Get best of the week

Defesa móvel contra ameaças: um movimento de marketing ou uma nova tendência?

Prólogo


Assim que os usuários de dispositivos móveis começaram a confiar em informações "sensíveis" em seus smartphones e tablets, surgiram pessoas curiosas que queriam usá-las, inclusive para ganho pessoal. Inicialmente, eram informações pessoais - fotos, códigos PIN de cartões bancários, contas para acessar vários serviços, etc.



Segurança móvel corporativa


Mais tarde, com o início do uso de dispositivos móveis para as necessidades corporativas, os amantes pareciam tirar proveito dos segredos corporativos que os usuários deixam no correio, arquivos visualizados e não excluídos, caches do navegador, arquivos temporários de aplicativos. Para sua conveniência, também foram desenvolvidas ferramentas para aproveitar o que não está protegido em dispositivos móveis.

Por outro lado, eles estão desenvolvendo recursos de segurança para dispositivos móveis.. Mas, devido às peculiaridades dos sistemas operacionais móveis, verificou-se que simplesmente transportar ferramentas de proteção no Windows e Linux é impossível ou ineficiente. Por exemplo, um antivírus foi forçado a trabalhar na mesma "caixa de proteção" que um aplicativo comum. Consequentemente, era quase impossível verificar aplicativos ou remover mesmo aqueles aos quais havia acesso e nos quais o malware foi detectado sem a ajuda do usuário. E se fosse possível para um usuário particular que começou a verificar por conta própria obter permissão para excluir o malware, então com usuários corporativos tudo fica mais complicado. A verificação deles deve ser iniciada centralmente: de acordo com a programação ou por comando do administrador. A probabilidade de o dispositivo estar nas mãos do usuário e ele descobrir rapidamente a resposta é pequena. Portanto, para o trabalho completo,o dispositivo teve que ser transferido para o modo de acesso de direitos de "superusuário". E isso por si só não era seguro.

Como resultado, os fabricantes de plataformas móveis começaram a expandir os recursos de suas APIs, adicionando suporte aos recursos de segurança. Havia um entendimento de que a abordagem com isolamento completo de aplicativos (um do outro) não fornece a proteção necessária contra possíveis ataques e não permite que as ferramentas de proteção obtenham o acesso necessário ao sistema de arquivos e às distribuições de software. Além disso, a necessidade de usar centenas e milhares de dispositivos móveis corporativos nos negócios levou à necessidade de desenvolver sistemas de gerenciamento de dispositivos móveis e / ou protocolos relacionados.

Juntamente com o desenvolvimento de sistemas de gerenciamento de dispositivos móveis, começaram a aparecer antivírus "móveis", capazes de verificar e remover malware. Embora, para ser justo, note-se que os aplicativos do sistema ainda estavam inacessíveis para eles. Desenvolvendo e competindo, os desenvolvedores de antivírus começaram a implementar algoritmos de pesquisa heurística para detectar ataques de dia zero, usar bancos de dados de sites perigosos, verificar versões de kernel, firmware, aplicativos etc. Também foi desenvolvida uma análise detalhada das distribuições de software de aplicativos para vulnerabilidades e certificados usados. Infelizmente, todos os resultados da análise obtidos dessa maneira não podem ser usados ​​sem a participação do administrador. E o administrador, sabendo que um certificado autoassinado é usado, não pode fazer nada a respeito, a menos que os recursos financeiros necessários sejam alocados.Portanto, a maioria das informações obtidas como resultado desse monitoramento permanece não reclamada ou é usada ex post para explicar as causas do vazamento de informações.

Defesa móvel contra ameaças


Impedindo que os usuários corporativos fiquem entediados e cientes do valor prático de várias medidas de segurança, hoje os fornecedores competem entre si na “inclinação” dos algoritmos para analisar informações sobre ameaças a dispositivos móveis. Essa funcionalidade é chamada de Defesa contra ameaças móveis (MTD).

Devido à peculiaridade dos dispositivos móveis, as informações recebidas do MTD geralmente permanecem no status "nota", apenas porque os desenvolvedores de SO para dispositivos móveis raramente emitem atualizações. O motivo é que o tempo de produção para um modelo de dispositivo específico é de cerca de um ano. A correção de vulnerabilidades e o envio de atualizações para dispositivos que serão descontinuados em breve não são lucrativos. Devido à concorrência, os fabricantes são forçados a adotar uma abordagem diferente. Eles lançam um novo dispositivo com um novo firmware, no qual tentam levar em conta os problemas identificados. Ao mesmo tempo, haverá novas vulnerabilidades nelas, que também não serão corrigidas até o lançamento de um novo dispositivo com um novo sistema operacional.

