Get best of the week

Defensa contra amenazas móviles: ¿un movimiento de marketing o una nueva tendencia?

Prólogo


Tan pronto como los usuarios de dispositivos móviles comenzaron a confiar información "sensible" a sus teléfonos inteligentes y tabletas, aparecieron personas curiosas que querían usarla, incluso para beneficio personal. Al principio era información personal: fotos, códigos PIN de tarjetas bancarias, cuentas para acceder a varios servicios, etc.



Seguridad móvil corporativa


Más tarde, con el comienzo del uso de dispositivos móviles para las necesidades corporativas, los amantes parecían aprovecharse de los secretos corporativos que los usuarios dejan en el correo, archivos vistos y no eliminados, cachés del navegador, archivos de aplicaciones temporales. Para su comodidad, también se han desarrollado herramientas para aprovechar lo que no está protegido en dispositivos móviles.

Por el contrario, están desarrollando funciones de seguridad para dispositivos móviles.. Pero debido a las peculiaridades de los sistemas operativos móviles, resultó que simplemente portar herramientas de protección desde Windows y Linux es imposible o ineficiente. Por ejemplo, un antivirus se vio obligado a trabajar en el mismo "sandbox" que una aplicación normal. En consecuencia, era casi imposible escanear aplicaciones o eliminar incluso aquellas a las que había acceso y en las que se detectó el malware sin la ayuda del usuario. Y si era posible que un usuario privado que comenzó a escanear por su cuenta obtuviera permiso para eliminar el malware, entonces con los usuarios corporativos todo es más complicado. El escaneo en busca de ellos debe iniciarse de manera centralizada, ya sea de acuerdo con la programación o por el comando del administrador. La probabilidad de que el dispositivo esté en manos del usuario, y él rápidamente descubrirá la respuesta, es pequeña. Por lo tanto, para un trabajo completo,el dispositivo tuvo que transferirse al modo de acceso de derechos "superusuario". Y eso en sí mismo era inseguro.

Como resultado, los fabricantes de plataformas móviles comenzaron a ampliar las capacidades de sus API, agregando soporte para características de seguridad. Se entendió que el enfoque con aislamiento completo de aplicaciones (entre sí) no proporciona la protección necesaria contra posibles ataques y no permite que las herramientas de protección obtengan el acceso que necesitan al sistema de archivos y las distribuciones de software. Además, la necesidad de usar cientos y miles de dispositivos móviles corporativos en los negocios ha llevado a la necesidad de desarrollar sistemas de administración de dispositivos móviles y / o protocolos relacionados.

Junto con el desarrollo de sistemas de gestión de dispositivos móviles, han comenzado a aparecer los antivirus "móviles", capaces de escanear y eliminar malware. Aunque, para ser justos, debe tenerse en cuenta que las aplicaciones del sistema todavía eran inaccesibles para ellos. Desarrollando y compitiendo, los desarrolladores de antivirus comenzaron a implementar algoritmos de búsqueda heurísticos para detectar ataques de día cero, usar bases de datos de sitios peligrosos, verificar versiones de kernel, firmware, aplicaciones, etc. Además, se ha desarrollado un análisis detallado de las distribuciones de software de aplicaciones para detectar vulnerabilidades y certificados utilizados. Desafortunadamente, todos los resultados de análisis obtenidos de esta manera no pueden usarse sin la participación del administrador. Y el administrador, sabiendo que se utiliza un certificado autofirmado, no puede hacer nada al respecto, a menos que se asignen los recursos financieros necesarios.Por lo tanto, la mayor parte de la información obtenida como resultado de dicho monitoreo permanece sin reclamar o se usa ex post para explicar las causas de la fuga de información.

Defensa móvil contra amenazas


Sin dejar que los usuarios corporativos se aburran y se den cuenta del valor práctico de varias medidas de seguridad, los proveedores de hoy compiten entre ellos en la "inclinación" de los algoritmos para analizar información sobre amenazas a dispositivos móviles. Esta funcionalidad se llama Mobile Threat Defense (MTD).

Debido a la peculiaridad de los dispositivos móviles, la información recibida de MTD a menudo permanece en el estado de "nota", aunque solo sea porque los desarrolladores de sistemas operativos para dispositivos móviles rara vez emiten actualizaciones. La razón es que el tiempo de producción para un modelo de dispositivo en particular es de aproximadamente un año. Corregir vulnerabilidades y enviar actualizaciones a dispositivos que pronto se descontinuarán no es rentable. Debido a la competencia, los fabricantes se ven obligados a adoptar un enfoque diferente. Lanzan un nuevo dispositivo con nuevo firmware, en el que intentan tener en cuenta los problemas identificados. Al mismo tiempo, habrá nuevas vulnerabilidades en ellos, que tampoco se solucionarán hasta el lanzamiento de un nuevo dispositivo con un nuevo sistema operativo.

