Warum sollte man sich mit der Sicherheit von Mobilgeräten befassen?
In den meisten Unternehmen, ob groß oder klein, arbeiten die Mitarbeiter an Computern, die die interne IT-Abteilung in der Regel mit herkömmlichen Windows-Technologien verwaltet – Active Directory, GPo, SCCM usw. Die Computer werden automatisch aktualisiert, der Virenschutz läuft, die Firewall ist aktiviert, und andere Sicherheitsfunktionen sind aktiviert. Die Firmencomputer sind daher relativ gut geschützt, und das Unternehmen hat einen Überblick darüber, was auf ihnen geschieht.
Im Gegensatz dazu werden mobile Unternehmensgeräte (Telefone, Tablets und andere Wearables) im besten Fall vom Unternehmen mit einer der Mobile Device Management (MDM)-Technologien verwaltet, aber was auf diesen mobilen Geräten außerhalb der MDM-Verwaltung passiert, ist in der Regel nicht sichtbar. Heute kann jeder Mitarbeiter mit einem Mobiltelefon oder Tablet genauso bequem wie mit einem Computer E-Mails versenden, Unternehmensanwendungen nutzen und auf Unternehmensdaten zugreifen. Für manche Mitarbeiter sind mobile Geräte sogar das einzige Arbeitsmittel.
Die Zahl der mobilen Geräte in Unternehmen nimmt ständig zu, meist auf Kosten der traditionellen Computer. Mobile Systeme entwickeln sich weiter, ihre Komplexität nimmt zu, und es treten immer mehr Schwachstellen und Bugs auf. Angreifer folgen diesen Trends und verlagern ihre Aufmerksamkeit auf diese mobilen Geräte, die von Unternehmen nicht so stark geschützt werden. In den letzten Jahren gab es eine starke Zunahme von Malware und Angriffen auf mobile Geräte.
Mehrere Faktoren wirken sich auf die Sicherheit von Mobilgeräten aus.
Es ist immer notwendig, im Voraus festzulegen, wofür die mobilen Geräte im Unternehmen eingesetzt werden, mit welchen Daten und Anwendungen der Benutzer arbeiten wird. Es ist wichtig, die Fähigkeiten der einzelnen mobilen Plattformen (Android/iOS) zu berücksichtigen und die geeignete Methode zu deren Verwaltung (MDM) zu wählen. Hier können wir uns z.B. erinnern Samsung-Mobilgeräte und ihre Sicherheitsfunktionen, die über das Angebot von Standard-Android-Geräten hinausgehen.
Unternehmen machen beim Kauf von Mobilgeräten meist einen Fehler: Sie wählen willkürlich und nach dem Preis aus und überlegen sich erst dann die nächsten Schritte. Diese unangemessene Praxis endet in der Regel in einer Kompromisslösung, die der Funktionalität und Sicherheit abträglich ist.
Aber selbst bei der richtigen Wahl reicht die Technologie (MDM) allein möglicherweise nicht aus.
MDM-Funktionalität vs. MTD
MDM ist in erster Linie ein Konfigurations- und Inventarisierungstool, mit dem Administratoren ihre gesamte Flotte mobiler Unternehmensgeräte über eine einzige Konsole verwalten können. Mithilfe von Konfigurationsprofilen können Sie verschiedene Einschränkungen für Geräte festlegen, ein Kennwort zum Entsperren erzwingen, Wi-Fi und VPN einrichten oder auf die Mailbox des Benutzers zugreifen. Mit MDM ist es möglich, die Installation und Konfiguration von Unternehmensanwendungen zu automatisieren und die Trennung von Unternehmensdaten und privaten Daten zu gewährleisten. Der MDM-Client auf dem Gerät ist in der Lage, grundlegende Root-/Jailbreak-Erkennung durchzuführen. Das MDM bewertet außerdem die Konformität des Geräts, indem es die definierte Richtlinie mit der Realität vergleicht. Wenn alles in Ordnung ist, wird das Gerät angerufen. willfährig. Diese Informationen können dann sowohl im MDM selbst als auch in anderen Systemen verwendet werden.
