Proč řešit bezpečnost mobilních zařízení

Nejlepší ochranu firemních mobilních zařízení a dat poskytuje kombinace MDM nástroje pro hromadnou konfiguraci a inventarizaci zařízení a MTD řešení, které se specializuje na detekci moderních bezpečnostních hrozeb. Nejslabším článkem v bezpečnostním řetězci je uživatel.

Ve většině velkých i malých firem zaměstnanci pracují na počítačích, které jejich interní IT typicky spravuje pomocí tradičních Windows technologií - Active Directory, GPo, SCCM atd. Počítače jsou automaticky aktualizoované, běží na nich antivir, je aktivovaný firewall, případně další bezpečnostní funkcionality. Firemní počítače jsou tedy poměrně dobře chráněné a firma má přehled o tom co se na nich děje.

Naproti tomu firemní mobilní zařízení firma v lepším případě spravuje pomocí některé z technologií Mobile Device Management (MDM), ale co se na těchto mobilních zařízeních děje nad rámec MDM správy o tom obvykle přehled nemá.

Přitom každý zaměstnanec dnes může z mobilního telefonu či tabletu vyřizovat e-maily, používat firemní aplikace, přistupovat k firemním datům stejně pohodlně, jako z počítače. Mobilní zařízení je dokonce pro některé zaměstnance jediný pracovní nástroj.

Počty mobilních zařízení ve firmách neustále rostou, většinou na úkor klasických počítačů. Mobilní systémy se rozvíjejí, zvyšuje se jejich komplexita a ruku v ruce s tím se objevují zranitelnosti a bugy.

Útočníci tyto trendy sledují a přesouvají svoji pozornost právě na tato mobilní zařízení, které firmy tolik nechrání. Za několik posledních let je možné pozorovat velký nárůst malware a útoků cílících na mobilní zařízení.

Faktory ovlivňující bezpečnost mobilních zařízení

Vždy je třeba říci si dopředu, k čemu budou mobilní zařízení ve firmě používána, s jakými daty a aplikacemi bude jejich uživatel pracovat. Důležité je zvážit možnosti jednotlivých mobilních platforem (Android / iOS) a vybrat vhodný způsob jejich správy (MDM).

Zde můžeme vzpomenout např. mobilní zařízení Samsung a jejich bezpečnostní funkcionality, které jsou nad rámec nabídky standardních Android zařízení.

Firmy při nákupu mobilních zařízení obvykle postupují špatně - vybírají náhodně, podle ceny a teprve poté dávají dohromady další kroky.

Tento nevhodný postup obvykle končí kompromisem, který je na úkor funkcionality i bezpečnosti. I při správném výběru ale nemusí samotná technologie (MDM) stačit.

MDM funkcionalita versus MTD

MDM je především konfigurační a inventarizační nástroj a administrátorům umožňuje z jedné konzole spravovat celou flotilu firemních mobilních zařízení. Pomocí konfiguračních profilů lze na zařízeních nastavovat nejrůznější omezení, vynutit heslo pro odemčení, nastavit WiFi, VPN, nebo přístup do mailboxu uživatele.

Pomocí MDM je možno automatizovat instalaci a konfiguraci firemních aplikací a zajistit oddělení firemních dat od těch soukromých. MDM klient v zařízení je schopen základní root / Jailbreak detekce.

MDM dále vyhodnocuje konformitu zařízení, kdy porovnává definované zásady a skutečnost. Pokud je vše v pořádku, je zařízení tzv. konformní (compliant). S touto informací pak lze pracovat jak v MDM samotném tak i v dalších systémech.

Součástí Enterprise Mobility Management řešení bývá i funcionalita zabezpečené komunikace do firmy přes reverzní proxy, která je úzce integrovaná s MDM a umožňuje přístup jen spravovaným zařízením.

MTD je specializovaný nástroj pro detekci a ochranu proti moderním bezpečnostním hrozbám.

Oba nástroje se vzájemně nevylučují ale naopak vhodně doplňují.

Zařízení plně pod kontrolou

Pokud se zákazník rozhodne mít vše plně pod kontrolou, pak zařízení typicky aktivuje v módu Android Enteprise Fully Managed, či v případě iOS v tzv. Supervised režimu. Tyto dva jmenované aktivační způsoby umožňují maximální konfiguraci a nastavení zařízení.

