Get best of the week

Pertahanan ancaman seluler: langkah pemasaran atau tren baru?

Prolog


Segera setelah pengguna perangkat seluler mulai mempercayai informasi "sensitif" pada ponsel cerdas dan tablet mereka, muncul orang-orang yang ingin menggunakannya, termasuk untuk keuntungan pribadi. Pada awalnya itu adalah informasi pribadi - foto, kode pin kartu bank, akun untuk mengakses berbagai layanan, dll.



Keamanan Bergerak Korporat


Kemudian, dengan dimulainya penggunaan perangkat seluler untuk kebutuhan perusahaan, para pecinta tampaknya mengambil keuntungan dari rahasia perusahaan yang ditinggalkan pengguna melalui pos, file yang dilihat dan tidak dihapus, cache browser, file aplikasi sementara. Demi kenyamanan mereka, alat juga telah dikembangkan untuk mengambil keuntungan dari apa yang tidak dilindungi pada perangkat seluler.

Sebaliknya, mereka mengembangkan fitur keamanan untuk perangkat seluler.. Tetapi karena kekhasan sistem operasi seluler, ternyata hanya mem-porting alat perlindungan dari bawah Windows dan Linux tidak mungkin atau tidak efisien. Misalnya, antivirus dipaksa untuk bekerja di "kotak pasir" yang sama dengan aplikasi biasa. Karenanya, hampir tidak mungkin untuk memindai aplikasi atau menghapus bahkan aplikasi yang ada aksesnya dan di mana malware terdeteksi tanpa bantuan pengguna. Dan jika mungkin bagi pengguna pribadi yang mulai memindai sendiri untuk mendapatkan izin untuk menghapus malware, maka dengan pengguna korporat semuanya menjadi lebih rumit. Memindai mereka harus dimulai secara terpusat: baik sesuai dengan jadwal atau dengan perintah administrator. Kemungkinan bahwa perangkat akan berada di tangan pengguna, dan dia akan dengan cepat mengetahui jawabannya, kecil. Karena itu, untuk kerja penuh,perangkat harus ditransfer ke mode akses hak "superuser". Dan itu sendiri tidak aman.

Akibatnya, produsen platform seluler mulai memperluas kemampuan API mereka, menambahkan dukungan untuk fitur keamanan. Ada pemahaman bahwa pendekatan dengan isolasi aplikasi yang lengkap (dari satu sama lain) tidak memberikan perlindungan yang diperlukan terhadap kemungkinan serangan dan tidak memungkinkan alat perlindungan untuk mendapatkan akses yang mereka butuhkan ke sistem file dan distribusi perangkat lunak. Selain itu, kebutuhan untuk menggunakan ratusan dan ribuan perangkat seluler perusahaan dalam bisnis telah menyebabkan kebutuhan untuk mengembangkan sistem manajemen perangkat seluler dan / atau protokol terkait.

Seiring dengan perkembangan sistem manajemen perangkat seluler, antivirus "seluler" mulai muncul, yang mampu memindai dan menghapus malware. Meskipun, dalam keadilan, perlu dicatat bahwa aplikasi sistem masih tidak dapat diakses oleh mereka. Berkembang dan bersaing, pengembang antivirus mulai menerapkan algoritma pencarian heuristik untuk mendeteksi serangan zero-day, menggunakan basis data situs berbahaya, memeriksa versi kernel, firmware, aplikasi, dll. Juga, analisis rinci distribusi perangkat lunak aplikasi untuk kerentanan dan sertifikat yang digunakan telah dikembangkan. Sayangnya, semua hasil analisis yang diperoleh dengan cara ini tidak dapat digunakan tanpa partisipasi administrator. Dan administrator, mengetahui bahwa sertifikat yang ditandatangani sendiri digunakan, tidak dapat berbuat apa-apa, kecuali jika sumber daya keuangan yang diperlukan dialokasikan.Oleh karena itu, sebagian besar informasi yang diperoleh sebagai hasil dari pemantauan tersebut tetap tidak diklaim atau digunakan secara ex post untuk menjelaskan penyebab kebocoran informasi.

Pertahanan ancaman seluler


Mencegah pengguna perusahaan menjadi bosan dan sadar akan nilai praktis dari berbagai langkah keamanan, vendor saat ini bersaing di antara mereka sendiri dalam "kecuraman" algoritma untuk menganalisis informasi tentang ancaman terhadap perangkat seluler. Fungsionalitas ini disebut Mobile Threat Defense (MTD).

Karena kekhasan perangkat seluler, informasi yang diterima dari MTD sering tetap dalam status "catatan", jika saja karena pengembang OS untuk perangkat seluler sangat jarang mengeluarkan pembaruan. Alasannya adalah bahwa waktu produksi untuk model perangkat tertentu adalah sekitar satu tahun. Memperbaiki kerentanan dan mengirim pembaruan ke perangkat yang akan segera dihentikan tidak menguntungkan. Karena persaingan, produsen terpaksa mengambil pendekatan yang berbeda. Mereka merilis perangkat baru dengan firmware baru, di mana mereka mencoba untuk memperhitungkan masalah yang diidentifikasi. Pada saat yang sama, akan ada kerentanan baru di dalamnya, yang juga tidak akan diperbaiki sampai rilis perangkat baru dengan OS baru.

