Смартфоны – в зону безопасности!

Разовью тему своей статьи «Как централизованно управлять конечными устройствами? Тренды развития UEM», чтобы показать специалистам информационной безопасности границы того, до чего они могут (и должны!) дотянуться для более полного обеспечения кибербезопасности предприятия.

Мы все регулярно используем смартфоны и планшеты для работы, и это объективная реальность. На них у нас чаты, документы, доступ к корпоративной почте и другим системам. Для бизнеса мобильный телефон сотрудника – отличный мощный инструмент. Причем во все большем числе отраслей – в ретейле, логистике, поддержке, на выезде – это уже не дополнительное, а основное рабочее устройство.

Однако в архитектуре кибербезопасности компании это устройство часто не фигурирует вообще. Его не видно в SIEM, он не отслеживается в SOC, его не проверяют на соответствие политикам. Хотя мы защищаем серверы, ноутбуки, даже публичное облако. У нас есть антивирусы, аудиты безопасности, XDR, SOC, CMDB (Configuration Management Database). А теперь задайтесь вопросом: если такое устройство утеряно, взломано или заражено, вы это заметите? Чаще всего, если смартфон с корпоративным доступом окажется под контролем злоумышленника, вы об этом не узнаете.

Многие (обычно ИТ-специалисты) говорят, что для защиты работы смартфона есть много подсистем типа VPN или MFA. Напомню, MFA (Multi-Factor Authentication, многофакторная аутентификация) требует от пользователя для доступа к системе, приложению или аккаунту предоставления более чем одного подтверждения своей личности. Помимо пароля MFA запрашивает дополнительные данные (код из SMS, отпечаток пальца или ответ на секретный вопрос). Однако это все контроль входа, а не контроль состояния устройства, и пользователь может ввести все правильно, но если устройство заражено, никто этого не заметит. Да и VPN (Virtual Private Network, виртуальная частная сеть), создавая зашифрованный туннель между устройством и интернетом и обеспечивая безопасное и анонимное подключение, по сути, скрывает ваш реальный IP-адрес и шифрует передаваемые данные, делая их недоступными для третьих лиц, но никак не контролирует, кто именно и какие данные передает.

Многие скажут, что на смартфоне же просто почта, и всё, ничего страшного. На практике используется не только почта, зачастую есть доступ к системе CRM, к облаку, к чату, к OneDrive например, или к аналогичным внутрикорпоративным сервисам. Повсеместно народ для ускорения взаимодействия копирует данные из корпоративной почты и отправляет их в тот или иной мессенджер.

Пример из жизни. При одной из многочисленных атак на инфраструктуру предприятия пришлось временно отключить внешний доступ к электронной почте со смартфонов. В результате бизнес остановился, и все сотрудники «от мала до велика» потянулись в ИТ-отдел за восстановлением доступа. «Не можем работать!», – жаловались они.

Когда речь заходит о защите мобильных устройств, часто говорят: «У нас все нормально – есть VPN, MFA и антивирус». Давайте разберемся, что именно дает каждая из этих мер:

И если смартфон уже взломан или передан злоумышленнику, все три меры ничего не дадут. В этом и проблема. Мы доверяем устройству, потому что пользователь ввел пароль. Мы не проверяем:

Все это выходит за пределы классических ИБ-средств. 

MDM (Mobile Device Management) – это технологии и решения для управления мобильными устройствами сотрудников и их защиты; UEM (Unified Endpoint Management) – чуть более широкий класс систем для управления устройствами в организации. MDM и UEM различаются масштабом и возможностями. MDM в основном фокусируется на управлении смартфонами и планшетами, в то время как UEM расширяет эту функциональность, управляя всеми типами конечных точек, включая ноутбуки, настольные компьютеры и другие носимые устройства, а иногда даже терминалы.

Что делает MDM/UEM:

- запретить доступ к почте, VPN, приложениям;

  - стереть рабочие данные, если устройство украдено;

- заблокировать установку небезопасных приложений.