Např. lze omezit využití zařízení jen pro firemní aplikace, povolit přistup pouze na vybrané webové stránky, zakázat přidání osobních účtů, zakázat konkrétní funkčnost zařízení. V úplně krajním případě je zařízení konfigurováno v kioskovém režimu s jednou trvale běžící aplikací (Single-App mode).

Tímto nastavením lze do velké míry limitovat potenciální vektory útoku, zvláště pokud jsou zařízení provozována na čistě interní/dedikované síti, např. na výrobní lince.

Pokud jsou ale zařízení připojená do internetu, pak je specializované Mobile Threat Defense řešení vhodným doplňkem k MDM.

BYOD - firemní zařízení i pro osobní využití

Riziko zásadně roste, pokud je zaměstnancům umožněn přístup na firemní data ze soukromých zařízení (BYOD režim) a nebo firma nebrání využití firemních zařízení i pro soukromé účely. V těchto případech jsme omezeni v možnostech, co lze na zařízeních zakázat a jaké informace o zařízeních MDM sbírá.

Je zde kladen vysoký důraz na ochranu soukromí uživatele. Typické řešení pro tyto scénáře je vytvoření pracovního kontejneru, ve kterém jsou umístěna firemní data a aplikace, kdy pak MDM spravuje pouze tento kontejner. Důsledkem toho je, že např. nevidí aplikace instalované v osobním prostoru uživatele.

Správce MDM může jen zákazat instalaci aplikací z neznámých zdrojů (uživatel může do osobního prostoru instalovat pouze aplikace z Google Play).

Moderní bezpečnostní hrozby

Jedná se o útoky na zařízení, aplikační útoky, síťové útoky. Velké téma je phishing a sociální inženýrství. Prakticky se může jednat o kombinaci všech uvedených útoků, kdy útočník techniky řetězí tak, aby napáchal co nejvíce škody a získal co nejvíce dat.

Nejslabším článkem v bezpečnostním řešení bývá uživatel, který udělá cokoli, aby získal např. přístup k internetu, stáhnul soubor.

Uživatelé se často nechovají dle interních směrnic a s tím je třeba vždy počítat.

Útoky na zařízení

Jedná se o útoky, které využívají zranitelnosti operačního systému či firmware chipsetů. V minulosti proběhlo několik útoků využívajících právě zranitelnosti firmware WiFi / BT chipsetů (např. Broadpwn), kdy výrobcům zařízení trvalo poměrně dlouhou dobu, než tyto zranitelnosti opatchovali. Tyto zranitelnosti šlo využít k eskalaci práv na úroveň root oprávnění a k ovládnutí zařízení.

Další typ útoku může být směřován na USB rozhraní, kdy stačí aby uživatel připojil zařízení přes USB k nabíječce na letišti, či připojil zařízení do systému auta zapůjčeného v půjčovně.

Útok může být veden i přes SMS zprávu, která přijde do zařízení a systém ji automaticky zpracuje aniž by si tuto zprávu uživatel zobrazil. Cílem útoku je kompletní ovládnutí zařízení a následné získaní firemních dat.

Aplikační útoky

Již výše bylo zmíněno, že díky MDM lze zakázat instalaci aplikací z neoficiálních obchodů či stažených .apk souborů. Tím umožníme instalaci aplikací jen z Google Play a Apple App Store, kde aplikace prochází schvalovacím procesem. I přesto ale nelze mít 100% jistotu a historie ukázala, že i tam se nebezpečné aplikace opakovaně objevují.

Nakažené aplikace např. využívají asistenční funkcionalitu v zařízení, překryjí aktuálně používanou aplikaci a snímají vše, co uživatel do zařízení napíše či zobrazí. Tyto údaje se pak přeposílají na server útočníka.

Aplikace také může využít známé zranitelnosti v OS a získat root oprávnění nebo spustit network scan a hledat známé zranitelnosti v síti, do které je uživatel přes mobilní zařízení připojen. Risk aplikačního útoku - získání citlivých údajů nebo ovládnutí zařízení.

Síťové útoky

Jedná se o útoky, které jsou vedené na síťovou komunikaci. Typickým příkladem jsou útoky přes věřejné WiFi sítě. Opět příklad z praxe, kdy se uživatel např. na letišti, v hotelu či ve vlaku připojí do veřejné WiFi sítě. Tuto síť pak většinou v nastavení svého zařízení nesmaže.

