Пролог


Как только пользователи мобильных устройств стали доверять своим смартфонам и планшетам «чувствительную» информацию, так тут же появились любопытствующие, желающие ею воспользоваться, в том числе, в корыстных целях. Сначала это была личная информация — фото, пин-коды банковских карт, учетные записи для входа в различные сервисы и т. д.



Корпоративная мобильная безопасность


Позже, с началом использования мобильных устройств для корпоративных нужд, появились любители воспользоваться корпоративными секретами, которые пользователи оставляют в почте, просмотренных и не удаленных файлах, кэше браузеров, временных файлов приложений. Для их удобства были также разработаны инструменты, позволяющие воспользоваться тем, что не защищено на мобильных устройствах.

В противовес им разрабатываются средства защиты для мобильных устройств. Но в силу особенностей мобильных операционных систем оказалось, что простое портирование средств защиты из-под Windows и Linux или невозможно, или неэффективно. Например, антивирус вынужден был работать в такой же «песочнице», как и обычное приложение. Соответственно, ни просканировать приложения, ни удалить даже те, к которым доступ был и, в которых был обнаружен зловред, без помощи пользователя было почти невозможно. И если у частного пользователя, который запустил сканирование самостоятельно можно было получить разрешение на удаление зловреда, то с корпоративными пользователями все сложнее. Сканирование для них необходимо запускать централизованно: или по расписанию или по команде администратора. Вероятность того, что устройство при этом будет у пользователя в руках, и он быстро сообразит ответить — невелика. Поэтому, для полноценной работы, устройства приходилось переводить в режим доступа к правам «суперпользователя». А это само по себе было небезопасно.

В итоге, производители мобильных платформ стали расширять возможности своих API, добавляя поддержку функций безопасности. Появилось понимание, что подход с полной изоляцией приложений (друг от друга) не обеспечивает необходимой защиты от возможных атак и не позволяет средствам зашиты получить необходимый им доступ к файловой системе и дистрибутивам ПО. Кроме того, потребность в использовании сотен и тысяч корпоративных мобильных устройств в бизнесе привела к необходимости развития систем управления мобильными устройствами и/или соответствующих протоколов.

Одновременно с развитием систем управления мобильными устройствами стали появляться «мобильные» антивирусы, способные сканировать и удалять зловреды. Хотя, справедливости ради, надо заметить, что системные приложения им были все также недоступны. Развиваясь и конкурируя, разработчики антивирусов стали внедрять алгоритмы эвристического поиска для обнаружения атак нулевого дня, пользоваться базами опасных сайтов, проверять версии ядер, прошивок, приложений и т. д. Также получил развитие детальный анализ дистрибутивов прикладного ПО на наличие уязвимостей и используемые сертификаты. К сожалению, все полученные таким образом результаты анализа невозможно использовать без участия администратора. Да и администратор, зная, что используется самоподписанный сертификат ничего не может с этим поделать, если на иное не выделены необходимые финансовые ресурсы. Поэтому большинство получаемой в результате такого мониторинга информации остается невостребованной или используется постфактум для объяснения причин утечки информации.

Mobile threat defense


Не давая корпоративным пользователям заскучать и осознать практическую ценность тех или иных средств защиты, вендоры сегодня соревнуются между собой в «крутизне» алгоритмов анализа сведений об угрозах мобильным устройствам. Такой функционал получил название Mobile Threat Defense (MTD).

В связи с особенностью мобильных устройств информация, получаемая от MTD, часто остается в статусе «к сведению», хотя бы потому, что разработчики ОС для мобильных устройств очень редко выпускают обновления. Причина в том, что время производства конкретной модели устройства около года. Исправлять уязвимости и рассылать обновления на устройства, которые скоро будут сняты с производства не выгодно. Из-за конкуренции производители вынуждены использовать другой подход. Они выпускают новое устройство с новой прошивкой, в которой стараются учесть выявленные проблемы. При этом в них будут новые уязвимости, которые также не будут исправляться до выхода нового устройства с новой ОС.

Развитие технологий мобильной защиты идет таким путем, что постепенно все функции защиты и управления мобильными устройствами будут реализованы в рамках систем управления мобильными устройствами, получившими название — Unified Endpoint Management (UEM). Это представляется не случайным. Основной востребованный функционал на мобильных устройствах — это управление безопасностью на основе политик и команд и распространение приложений. Все остальное вошло в состав UEM как развитие MDM в результате конкурентной борьбы между производителями. Конкурировать на основе одинакового для всех MDM API, предоставляемых мобильными платформами можно очень ограничено в рамках разных подходов предоставления их администратору системы, набору отчетов и удобства интерфейса.

И вот, когда все это исчерпано, начинается реализация функций, имеющих слабое отношение к практическим потребностям конечных потребителей.

Мировые практики


Последние несколько лет аналитическое агентство Gartner, известное своими «магическими квадрантами», обратило внимание и на MTD системы. Мы ознакомились с отчётом «Market Guide for Mobile Threat Defense» 2019 года. Далее по тексту — выжимки и анализ содержимого отчёта.

