Get best of the week

Défense contre les menaces mobiles: un mouvement marketing ou une nouvelle tendance?

Prologue


Dès que les utilisateurs d'appareils mobiles ont commencé à confier des informations «sensibles» à leurs smartphones et tablettes, des personnes curieuses sont apparues qui souhaitaient les utiliser, y compris à des fins personnelles. Au début, il s'agissait d'informations personnelles - photos, codes PIN de carte bancaire, comptes pour accéder à divers services, etc.



Sécurité mobile d'entreprise


Plus tard, avec le début de l'utilisation des appareils mobiles pour les besoins des entreprises, les amoureux ont semblé profiter des secrets d'entreprise que les utilisateurs laissent dans le courrier, des fichiers consultés et non supprimés, des caches de navigateur, des fichiers d'application temporaires. Pour leur commodité, des outils ont également été développés pour tirer parti de ce qui n'est pas protégé sur les appareils mobiles.

En revanche, ils développent des fonctionnalités de sécurité pour les appareils mobiles.. Mais en raison des particularités des systèmes d'exploitation mobiles, il s'est avéré que le simple portage d'outils de protection sous Windows et Linux est soit impossible, soit inefficace. Par exemple, un antivirus a été forcé de fonctionner dans le même «bac à sable» qu'une application standard. En conséquence, il était presque impossible d'analyser les applications ou de supprimer même celles auxquelles il y avait accès et dans lesquelles le malware était détecté sans l'aide de l'utilisateur. Et s'il était possible pour un utilisateur privé qui a commencé à scanner lui-même d'obtenir la permission de supprimer le logiciel malveillant, alors avec les utilisateurs d'entreprise, tout est plus compliqué. Leur recherche doit être lancée de manière centralisée: soit selon le calendrier, soit par la commande de l'administrateur. La probabilité que l'appareil soit entre les mains de l'utilisateur, et il trouvera rapidement la réponse, est faible. Par conséquent, pour un travail complet,l'appareil devait être transféré en mode d'accès avec droits de «superutilisateur». Et cela en soi n'était pas sûr.

En conséquence, les fabricants de plates-formes mobiles ont commencé à étendre les capacités de leurs API, ajoutant la prise en charge des fonctionnalités de sécurité. Il était entendu que l'approche avec une isolation complète des applications (les unes des autres) ne fournit pas la protection nécessaire contre les attaques possibles et ne permet pas aux outils de protection d'obtenir l'accès dont ils ont besoin au système de fichiers et aux distributions de logiciels. En outre, la nécessité d'utiliser des centaines et des milliers d'appareils mobiles d'entreprise dans l'entreprise a conduit à la nécessité de développer des systèmes de gestion des appareils mobiles et / ou des protocoles associés.

Parallèlement au développement de systèmes de gestion des appareils mobiles, des antivirus «mobiles» ont commencé à apparaître, capables d'analyser et de supprimer les logiciels malveillants. Bien que, pour être juste, il convient de noter que les applications système leur étaient encore inaccessibles. En développement et en concurrence, les développeurs d'antivirus ont commencé à mettre en œuvre des algorithmes de recherche heuristique pour détecter les attaques zero-day, utiliser les bases de données des sites dangereux, vérifier les versions du noyau, le firmware, les applications, etc. En outre, une analyse détaillée des distributions des logiciels d'application pour les vulnérabilités et les certificats utilisés a été développée. Malheureusement, tous les résultats d'analyse obtenus de cette manière ne peuvent pas être utilisés sans la participation de l'administrateur. Et l'administrateur, sachant qu'un certificat auto-signé est utilisé, ne peut rien y faire, à moins que les ressources financières nécessaires ne soient allouées.Par conséquent, la plupart des informations obtenues à la suite de ce suivi ne sont pas réclamées ou sont utilisées ex post pour expliquer les causes des fuites d'informations.

Défense contre les menaces mobiles


Empêchant les utilisateurs d'entreprise de s'ennuyer et de prendre conscience de la valeur pratique de diverses mesures de sécurité, les fournisseurs se font aujourd'hui concurrence dans la «raideur» des algorithmes d'analyse des informations sur les menaces pesant sur les appareils mobiles. Cette fonctionnalité est appelée Mobile Threat Defense (MTD).

En raison de la particularité des appareils mobiles, les informations reçues de MTD restent souvent dans l'état "note", ne serait-ce que parce que les développeurs d'OS pour appareils mobiles émettent très rarement des mises à jour. La raison en est que le temps de production d'un modèle d'appareil particulier est d'environ un an. Corriger les vulnérabilités et envoyer des mises à jour aux appareils qui seront bientôt interrompus n'est pas rentable. En raison de la concurrence, les fabricants sont obligés d'adopter une approche différente. Ils sortent un nouvel appareil avec un nouveau firmware, dans lequel ils essaient de prendre en compte les problèmes identifiés. Dans le même temps, il y aura de nouvelles vulnérabilités, qui ne seront pas corrigées avant la sortie d'un nouvel appareil avec un nouveau système d'exploitation.