Perkembangan teknologi perlindungan seluler berjalan sedemikian rupa sehingga secara bertahap semua fungsi perlindungan dan pengelolaan perangkat seluler akan diimplementasikan dalam kerangka sistem manajemen perangkat seluler, yang disebut Unified Endpoint Management (UEM). Ini sepertinya tidak acak. Fungsi yang paling dicari pada perangkat seluler adalah manajemen keamanan berdasarkan kebijakan dan tim, dan distribusi aplikasi. Segala sesuatu yang lain menjadi bagian dari UEM sebagai pengembangan MDM sebagai hasil dari persaingan antara produsen. Untuk bersaing atas dasar yang sama untuk semua API MDM yang disediakan oleh platform seluler bisa sangat terbatas dalam kerangka pendekatan yang berbeda untuk menyediakannya kepada administrator sistem, serangkaian laporan dan kenyamanan antarmuka.

Dan sekarang, ketika semua ini telah habis, implementasi fungsi yang memiliki hubungan yang lemah dengan kebutuhan praktis konsumen akhir dimulai.

Praktek dunia


Selama beberapa tahun terakhir, agensi analitik Gartner, yang dikenal karena "kuadran ajaibnya," juga telah mengalihkan perhatiannya ke sistem MTD. Kami meninjau laporan 2019 Market Guide untuk Mobile Threat Defense. Lebih lanjut dalam teks - peras dan analisis isi laporan.

Pada awalnya, perlu dicatat bahwa validitas fungsi MTD yang dinyatakan dalam hal perlindungan terhadap serangan memerlukan verifikasi (mereka disebut fantasi pemasaran):

“Meskipun vendor MTD menyatakan kepercayaan diri untuk dapat mendeteksi dan melawan serangan lanjutan, Gartner belum melihat bukti dalam lapangan "

Lebih lanjut, Gartner menarik perhatian pada fakta bahwa sekarang fungsi MTD ditawarkan baik oleh produsen UEM, yang secara historis dikembangkan dari manajemen perangkat (MDM) untuk melayani semua mobilitas dalam mode "jendela tunggal", atau produsen antivirus seluler yang hanya dapat memberi sinyal kerentanan, tetapi tanpa adanya fungsi MDM tidak dapat melakukan apa pun dengan mereka tanpa campur tangan pengguna.

Bukan menjadi solusi MDMdan tidak dapat menghapus malware dari perangkat atau mengatur ulang perangkat dari jarak jauh ke pengaturan pabrik, solusi MTD seluler menemukan jalan keluar yang menarik. Bagian dari produsen MTD mengusulkan untuk menempatkan klien VPN mereka sendiri di perangkat, yang, jika serangan terdeteksi, membungkus lalu lintas yang ditujukan ke jaringan perusahaan kembali ke perangkat. Teknik ini disebut blackholing. Menurut pendapat kami, pertahanan lebih bersifat deklaratif daripada nyata. Jika akses ke Internet disimpan di perangkat, maka itu tidak akan menerima akses malware ke jaringan perusahaan, tetapi akan mengirimkan semua yang diinginkannya ke server penyerang.

Fungsi yang ditawarkan oleh MTD dapat dikurangi menjadi set berikut:

  1. Android .
    , . . Android — .
  2. — , Wi-Fi .
    VPN ( Wi-Fi ) , . UEM.
  3. malware / grayware. . , .

    malware , . « » , , «» SMS. grayware. UEM . .
  4. (jailbreak, root).

    , — . UEM , -. , . . , . MTD- .
  5. . MTD .

    UEM HTTP- - MTD .
  6. , SMS, , QR- . . — . MTD, . . UEM .

Kesimpulan utama dalam laporan ini adalah pernyataan bahwa tidak masuk akal untuk mengimplementasikan MTD sampai tingkat dasar keamanan mobilitas perusahaan dipastikan, yang dipastikan dengan aturan berikut:

1. Penggunaan versi terbaru dari OS seluler.

Bahkan, ini merupakan persyaratan untuk pembelian perangkat seluler baru dengan versi terbaru dari sistem operasi. Masih ada perangkat baru dengan Android 6 di pasaran.

2. Menolak akses ke perangkat "tambalan" dengan pemulihan khusus, kotak sibuk yang sibuk atau kemampuan untuk mendapatkan akses root melalui adb ...

Ini, sayangnya, kadang-kadang ditemukan bahkan pada smartphone yang diproduksi secara massal.

3. Izin untuk menginstal aplikasi hanya dari toko resmi dan penyimpanan perusahaan.

4. Larangan jailbreak / root dan bootloader yang tidak dikunci.

5. Penerapan kebijakan kata sandi.

Perangkat yang hilang / dicuri tanpa kata sandi adalah impian setiap peretas.

6. Reset ke pengaturan pabrik saat perangkat hilang / dicuri.

Sulit untuk tidak setuju dengan ini, terutama karena pasar perusahaan Rusia tidak selalu memenuhi persyaratan yang tampak jelas ini. Di situs web pengadaan publik, ada banyak persediaan untuk perangkat dengan Android yang sudah ketinggalan zaman bersama dengan VPN dan antivirus, yang tidak akan dapat memberikan tingkat perlindungan dasar.

Kami sangat berharap bahwa seiring waktu, penggunaan UEM pada perangkat seluler di Rusia akan menjadi atribut keamanan yang tidak terpisahkan seperti antivirus untuk Windows. Dan di sana, Anda melihat, dan dana akan tetap di MTD ...

More articles:


All Articles