Get best of the week

Mobile Bedrohungsabwehr: ein Marketing-Schritt oder ein neuer Trend?

Prolog


Sobald Benutzer mobiler GerĂ€te anfingen, „sensiblen“ Informationen auf ihre Smartphones und Tablets zu vertrauen, erschienen neugierige Menschen, die sie nutzen wollten, auch zum persönlichen Vorteil. Zuerst waren es persönliche Informationen - Fotos, Bankkarten-PIN-Codes, Konten fĂŒr den Zugriff auf verschiedene Dienste usw.



Mobile Sicherheit fĂŒr Unternehmen


SpĂ€ter, mit dem Beginn der Verwendung mobiler GerĂ€te fĂŒr Unternehmensanforderungen, schienen Liebhaber die Unternehmensgeheimnisse zu nutzen, die Benutzer in der E-Mail hinterlassen, Dateien, die angezeigt und nicht gelöscht wurden, Browser-Caches und temporĂ€re Anwendungsdateien. FĂŒr ihre Bequemlichkeit wurden auch Tools entwickelt, um das zu nutzen, was auf mobilen GerĂ€ten nicht geschĂŒtzt ist.

Im Gegensatz dazu entwickeln sie Sicherheitsfunktionen fĂŒr mobile GerĂ€te.. Aufgrund der Besonderheiten mobiler Betriebssysteme stellte sich jedoch heraus, dass das einfache Portieren von Schutzwerkzeugen unter Windows und Linux entweder unmöglich oder ineffizient ist. Beispielsweise musste ein Antivirenprogramm in derselben „Sandbox“ wie eine regulĂ€re Anwendung arbeiten. Dementsprechend war es fast unmöglich, Anwendungen zu scannen oder auch diejenigen zu entfernen, auf die Zugriff bestand und in denen die Malware ohne die Hilfe des Benutzers erkannt wurde. Und wenn es einem privaten Benutzer, der selbst mit dem Scannen begonnen hat, möglich war, die Erlaubnis zum Löschen der Malware zu erhalten, ist bei Unternehmensbenutzern alles komplizierter. Das Scannen nach ihnen muss zentral gestartet werden: entweder gemĂ€ĂŸ dem Zeitplan oder auf Befehl des Administrators. Die Wahrscheinlichkeit, dass sich das GerĂ€t in den HĂ€nden des Benutzers befindet und er die Antwort schnell herausfindet, ist gering. Daher fĂŒr die volle Arbeit,Das GerĂ€t musste in den Zugriffsmodus fĂŒr Superuser-Rechte versetzt werden. Und das an sich war unsicher.

Infolgedessen haben Hersteller mobiler Plattformen begonnen, die Funktionen ihrer APIs zu erweitern und Sicherheitsfunktionen zu unterstĂŒtzen. Es bestand Einigkeit darĂŒber, dass der Ansatz mit vollstĂ€ndiger Isolierung von Anwendungen (voneinander) nicht den erforderlichen Schutz vor möglichen Angriffen bietet und es den Schutzwerkzeugen nicht ermöglicht, den erforderlichen Zugriff auf das Dateisystem und die Softwareverteilungen zu erhalten. DarĂŒber hinaus hat die Notwendigkeit, Hunderte und Tausende von mobilen UnternehmensgerĂ€ten in Unternehmen zu verwenden, dazu gefĂŒhrt, dass Verwaltungssysteme fĂŒr mobile GerĂ€te und / oder verwandte Protokolle entwickelt werden mĂŒssen.

Mit der Entwicklung von Managementsystemen fĂŒr mobile GerĂ€te tauchen zunehmend „mobile“ Antivirenprogramme auf, mit denen Malware gescannt und entfernt werden kann. Fairerweise sollte jedoch angemerkt werden, dass Systemanwendungen fĂŒr sie immer noch nicht zugĂ€nglich waren. Antivirus-Entwickler entwickelten und konkurrierten mit der Implementierung heuristischer Suchalgorithmen, um Zero-Day-Angriffe zu erkennen, Datenbanken gefĂ€hrlicher Sites zu verwenden, Kernelversionen, Firmware, Anwendungen usw. zu ĂŒberprĂŒfen. Außerdem wurde eine detaillierte Analyse der Verteilung von Anwendungssoftware auf Schwachstellen und verwendete Zertifikate entwickelt. Leider können alle auf diese Weise erhaltenen Analyseergebnisse nicht ohne die Teilnahme des Administrators verwendet werden. Und der Administrator, der weiß, dass ein selbstsigniertes Zertifikat verwendet wird, kann nichts dagegen tun, es sei denn, es werden anderweitig erforderliche finanzielle Ressourcen zugewiesen.Daher bleiben die meisten Informationen, die als Ergebnis einer solchen Überwachung erhalten werden, nicht beansprucht oder werden nachtrĂ€glich verwendet, um die Ursachen fĂŒr Informationslecks zu erklĂ€ren.