Le développement des technologies de protection mobile va de telle sorte que progressivement toutes les fonctions de protection et de gestion des appareils mobiles seront mises en œuvre dans le cadre des systèmes de gestion des appareils mobiles, appelés Unified Endpoint Management (UEM). Cela ne semble pas être aléatoire. La fonctionnalité la plus recherchée sur les appareils mobiles est la gestion de la sécurité basée sur des stratégies et des équipes et la distribution des applications. Tout le reste est devenu partie de l'UEM comme le développement de MDM à la suite de la concurrence entre les fabricants. La concurrence sur la base de la même chose pour toutes les API MDM fournies par les plateformes mobiles peut être très limitée dans le cadre d'approches différentes pour les fournir à l'administrateur système, un ensemble de rapports et une commodité d'interface.

Et maintenant, lorsque tout cela a été épuisé, la mise en œuvre de fonctions qui ont une faible relation avec les besoins pratiques des consommateurs finaux commence.

Pratiques mondiales


Au cours des dernières années, l'agence d'analyse Gartner, connue pour ses «quadrants magiques», a également tourné son attention vers les systèmes MTD. Nous avons examiné le rapport 2019 Market Guide for Mobile Threat Defense. Plus loin dans le texte - pressions et analyse du contenu du rapport.

Au début, il est à noter que la validité des fonctions déclarées de MTD en termes de protection contre les attaques nécessite une vérification (ce que l'on appelle des fantasmes marketing):

«Même si les fournisseurs de MTD expriment leur confiance pour pouvoir détecter et contrer les attaques avancées, Gartner n'a pas encore vu de preuves dans le champ "

En outre, Gartner attire l'attention sur le fait que les fonctions MTD sont désormais proposées soit par les fabricants d'UEM, qui ont historiquement évolué de la gestion des appareils (MDM) à la gestion de toute la mobilité en mode «guichet unique», soit par les fabricants d'antivirus mobiles qui ne peuvent signaler que des vulnérabilités, mais en l'absence de fonctions. MDM ne peut rien faire avec eux sans l'intervention de l'utilisateur.

Ne pas être des solutions MDMet ne pouvant pas supprimer les logiciels malveillants de l'appareil ou réinitialiser à distance les paramètres d'usine, les solutions mobiles MTD ont trouvé une solution intéressante. Une partie des fabricants MTD propose de mettre leur propre client VPN sur l'appareil, qui, si une attaque est détectée, enveloppe le trafic adressé au réseau d'entreprise vers l'appareil. Cette technique était appelée blackholing. À notre avis, la défense est plus déclarative que réelle. Si l'accès à Internet est enregistré sur l'appareil, il ne recevra pas d'accès aux logiciels malveillants sur le réseau de l'entreprise, mais il transmettra tout ce qu'il veut au serveur de l'attaquant.

Les fonctions offertes par MTD peuvent être réduites à l'ensemble suivant:

  1. Android .
    , . . Android — .
  2. — , Wi-Fi .
    VPN ( Wi-Fi ) , . UEM.
  3. malware / grayware. . , .

    malware , . « » , , «» SMS. grayware. UEM . .
  4. (jailbreak, root).

    , — . UEM , -. , . . , . MTD- .
  5. . MTD .

    UEM HTTP- - MTD .
  6. , SMS, , QR- . . — . MTD, . . UEM .

La principale conclusion du rapport est la déclaration selon laquelle il n'est pas logique de mettre en œuvre MTD tant que le niveau de base de la sécurité de la mobilité d'entreprise n'est pas assuré, ce qui est assuré par les règles suivantes:

1. Utilisation des dernières versions du système d'exploitation mobile.

En fait, c'est une exigence pour l'achat de nouveaux appareils mobiles avec les dernières versions des systèmes d'exploitation. Il y a encore de nouveaux appareils avec Android 6.

2. Refuser l'accès aux appareils «corrigés» avec une récupération personnalisée, une boîte occupée ou la possibilité d'obtenir un accès root via adb ...

Hélas, cela arrive parfois même sur les smartphones disponibles dans le commerce.

3. Autorisation d'installer des applications uniquement à partir des magasins officiels et du stockage d'entreprise.

4. Interdisez le jailbreak / root et le chargeur de démarrage déverrouillé.

5. Application des politiques de mot de passe.

Un appareil perdu / volé sans mot de passe est le rêve de tout pirate.

6. Réinitialisez les paramètres d'usine lorsque l'appareil est perdu / volé.

Il est difficile de ne pas être d'accord avec cela, d'autant plus que le marché russe des entreprises ne répond pas toujours à ces exigences apparemment évidentes. Sur le site des marchés publics, il existe régulièrement de nombreux lots pour la fourniture d'appareils avec Android obsolète ainsi que VPN et antivirus, qui ne pourront pas fournir un niveau de protection de base.

Nous espérons sincèrement qu'avec le temps, l'utilisation d'UEM sur les appareils mobiles en Russie deviendra un attribut de sécurité aussi intégré que l'antivirus pour Windows. Et là, vous regardez, et les fonds resteront sur MTD ...

More articles:


All Articles