В начале отмечается, что обоснованность заявленных функций MTD в части защиты от атак требует проверки (это они так аккуратно назвали маркетинговые фантазии):

«Even though MTD vendors express confidence in being able to detect and counter advanced attacks, Gartner has yet to see evidence in the field»

Далее Gartner обращает внимание, что сейчас функции MTD предлагают или производители UEM, которые исторически развивались от управления устройствами (MDM) к обслуживанию всей мобильности в режиме «одного окна», или производители мобильных антивирусов, которые могут только сигнализировать об уязвимостях, но при отсутствии функций MDM не могут ничего с ними сделать без участия пользователя.

Не являясь MDM-решениями и не имея возможности удалить с устройства malware или сделать удалённый сброс устройства к заводским настройкам, мобильные MTD-решения нашли интересный выход. Часть MTD производителей предлагает поставить на устройства собственный VPN клиент, который в случае обнаружения атаки заворачивает трафик, адресуемый в корпоративную сеть, обратно на устройство. Эту технику назвали «blackholing». На наш взгляд, защита скорее декларативная, чем реальная. Если на устройстве сохраняется доступ в интернет, то в корпоративную сеть malware доступа не получит, но на сервер злоумышленника передаст всё, что захочет.

Функции, предлагаемые MTD, можно свести к следующему набору:

  1. Проверка версий и сборок Android в публичных базах уязвимостей.
    Носит скорее информационный характер, т. к. общая рекомендация регулярно обновлять ОС для нетоповых Android устройств не годится — слишком короткий срок поддержки.
  2. Отслеживание небезопасной сетевой активности — контроль наличия сертификатов со слабым шифрованием или самоподписанных сертификатов, мониторинг подключения к Wi-Fi сетям без шифрования или со слабой аутентификацией.
    По факту нужно обеспечить наличие на устройстве VPN (тогда никакой Wi-Fi не страшен) и следить за тем, чтобы самоподписанные сертификаты были только от внутрикорпоративного удостоверяющего центра. Остальное нужно удалять или блокировать с помощью UEM.
  3. Мониторинг наличия malware / grayware. Проверка приложений по антивирусным базам с возможностью отправки дистрибутива на сервер для детального анализа. Плюс поведенческий анализ, нацеленный на проверку наличия небезопасных или чрезмерных привилегий.

    Иногда malware в приложении нет, но оно просто написано криво. Такие приложения могут запрашивать все разрешения «про запас» и тогда, например, приложение «Галерея» будет просить доступ к журналу звонков и SMS. Такие потенциально уязвимые приложения называют grayware. Админу UEM полезно иметь инструмент оперативной проверки приложений перед их распространением. В отсутствии такого инструмента приложения по факту не проверяются.
  4. Контроль признаков взлома (jailbreak, root).

    Всем понятно, что взломанное устройство — это дыра в информационной безопасности. Функции проверки взлома есть практически в каждом UEM решении, часто встречаются в банк-клиентах. Методик и библиотек, в т. ч. с открытыми исходниками, достаточно. MTD-решения нового к этому не добавляют.
  5. Анализ сетевого трафика. Чаще всего с помощью перенаправления трафика на сервер MTD для анализа.

    С помощью возможностей UEM можно включить на устройствах глобальный HTTP-прокси и направить весь веб-трафик на имеющиеся корпоративные шлюзы без необходимости покупки дополнительных MTD анализаторов.
  6. Защита от фишинговых ссылок в почте, SMS, мессенджерах, QR-кодах и т. д. Основная цель фишинга — это кража пользовательских аккаунтов. Это поле деятельности для антивирусов и MTD, т. к. UEM производители этим никогда не занимались.

Основным выводом в отчёте является утверждение о том, что нет смысла заниматься внедрением MTD до обеспечения базового уровня безопасности корпоративной мобильности, который обеспечивается выполнением следующих правил:

1. Использование актуальных версий мобильных ОС.

По сути, это требование к закупке новых мобильных устройств с последними версиями операционных систем. На рынке до сих пор встречаются новые устройства с Android 6.

2. Запрет доступа «пропатченных» устройств с кастомными рекавери, встроенным комплектом busy box или возможностью получения root прав по adb…

Такое, увы, иногда встречается даже на серийно выпускаемых смартфонах.

3. Разрешение установки приложений только из официальных магазинов и корпоративного хранилища.

4. Запрет jailbreak / root и разблокированных bootloader.

5. Применение парольных политик.

Потерянное / украденное устройство без пароля — мечта любого хакера.

6. Сброс к заводским настройкам при потере / краже устройства.

Сложно с этим не согласиться, тем более, что российский корпоративный рынок не всегда соответствует этим, казалось бы, очевидным требованиям. На сайте госзакупок регулярно встречаются лоты на поставку устройств с неактуальным Android вместе с VPN и антивирусом, которые не смогут обеспечить базового уровня защиты.

Искренне надеемся, что со временем использование UEM на мобильных устройствах в России станет таким же неотъемлемым атрибутом безопасности, как антивирус для Windows. А там, глядишь, и на MTD останутся средства…