Mobile Bedrohungsabwehr


Ohne dass sich Unternehmensbenutzer langweilen und den praktischen Wert verschiedener Sicherheitsmaßnahmen erkennen, konkurrieren Anbieter heute untereinander um die „Steilheit“ von Algorithmen zur Analyse von Informationen ĂŒber Bedrohungen fĂŒr mobile GerĂ€te. Diese FunktionalitĂ€t wird als Mobile Threat Defense (MTD) bezeichnet.

Aufgrund der Besonderheit mobiler GerĂ€te bleiben die von MTD empfangenen Informationen hĂ€ufig im Status "Notiz", schon allein deshalb, weil Entwickler von Betriebssystemen fĂŒr mobile GerĂ€te nur sehr selten Updates herausgeben. Der Grund ist, dass die Produktionszeit fĂŒr ein bestimmtes GerĂ€temodell etwa ein Jahr betrĂ€gt. Das Korrigieren von SicherheitslĂŒcken und das Senden von Updates an GerĂ€te, die bald eingestellt werden, ist nicht rentabel. Aufgrund des Wettbewerbs sind die Hersteller gezwungen, einen anderen Ansatz zu wĂ€hlen. Sie veröffentlichen ein neues GerĂ€t mit neuer Firmware, in dem sie versuchen, die festgestellten Probleme zu berĂŒcksichtigen. Gleichzeitig gibt es neue SicherheitslĂŒcken, die auch erst mit der Veröffentlichung eines neuen GerĂ€ts mit einem neuen Betriebssystem behoben werden.

Die Entwicklung mobiler Schutztechnologien erfolgt so, dass schrittweise alle Funktionen des Schutzes und der Verwaltung mobiler GerĂ€te im Rahmen von Verwaltungssystemen fĂŒr mobile GerĂ€te (Unified Endpoint Management, UEM) implementiert werden. Dies scheint nicht zufĂ€llig zu sein. Die gefragteste Funktion auf MobilgerĂ€ten ist das Sicherheitsmanagement basierend auf Richtlinien und Teams sowie die Anwendungsverteilung. Alles andere wurde Teil der UEM als Entwicklung von MDM als Ergebnis des Wettbewerbs zwischen Herstellern. Der Wettbewerb auf der Grundlage derselben fĂŒr alle von mobilen Plattformen bereitgestellten MDM-APIs kann im Rahmen verschiedener AnsĂ€tze zur Bereitstellung fĂŒr den Systemadministrator, einer Reihe von Berichten und einer Benutzerfreundlichkeit der BenutzeroberflĂ€che sehr eingeschrĂ€nkt sein.

Und jetzt, wenn all dies erschöpft ist, beginnt die Implementierung von Funktionen, die einen schwachen Bezug zu den praktischen BedĂŒrfnissen der Endverbraucher haben.

Weltpraktiken


In den letzten Jahren hat die fĂŒr ihre „magischen Quadranten“ bekannte Analyseagentur Gartner ihre Aufmerksamkeit auch auf MTD-Systeme gelenkt. Wir haben den Marktleitfaden 2019 fĂŒr Mobile Threat Defense ĂŒberprĂŒft. Weiter im Text - Quetschungen und Analyse des Inhalts des Berichts.