Enterprise Mobility Management-Lösungen umfassen auch die Funktionalität der sicheren Kommunikation mit dem Unternehmen über einen Reverse Proxy, der eng mit MDM integriert ist und den Zugriff nur auf verwaltete Geräte erlaubt.
MTD ist ein spezielles Tool zur Erkennung und zum Schutz vor modernen Sicherheitsbedrohungen.
Die beiden Instrumente schließen sich nicht gegenseitig aus, sondern ergänzen sich vielmehr.
Anwendungsfall: Ausrüstung vollständig unter Kontrolle
Entscheidet sich der Kunde dafür, alles unter Kontrolle zu haben, dann wird das Gerät typischerweise im Android Enteprise Fully Managed Modus aktiviert, oder im Falle von iOS im sogenannten. Überwachter Modus. Diese beiden Aktivierungsmethoden ermöglichen eine maximale Konfiguration und Einrichtung des Geräts. Zum Beispiel. Sie können die Nutzung des Geräts auf Geschäftsanwendungen beschränken, nur den Zugriff auf ausgewählte Websites zulassen, das Hinzufügen von persönlichen Konten deaktivieren und bestimmte Gerätefunktionen abschalten. Im Extremfall ist das Gerät im Kioskmodus konfiguriert, in dem eine Anwendung permanent läuft (Single-App-Modus). Diese Einstellung kann die potenziellen Angriffsvektoren weitgehend einschränken, vor allem, wenn die Geräte in einem rein internen bzw. dedizierten Netz betrieben werden, z. B. am Fließband.
Wenn die Geräte jedoch mit dem Internet verbunden sind, ist eine spezielle Mobile Threat Defense-Lösung eine geeignete Ergänzung zu MDM.
Anwendungsfall: BYOD / Geschäftliche und private Geräte
Das Risiko steigt erheblich, wenn Mitarbeiter von privaten Geräten aus auf Unternehmensdaten zugreifen dürfen (BYOD-Modus) oder das Unternehmen die Nutzung von Firmengeräten für private Zwecke nicht verhindert. In diesen Fällen sind wir in Bezug darauf, was auf den Geräten deaktiviert werden kann und welche Informationen MDM über die Geräte sammelt, eingeschränkt. Dem Schutz der Privatsphäre der Nutzer wird große Bedeutung beigemessen. Eine typische Lösung für diese Szenarien ist die Erstellung eines Arbeitscontainers, in dem die Daten und Anwendungen des Unternehmens untergebracht sind, wobei MDM dann nur diesen Container verwaltet. Die Folge ist, dass zum Beispiel. sieht keine Anwendungen, die im persönlichen Bereich des Benutzers installiert sind. Der MDM-Administrator kann nur die Installation von Apps aus unbekannten Quellen verbieten (der Benutzer kann im persönlichen Bereich nur Apps von Google Play installieren).
Moderne Sicherheitsbedrohungen
Dabei handelt es sich um Geräte-, Anwendungs- und Netzwerkangriffe. Phishing und Social Engineering sind ein großes Thema. In der Praxis kann es sich um eine Kombination all dieser Angriffe handeln, bei denen der Angreifer Techniken kombiniert, um so viel Schaden wie möglich anzurichten und so viele Daten wie möglich zu erhalten. Das schwächste Glied in einer Sicherheitslösung ist in der Regel der Benutzer, der alles tun wird, um z. B. auf das Internet zugreifen und die Datei herunterladen. Die Nutzer verhalten sich oft nicht nach den internen Richtlinien, und dies sollte immer berücksichtigt werden.
Angriffe auf die Ausrüstung
Dabei handelt es sich um Angriffe, die Schwachstellen im Betriebssystem oder in der Chipsatz-Firmware ausnutzen. In der Vergangenheit gab es mehrere Angriffe, bei denen Schwachstellen in der Firmware von Wi-Fi/BT-Chipsätzen ausgenutzt wurden (z. B. Broadpwn), und die Gerätehersteller brauchten ziemlich lange, um diese Schwachstellen zu beheben. Diese Schwachstellen könnten ausgenutzt werden, um die Rechte auf Root-Ebene zu erweitern und die Kontrolle über das Gerät zu übernehmen.