Uložené WiFi sítě zařízení neustále hledá a přitom broadcastuje jejich SSID. Útočník tuto informaci odchytí a vytvoří si stejnou WiFi síť na vlastním Access Pointu (AP), který má pod kontrolou - toto je možné zcela automatizovaně např. pomocí zařízení WiFi Pineapple.

Pokud se mu podaří zařízení na svůj AP přepnout, pak typicky pokračuje útokem typu Man in the middle (MITM) s cílem dešifrovat a odposlechnout komunikaci, tzn. získat přihlašovací údaje, citlivá data firmy.

Phishing a sociální inženýrství

Sem patří všem známé podvodné e-maily. S novými technologiemi ale přibývají nové typy útoků a vynalézavost útočníků roste. Je to dáno i technickými vlastnostmi mobilních zařízení.

Např. QR kódy jsou nyní populární pro připojení k WiFi síti, či jako rychlá cesta k nalezení informace na webu. Uživatel se ale pomocí QR kódu může lehce dostat i na podvodnou stránku. Mobilní zařízení mají malý screen a obsah je upřednostněn před ovládacími prvky.

Adresní řádek ve webovém prohlížeči tedy nemusí být vždy jasně čitelný. Pokud útoční zkombinuje tyto technologie dohromady, tedy vyrobí si QR kód odkazující na webovou stránku, která se bude názvem domény a obsahem blížit k té skutečné, lze velmi snadno naletět a zadat na podvodné stránce např. přihllašovací údaje.

Pozor tedy na QR kódy, pozor na zkracovače URL adres, pozor na interpunkci. Již delší dobou jsou podporovány mezinárodní doménové názvy, takže je možné založit si doménu, která se bude jmenovat např. Mícrosoft.com, jedná se o validní doménu, stačí jedna čárka nad i a nejedná se o stránku Microsoft, ale o stránku útočníka.

Dále je třeba dát si pozor na platný certifikát na navštívené cílové stránce, ale ani to neznamená 100% bezpečí. I útočníkova stránka mívá většinou platný certifikát.

Útok může být veden i prostřednictvím reverzní proxi Modlishka, která si cestou na oficiální stránku, např. již zmíněného Microsoft, odchytává komunikaci.

Ve všech uvedených případech opět útočník útočí s cílem získat přihlašovací údaje a citlivá data firmy.

Prevence pomocí MTD

MTD (Mobile Threat Defense) dokáže detekovat známé i neznámé typy útoků (Zero-Day) pomocí pokročilé analýzy chování aplikací a OS komponent (např. detekuje eskalaci oprávnění). Tato analýza většinou probíhá přímo na zařízení a často i s využitím machine learningu. Na základě vyhodnoceného risk faktoru může být provedena definovaná akce.

MTD řešení dokáže provádět statickou i dynamickou analýzu aplikací. Aplikace se analyzují v sandboxovaném prostředí v cloudu a výstupem je hodnocení (Risk Score) aplikace jak z pohledu bezpečnosti, tak i ochrany osobních údajů.

Ochrana proti phishingu je typicky koncipována tak, že komunikace prochází přes lokální VPN rozhraní a zde je prováděna analýza. Pro VPN rozhraní je také možno definovat block list nebo naopak seznam bezpečných (interních) adres.

Vše je doplněno databází zranitelností a nebezpečných stránek v cloudu, ze které MTD řešení čerpá. Zde se anonymizovaná data ze zařízení korelují a dále vyhodnocují a systém se tak neustále zdokonaluje.

MDM má limity s ohledem na vyhodnocování bezpečnostních hrozeb, nicméně v kombinaci s MTD je zabezpečení dokonalé. MTD okamžitě řekne, že se něco nebezpečného děje a MDM pak automatizovaně provede patřičnou akci, např. smaže firemní data ze zařízení či zablokuje určitou funkcionalitu na zařízení.

K hlavním hráčům na trhu s MTD řešeními patří Check Point Harmony Mobile (Dříve SandBlast Mobile), Lookout, MobileIron Threat Defende (Zimperium), Wandera.

Všechna tato řešení dokáže System4u nasadit dle konkrétních potřeb firmy. Se všemi má reálnou zkušenost, včetně napojení na MDM řešení.