Zu Beginn wird angemerkt, dass die GĂŒltigkeit der deklarierten MTD-Funktionen im Hinblick auf den Schutz vor Angriffen ĂŒberprĂŒft werden muss (sogenannte Marketing-Fantasien):

„Obwohl MTD-Anbieter das Vertrauen zum Ausdruck bringen, fortgeschrittene Angriffe erkennen und abwehren zu können, hat Gartner noch keine Beweise dafĂŒr gefunden das Feld "

DarĂŒber hinaus macht Gartner darauf aufmerksam, dass MTD-Funktionen jetzt entweder von UEM-Herstellern angeboten werden, die sich in der Vergangenheit vom GerĂ€te-Management (MDM) zur Wartung der gesamten MobilitĂ€t im Einzelfenster-Modus entwickelt haben, oder von Herstellern mobiler Antivirenprogramme, die nur Schwachstellen signalisieren können, jedoch keine Funktionen haben MDM kann ohne Benutzereingriff nichts mit ihnen anfangen.

Keine MDM-LösungenDa mobile MTD-Lösungen nicht in der Lage waren, Malware vom GerĂ€t zu entfernen oder das GerĂ€t remote auf die Werkseinstellungen zurĂŒckzusetzen, fanden sie einen interessanten Ausweg. Ein Teil der MTD-Hersteller schlĂ€gt vor, einen eigenen VPN-Client auf dem GerĂ€t zu installieren, der bei Erkennung eines Angriffs den an das Unternehmensnetzwerk adressierten Datenverkehr wieder auf das GerĂ€t ĂŒbertrĂ€gt. Diese Technik wurde Blackholing genannt. Unserer Meinung nach ist die Verteidigung eher deklarativ als real. Wenn der Zugriff auf das Internet auf dem GerĂ€t gespeichert ist, erhĂ€lt es keinen Malware-Zugriff auf das Unternehmensnetzwerk, sondern ĂŒbertrĂ€gt alles, was es möchte, an den Server des Angreifers.

Die von MTD angebotenen Funktionen können auf folgenden Satz reduziert werden:

  1. Android .
    , . . Android — .
  2. — , Wi-Fi .
    VPN ( Wi-Fi ) , . UEM.
  3. malware / grayware. . , .

    malware , . « » , , «» SMS. grayware. UEM . .
  4. (jailbreak, root).

    , — . UEM , -. , . . , . MTD- .
  5. . MTD .

    UEM HTTP- - MTD .
  6. , SMS, , QR- . . — . MTD, . . UEM .

Die wichtigste Schlussfolgerung des Berichts ist die Aussage, dass die Implementierung von MTD erst dann sinnvoll ist, wenn die grundlegende Sicherheitsstufe fĂŒr UnternehmensmobilitĂ€t gewĂ€hrleistet ist, die durch die folgenden Regeln gewĂ€hrleistet wird:

1. Verwendung der neuesten Versionen des mobilen Betriebssystems.

Dies ist in der Tat eine Voraussetzung fĂŒr den Kauf neuer mobiler GerĂ€te mit den neuesten Versionen von Betriebssystemen. Es gibt immer noch neue GerĂ€te mit Android 6 auf dem Markt.

2. Verweigern des Zugriffs auf "gepatchte" GerĂ€te mit benutzerdefinierter Wiederherstellung, einer ausgelasteten Besetztbox oder der Möglichkeit, ĂŒber adb Root-Zugriff zu erhalten ...

Leider geschieht dies manchmal sogar auf handelsĂŒblichen Smartphones.

3. Erlaubnis, Anwendungen nur in offiziellen GeschÀften und im Unternehmensspeicher zu installieren.

4. Jailbreak / Root und entsperrten Bootloader verbieten.

5. Anwendung von Passwortrichtlinien.

Ein verlorenes / gestohlenes GerÀt ohne Passwort ist der Traum eines jeden Hackers.

6. Setzen Sie die Werkseinstellungen zurĂŒck, wenn das GerĂ€t verloren geht / gestohlen wird.

Es ist schwierig, dem zu widersprechen, zumal der russische Unternehmensmarkt diese scheinbar offensichtlichen Anforderungen nicht immer erfĂŒllt. Auf der Website fĂŒr das öffentliche Beschaffungswesen gibt es regelmĂ€ĂŸig Lose fĂŒr die Lieferung von GerĂ€ten mit veraltetem Android sowie VPN und Antivirus, die keinen grundlegenden Schutz bieten können.

Wir hoffen aufrichtig, dass die Verwendung von UEM auf MobilgerĂ€ten in Russland im Laufe der Zeit zu einem ebenso wichtigen Sicherheitsmerkmal wird wie Antivirus fĂŒr Windows. Und da, sehen Sie, und die Mittel bleiben bei MTD ...

More articles:


All Articles