Eine andere Art von Angriffen kann auf die USB-Schnittstelle gerichtet sein, wenn der Benutzer das Gerät nur über USB an ein Ladegerät am Flughafen anschließen muss oder das Gerät in das System eines Mietwagens einstecken muss. Der Angriff kann auch über eine SMS-Nachricht erfolgen, die auf dem Gerät eintrifft und vom System automatisch verarbeitet wird, ohne dass der Benutzer die Nachricht sieht.
Ziel des Angriffs ist es, die vollständige Kontrolle über das Gerät zu erlangen und dann an Unternehmensdaten zu gelangen.
Angriffe auf die Anwendung
Es wurde bereits erwähnt, dass MDM die Installation von Anwendungen aus inoffiziellen Stores oder heruntergeladenen .apk-Dateien deaktivieren kann. Dadurch können nur Apps aus Google Play und dem Apple App Store installiert werden, wo die App einen Genehmigungsprozess durchläuft. Dennoch gibt es keine 100-prozentige Sicherheit, und die Vergangenheit hat gezeigt, dass auch dort immer wieder unsichere Apps auftauchen.
Infizierte Anwendungen, z.B. die Hilfsfunktionen des Geräts nutzen, die aktuell verwendete Anwendung überlagern und alles erfassen, was der Benutzer auf dem Gerät eingibt oder anzeigt. Diese Daten werden dann an den Server des Angreifers weitergeleitet.
Die App kann auch bekannte Schwachstellen im Betriebssystem ausnutzen, um Root-Rechte zu erlangen, oder einen Netzwerk-Scan durchführen, um nach bekannten Schwachstellen in dem Netzwerk zu suchen, mit dem der Benutzer über ein mobiles Gerät verbunden ist.
Risiko von Anwendungsangriffen – Erlangung sensibler Daten oder Kontrolle über das Gerät.
Angriffe aus dem Netz
Dabei handelt es sich um Angriffe, die auf die Netzkommunikation gerichtet sind. Typische Beispiele sind Angriffe über öffentliche Wi-Fi-Netze. Wiederum ein Beispiel aus der Praxis, wenn ein Benutzer z.B. eine Verbindung zu einem öffentlichen Wi-Fi-Netzwerk am Flughafen, im Hotel oder im Zug herstellen. Dieses Netzwerk wird normalerweise nicht in den Einstellungen Ihres Geräts gelöscht. Das Gerät sucht ständig nach gespeicherten Wi-Fi-Netzwerken und sendet deren SSIDs. Der Angreifer erfasst diese Informationen und erstellt dasselbe Wi-Fi-Netz auf seinem eigenen Access Point (AP), den er kontrolliert – dies ist vollautomatisch möglich, z. B. mit dem Pineapple WiFi Gerät. Gelingt es ihm, das Gerät auf seinen AP umzuschalten, fährt er in der Regel mit einem Man-in-the-Middle-Angriff (MITM) fort, um die Kommunikation zu entschlüsseln und abzuhören, d. h. um Anmeldeinformationen und sensible Unternehmensdaten zu erhalten.
Phishing und Social Engineering
Dazu gehören auch die bekannten Betrugs-E-Mails. Doch mit den neuen Technologien entstehen auch neue Arten von Angriffen, und der Einfallsreichtum der Angreifer wächst. Dies liegt auch an den technischen Merkmalen der mobilen Geräte. Konzentrieren wir uns zum Beispiel darauf. zu den QR-Codes, die inzwischen sehr beliebt sind, um eine Verbindung zu einem Wi-Fi-Netz herzustellen oder um schnell Informationen im Internet zu finden. Allerdings kann der Nutzer über den QR-Code leicht auf die betrügerische Seite gelangen. Mobile Geräte haben einen kleinen Bildschirm, und der Inhalt hat Vorrang vor der Steuerung. Daher ist die Adressleiste im Webbrowser möglicherweise nicht immer gut lesbar. Wenn ein Angreifer diese Technologien miteinander kombiniert, d. h. einen QR-Code erstellt, der auf eine Webseite mit einem Domänennamen und einem Inhalt verweist, der dem echten sehr ähnlich ist, ist es sehr einfach, getäuscht zu werden und auf die betrügerische Seite zu gelangen, z. B. Anmeldedaten.