El desarrollo de tecnologías de protección móvil se lleva a cabo de manera tal que gradualmente se implementarán todas las funciones de protección y administración de dispositivos móviles en el marco de los sistemas de administración de dispositivos móviles, llamados Unified Endpoint Management (UEM). Esto no parece ser al azar. La funcionalidad más buscada en los dispositivos móviles es la gestión de seguridad basada en políticas y equipos, y la distribución de aplicaciones. Todo lo demás se convirtió en parte de UEM como el desarrollo de MDM como resultado de la competencia entre fabricantes. Competir sobre la base de lo mismo para todas las API de MDM proporcionadas por las plataformas móviles puede ser muy limitado en el marco de diferentes enfoques para proporcionarlos al administrador del sistema, un conjunto de informes y una interfaz conveniente.

Y ahora, cuando todo esto se ha agotado, comienza la implementación de funciones que tienen una relación débil con las necesidades prácticas de los consumidores finales.

Prácticas mundiales


En los últimos años, la agencia analítica Gartner, conocida por sus "cuadrantes mágicos", también ha centrado su atención en los sistemas MTD. Revisamos el informe de la Guía de mercado de 2019 para Mobile Threat Defense. Más adelante en el texto: exprimidos y análisis de los contenidos del informe.

Al principio se observa que la validez de las funciones declaradas de MTD en términos de protección contra ataques requiere verificación (las llamadas fantasías de marketing):

“Aunque los proveedores de MTD expresan confianza en poder detectar y contrarrestar ataques avanzados, Gartner aún no ha visto evidencia en el campo "

Además, Gartner llama la atención sobre el hecho de que ahora las funciones MTD son ofrecidas por los fabricantes de UEM, que históricamente se han desarrollado desde la administración de dispositivos (MDM) hasta el servicio de toda la movilidad en el modo de "ventana única", o fabricantes de antivirus móviles que solo pueden señalar vulnerabilidades, pero en ausencia de funciones MDM no puede hacer nada con ellos sin la intervención del usuario.

No ser soluciones MDMy al no poder eliminar el malware del dispositivo o restablecer remotamente el dispositivo a la configuración de fábrica, las soluciones MTD móviles encontraron una salida interesante. Parte de los fabricantes de MTD propone poner su propio cliente VPN en el dispositivo, el cual, si se detecta un ataque, envuelve el tráfico dirigido a la red corporativa de regreso al dispositivo. Esta técnica se llamaba blackholing. En nuestra opinión, la defensa es más declarativa que real. Si se guarda el acceso a Internet en el dispositivo, no recibirá acceso de malware a la red corporativa, pero transmitirá todo lo que quiera al servidor del atacante.

Las funciones que ofrece MTD pueden reducirse al siguiente conjunto:

  1. Android .
    , . . Android — .
  2. — , Wi-Fi .
    VPN ( Wi-Fi ) , . UEM.
  3. malware / grayware. . , .

    malware , . « » , , «» SMS. grayware. UEM . .
  4. (jailbreak, root).

    , — . UEM , -. , . . , . MTD- .
  5. . MTD .

    UEM HTTP- - MTD .
  6. , SMS, , QR- . . — . MTD, . . UEM .

La principal conclusión del informe es la afirmación de que no tiene sentido implementar MTD hasta que se garantice el nivel básico de seguridad de la movilidad corporativa, que se garantiza mediante las siguientes reglas:

1. Uso de las últimas versiones del sistema operativo móvil.

De hecho, este es un requisito para la compra de nuevos dispositivos móviles con las últimas versiones de los sistemas operativos. Todavía hay nuevos dispositivos con Android 6 en el mercado

2. Denegar el acceso a dispositivos "parcheados" con recuperación personalizada, una caja ocupada ocupada o la capacidad de obtener acceso a la raíz a través de adb ...

Esto, por desgracia, a veces se encuentra incluso en teléfonos inteligentes producidos en masa.

3. Permiso para instalar aplicaciones solo desde tiendas oficiales y almacenamiento corporativo.

4. Prohibir jailbreak / root y gestor de arranque desbloqueado.

5. Aplicación de políticas de contraseña.

Un dispositivo perdido / robado sin contraseña es el sueño de cualquier hacker.

6. Restablezca la configuración de fábrica cuando el dispositivo se pierda / sea robado.

Es difícil estar en desacuerdo con esto, especialmente porque el mercado corporativo ruso no siempre cumple con estos requisitos aparentemente obvios. En el sitio web de contratación pública, regularmente hay lotes para el suministro de dispositivos con Android desactualizado junto con VPN y antivirus, que no podrán proporcionar un nivel básico de protección.

Esperamos sinceramente que con el tiempo, el uso de UEM en dispositivos móviles en Rusia se convierta en un atributo de seguridad tan integral como el antivirus para Windows. Y ahí, miras, y los fondos permanecerán en MTD ...

More articles:


All Articles