拍照並將其發送到伺服器的應用程式引起了合理的擔憂。

遠端命令執行是任何 UEM 系統的基礎。 他們唯一缺少的是遠端攝影。 這是讓用戶在工作日結束後從手機中取出電池並將其放入法拉第袋中的可靠方法。

行動防毒軟體中的防盜功能僅適用於 Android。 對於 iOS,只有 UEM 可以執行此類操作。 一台 iOS 裝置上只能有一個 UEM - 這是 iOS 的架構特性。

發現

  1. 用戶在手機上安裝惡意軟體的情況是不可接受的。
  2. 在公司設備上正確配置 UEM 無需防毒。
  3. 如果作業系統中的0day漏洞被利用,那麼防毒軟體就毫無用處。 它只能向管理員表明該設備有漏洞。
  4. 防毒軟體無法確定該漏洞是否被利用。 以及為製造商不再發布安全更新的裝置發布更新。 最多也就一兩年。
  5. 如果我們忽略監管機構和行銷部門的要求,那麼企業行動防毒軟體只需要在 Android 裝置上使用,因為用戶可以存取 Google Play 並安裝第三方來源的程式。 在其他情況下,使用防毒軟體的效果只不過是安慰劑。

行動防毒軟體不起作用

來源: www.habr.com

添加評論