Achten Sie also auf QR-Codes, auf URL-Verkürzer und auf die Zeichensetzung. Internationale Domänennamen werden seit einiger Zeit unterstützt, so dass es möglich ist, eine Domäne mit dem Namen „Mícrosoft.com“ zu erstellen. Es handelt sich um eine gültige Domäne, nur ein Komma vor dem „i“ und es ist keine Microsoft-Site, sondern eine Angreifersite. Sie müssen auch sicherstellen, dass Sie ein gültiges Zertifikat auf der von Ihnen besuchten Landing Page haben, aber auch das bedeutet keine 100%ige Sicherheit. Selbst die Website des Angreifers hat in der Regel ein gültiges Zertifikat.
Der Angriff kann auch über einen Reverse-Proxy Modlishka durchgeführt werden, der auf dem Weg zur offiziellen Seite z.B. das bereits erwähnte Microsoft, das die Kommunikation abfängt.
In all diesen Fällen versucht der Angreifer erneut, Anmeldeinformationen und sensible Unternehmensdaten zu erlangen.
Angriffe können mit Mobile Threat Defense (MTD) verhindert werden
MTD kann bekannte und unbekannte Arten von Angriffen (Zero-Day) durch eine erweiterte Analyse des Verhaltens von Anwendungen und Betriebssystemkomponenten erkennen (z. B. Erkennung von Privilegieneskalation). Diese Analyse wird in der Regel direkt auf dem Gerät und oft mit Hilfe von maschinellem Lernen durchgeführt. Auf der Grundlage des bewerteten Risikofaktors kann eine bestimmte Maßnahme ergriffen werden.
Die MTD-Lösung kann sowohl statische als auch dynamische Analysen von Anwendungen durchführen. Die Anwendungen werden in einer Sandbox-Umgebung in der Cloud analysiert, und das Ergebnis ist eine Risikobewertung der Anwendung in Bezug auf Sicherheit und Datenschutz.
Der Schutz vor Phishing ist in der Regel so konzipiert, dass die Kommunikation über eine lokale VPN-Schnittstelle läuft und dort analysiert wird. Sie können auch eine Sperrliste oder eine Liste mit sicheren (internen) Adressen für die VPN-Schnittstelle definieren.
All dies wird ergänzt durch eine Datenbank mit Schwachstellen und gefährlichen Websites in der Cloud, auf die die MTD-Lösung zurückgreift. Hier werden die anonymisierten Daten aus dem Gerät korreliert und weiter ausgewertet, um das System kontinuierlich zu verbessern.
MDM hat, wie eingangs erwähnt, Einschränkungen bei der Bewertung von Sicherheitsbedrohungen, aber in Kombination mit MTD ist die Sicherheit perfekt. MTD sagt Ihnen sofort, dass etwas Gefährliches passiert, und MDM automatisiert dann die entsprechenden Maßnahmen, z. B. löscht Unternehmensdaten auf dem Gerät oder deaktiviert bestimmte Funktionen auf dem Gerät.
Zu den wichtigsten Akteuren auf dem Markt für MTD-Lösungen gehören Check Point Harmony Mobile (früher SandBlast Mobile), Lookout, MobileIron Threat Defende (Zimperium) und Wandera.
System4u ist in der Lage, alle diese Lösungen zu implementieren und verfügt über echte Erfahrung mit ihnen, einschließlich der Anbindung an MDM-Lösungen.
Zum Abschluss also eine Zusammenfassung:
- Das schwächste Glied in der Sicherheitskette ist der Benutzer.
- Die Hauptaufgabe von MDM ist die Massenkonfiguration von Geräten.
- MTD ist auf die Erkennung von fortgeschrittenen Sicherheitsbedrohungen spezialisiert.
- Die meisten MTD-Lösungen können eng mit MDM integriert werden.
- Die Kombination aus MDM und MTD bietet den besten Schutz für mobile Geräte und Daten.
- System4u kann alle oben genannten Technologien je nach den spezifischen Anforderungen des Unternehmens einsetzen.
Ladislav Blažek, Direktor für technische Unterstützung von System4u a.s.
