Get best of the week

移动威胁防御:营销举措还是新趋势?

序幕


一旦移动设备的用户开始将“敏感”信息信任他们的智能手机和平板电脑,就会出现好奇的人想要使用它,包括为了个人利益。最初是个人信息-照片,银行卡密码,访问各种服务的帐户等。



企业移动安全


后来,随着开始将移动设备用于公司需求,恋人似乎可以利用用户在邮件中留下的公司机密,已查看但未被删除的文件,浏览器缓存,临时应用程序文件。为了方便起见,还开发了一些工具来利用在移动设备上不受保护的工具。

相反,他们正在为移动设备开发安全功能。。但是由于移动操作系统的特殊性,事实证明,仅从Windows和Linux下移植保护工具是不可能的,或者效率很低。例如,防病毒软件被迫在与常规应用程序相同的“沙盒”中工作。因此,几乎没有可能扫描应用程序甚至删除那些可以访问的应用程序,甚至在没有用户帮助的情况下也删除了那些检测到恶意软件的应用程序。而且,如果有可能对自己进行扫描的私人用户获得删除恶意软件的许可,那么对于公司用户而言,一切都会变得更加复杂。扫描它们必须集中进行:根据时间表或管理员的命令。设备将在用户手中并很快找出答案的可能性很小。因此,为了全力以赴,该设备必须转移到“超级用户”权限访问模式。而且这本身是不安全的。

结果,移动平台的制造商开始扩展其API的功能,从而增加了对安全功能的支持。有一种理解,即完全隔离应用程序(彼此)的方法不能提供针对可能的攻击的必要保护,也不能使保护工具获得对文件系统和软件分发的访问权限。另外,在业务中使用成千上万的公司移动设备的需求导致需要开发移动设备管理系统和/或相关协议。

随着移动设备管理系统的发展,能够扫描和删除恶意软件的“移动”防病毒软件开始出现。尽管公平地说,应该指出,系统应用程序仍然无法访问。经过竞争和发展,防病毒开发人员开始实施启发式搜索算法,以检测零日攻击,使用危险站点的数据库,检查内核版本,固件,应用程序等。此外,还对应用程序软件分布的漏洞和所用证书进行了详细分析。不幸的是,如果没有管理员的参与,就不能使用以这种方式获得的所有分析结果。除非知道分配了必要的财务资源,否则管理员知道使用自签名证书就不能做任何事情。因此,由于这种监视而获得的大多数信息仍无人认领,或事后用于解释信息泄漏的原因。

移动威胁防御


为了防止企业用户感到厌烦并意识到各种安全措施的实际价值,当今的供应商在竞争算法“深度”以分析有关移动设备威胁的信息之间相互竞争。此功能称为移动威胁防御(MTD)。

由于移动设备的特殊性,从MTD接收的信息通常保持“注释”状态,仅仅是因为移动设备的OS开发人员很少发布更新。原因是特定设备型号的生产时间约为一年。纠正漏洞并将更新发送到即将终止的设备没有收益。由于竞争,制造商被迫采取不同的方法。他们发布了具有新固件的新设备,其中他们尝试考虑已​​发现的问题。同时,其中将存在新漏洞,直到发布具有新OS的新设备后,这些漏洞也不会得到修复。

移动保护技术的发展使得逐步将移动设备的所有保护和管理功能都在称为统一端点管理(UEM)的移动设备管理系统的框架内实现。这似乎不是随机的。移动设备上最受欢迎的功能是基于策略和团队以及应用程序分发的安全管理。由于制造商之间的竞争,随着MDM的发展,其他一切都成为UEM的一部分。在相同的基础上竞争由移动平台提供的所有MDM API,在将它们提供给系统管理员的不同方法,一组报告和界面便利性的框架内,可能非常受限制。

现在,当所有这些都用尽时,就开始执行与最终用户的实际需求有弱关系的功能。

世界惯例


在过去的几年中,以“魔力象限”闻名的Gartner分析机构也将注意力转向了MTD系统。我们查看了《 2019年移动威胁防御市场指南》报告。在正文中进一步-压缩和分析报告的内容。

最初,要注意的是,已声明的MTD功能在防止攻击方面的有效性需要进行验证(即所谓的市场幻想):

“尽管MTD供应商对能够检测和应对高级攻击表示信心,但Gartner仍未看到证据。场 ”

此外,Gartner提请注意以下事实:现在,由设备制造商(UEM)制造商提供了MTD功能,这些制造商从设备管理(MDM)一直发展到为“单窗口”模式下的所有移动性提供服务,或者仅提供漏洞但没有功能的移动防病毒制造商提供此功能。在没有用户干预的情况下,MDM无法对它们执行任何操作。

不是MDM解决方案由于无法从设备中删除恶意软件或无法将设备远程重置为出厂设置,因此移动MTD解决方案找到了一种有趣的出路。 MTD的部分制造商建议在设备上放置自己的VPN客户端,如果检测到攻击,该客户端会将发往公司网络的流量包装回该设备。该技术称为黑洞。我们认为,辩护声明性强于实际。如果在设备上保存了对Internet的访问,则它将不会收到对公司网络的恶意软件访问,但会将所需的所有内容传输到攻击者的服务器。

MTD提供的功能可以简化为以下几组:

  1. Android .
    , . . Android — .
  2. — , Wi-Fi .
    VPN ( Wi-Fi ) , . UEM.
  3. malware / grayware. . , .

    malware , . « » , , «» SMS. grayware. UEM . .
  4. (jailbreak, root).

    , — . UEM , -. , . . , . MTD- .
  5. . MTD .

    UEM HTTP- - MTD .
  6. , SMS, , QR- . . — . MTD, . . UEM .

该报告的主要结论是,在确保公司移动安全的基本级别之前,没有必要实施MTD,这是由以下规则确保的:

1.使用最新版本的移动操作系统。

实际上,这是购买具有最新版本操作系统的新移动设备的要求。市场上仍然有配备Android 6的新设备;

2.拒绝通过自定义恢复,忙碌的忙碌箱或通过adb获得root访问权限的功能来访问“已修补”的设备...

las,有时甚至在市售智能手机上也会发生这种情况。

3.仅允许从官方商店和公司存储安装应用程序的权限。

4.禁止越狱/ root和未锁定的引导程序。

5.密码策略的应用。

没有密码的丢失/被盗设备是任何黑客的梦想。

6.设备丢失/被盗时,请重置为出厂设置。

很难不同意这一点,尤其是因为俄罗斯公司市场并不总是满足这些看似明显的要求。在公共采购网站上,通常会大量供应过时的Android设备以及VPN和防病毒软件,这些设备将无法提供基本的保护级别。

我们衷心希望,随着时间的流逝,在俄罗斯的移动设备上使用UEM将成为Windows防病毒软件不可或缺的安全属性。在那里,您可以看到,资金仍将保留在MTD上...

More articles:


All Articles