O desenvolvimento de tecnologias de proteção móvel ocorre de maneira que gradualmente todas as funções de proteção e gerenciamento de dispositivos móveis sejam implementadas na estrutura de sistemas de gerenciamento de dispositivos móveis, denominada Unified Endpoint Management (UEM). Isso não parece ser aleatório. A funcionalidade mais procurada em dispositivos móveis é o gerenciamento de segurança com base em políticas e equipes e na distribuição de aplicativos. Tudo o resto se tornou parte do UEM como o desenvolvimento do MDM como resultado da competição entre fabricantes. Competir com base no mesmo por todas as APIs do MDM fornecidas pelas plataformas móveis pode ser muito limitado dentro da estrutura de diferentes abordagens para fornecê-las ao administrador do sistema, um conjunto de relatórios e uma conveniência da interface.

E agora, quando tudo isso se esgota, começa a implementação de funções que têm uma relação fraca com as necessidades práticas dos consumidores finais.

Práticas mundiais


Nos últimos anos, a agência analítica do Gartner, conhecida por seus "quadrantes mágicos", também voltou sua atenção para os sistemas MTD. Analisamos o relatório 2019 do Market Guide for Mobile Threat Defense. Mais adiante no texto - apertos e análise do conteúdo do relatório.

No começo, note-se que a validade das funções declaradas do MTD em termos de proteção contra ataques requer verificação (as chamadas fantasias de marketing):

“Embora os fornecedores de MTD expressem confiança em poder detectar e combater ataques avançados, o Gartner ainda não viu evidências em o campo "

Além disso, o Gartner chama a atenção para o fato de que agora as funções MTD são oferecidas pelos fabricantes da UEM, que historicamente se desenvolveram desde o gerenciamento de dispositivos (MDM) para atender toda a mobilidade no modo "janela única", ou fabricantes de antivírus móveis que podem apenas sinalizar vulnerabilidades, mas na ausência de funções O MDM não pode fazer nada com eles sem a intervenção do usuário.

Não sendo soluções MDMe não sendo capaz de remover malware do dispositivo ou redefinir remotamente as configurações de fábrica, as soluções móveis de MTD encontraram uma saída interessante. Parte dos fabricantes de MTD propõe colocar seu próprio cliente VPN no dispositivo que, se um ataque for detectado, agrupa o tráfego endereçado à rede corporativa de volta ao dispositivo. Essa técnica foi chamada de blackholing. Em nossa opinião, a defesa é mais declarativa do que real. Se o acesso à Internet for salvo no dispositivo, ele não receberá acesso de malware à rede corporativa, mas transmitirá tudo o que deseja ao servidor do invasor.

As funções oferecidas pelo MTD podem ser reduzidas para o seguinte conjunto:

  1. Android .
    , . . Android — .
  2. — , Wi-Fi .
    VPN ( Wi-Fi ) , . UEM.
  3. malware / grayware. . , .

    malware , . « » , , «» SMS. grayware. UEM . .
  4. (jailbreak, root).

    , — . UEM , -. , . . , . MTD- .
  5. . MTD .

    UEM HTTP- - MTD .
  6. , SMS, , QR- . . — . MTD, . . UEM .

A principal conclusão do relatório é a afirmação de que não faz sentido implementar o MTD até que o nível básico de segurança da mobilidade corporativa seja garantido, o que é garantido pelas seguintes regras:

1. Uso das versões mais recentes do sistema operacional móvel.

De fato, esse é um requisito para a compra de novos dispositivos móveis com as versões mais recentes dos sistemas operacionais. Ainda existem novos dispositivos com o Android 6.

2. Negar acesso a dispositivos "corrigidos" com recuperação personalizada, uma caixa ocupada ou a capacidade de obter acesso root via adb ...

Infelizmente, isso às vezes acontece mesmo em smartphones disponíveis comercialmente.

3. Permissão para instalar aplicativos apenas de lojas oficiais e armazenamento corporativo.

4. Proibir jailbreak / root e bootloader desbloqueado.

5. Aplicação de políticas de senha.

Um dispositivo perdido / roubado sem senha é o sonho de qualquer hacker.

6. Redefina as configurações de fábrica quando o dispositivo for perdido / roubado.

É difícil discordar disso, especialmente porque o mercado corporativo russo nem sempre atende a esses requisitos aparentemente óbvios. No site de compras públicas, há regularmente lotes para o fornecimento de dispositivos com Android desatualizado, juntamente com VPN e antivírus, que não podem fornecer um nível básico de proteção.

Esperamos sinceramente que, com o tempo, o uso do UEM em dispositivos móveis na Rússia se torne um atributo de segurança tão integral quanto o antivírus para Windows. E aí, você olha, e os fundos permanecerão no MTD ...

More articles:


All Articles