MDM/UEM – это непрерывный контроль: проверяются состояние, соответствие политике безопасности, реакция на отклонения. Почему это инструмент ИБ? Потому, что он позволяет:

Именно поэтому сегодня MDM/UEM – это часть архитектуры безопасности, особенно если решение встроено в SOC или XDR и может участвовать в сценариях реагирования.

Чтобы не быть голословными, разберем два реальных инцидента, в которых мобильные устройства оказались точкой входа. Оба произошли в 2020 г. – в разгар пандемии, когда сотрудники массово ушли на «удаленку». Мобильные устройства стали использоваться для работы гораздо чаще, а архитектуры безопасности, построенные до пандемии, не были к этому готовы.

Пример 1. В июле 2020 г. хакеры получили доступ к внутренним инструментам Twitter. Были скомпрометированы аккаунты Илона Маска, Барака Обамы, Билла Гейтса и опубликованы фейковые посты от их имени.

Суть атаки: злоумышленники связались с сотрудниками Twitter и выманили логины и пароли. Затем они провели SIM-свопинг, т.е. обманным путем получили у операторов связи дубликаты SIM-карт жертв и перенесли их номера на свою SIM-карту. Это позволило атакующим перехватывать звонки, SMS-сообщения и использовать номера для доступа к аккаунтам жертв, применяющим двухфакторную аутентификацию через SMS. С этими номерами хакеры прошли SMS-аутентификацию и вошли в систему.

Таким образом, в результате SIM-свопинга двухфакторная аутентификация (2FA) через SMS не защитила от взлома, поскольку не было ограничений на тип устройства – система доверяла каждому, кто ввел код.

Конечно, MDM/UEM не предотвратил бы сам SIM-свопинг – он происходит на стороне оператора. Но если бы доступ в «админку» был разрешен только с зарегистрированных, доверенных устройств, атака не достигла бы цели:

- логина, пароля и кода было бы недостаточно,

- незарегистрированное устройство не прошло бы проверку,

- система MDM не «увидела» бы этого устройства, и вход не состоялся бы.

Вывод: без контроля устройств даже в большой технологической компании злоумышленник смог пройти аутентификацию и получить доступ к внутренним системам.

Пример 2. Во второй половине 2020 г. устройства более 30 сотрудников телеканала Al Jazeera были взломаны в ходе атаки 0-click: вредоносное ПО Pegasus попало на смартфоны через сообщения в сервисе обмена мгновенными сообщениями iMessage. Pegasus – шпионское программное обеспечение, разработанное NSO Group. Оно эксплуатировало 0-click уязвимости в мессенджерах WhatsApp (принадлежит Meta, которая признана экстремистской и запрещена в РФ) и Apple iMessage для незаметного инфицирования устройств. Устройства заражались в фоновом режиме, т.е. без каких бы то ни было действий пользователя – без клика по ссылке или установки приложений, – и шпионское ПО получало доступ к микрофону, камере, переписке и геолокации.

Почему не сработала традиционная защита:

Система MDM/UEM не способна предотвратить zero-click атаку, однако могла бы:

Вывод: если мы не можем предотвратить атаку, то нам нужно уметь реагировать быстро. Без MDM/UEM это сделать невозможно – мы просто не знаем, что устройство заражено.

Атака 0-click (zero-click) – это кибератака, при которой злоумышленнику для получения контроля над устройством или приложением не требуется от пользователя никакого действия, например, клика по ссылке или открытия файла. Обычно такие атаки используют уязвимости в программном обеспечении и могут быть очень опасными, так как для компрометации устройства не нуждаются в вовлечении пользователя (поэтому они, собственно, и получили название «0-click» в отличие от уязвимостей 1-click, где атака активируется только после того, как пользователь совершит хотя бы одно действие).

«Лаборатория Касперского» писала, что сотрудники компании были атакованы неизвестной группой, использовавшей в том числе и 0-click-эксплойт. Эта шпионская кампания получила название «Операция триангуляция» (Operation Triangulation). С помощью сервиса iMessage на iPhone жертвы злоумышленники отправляли сообщение со специальным вложением, в котором содержался эксплойт. Благодаря ранее неизвестной уязвимости в iOS этот эксплойт без какого-либо взаимодействия с пользователем запускал выполнение вредоносного кода, который связывался с командным сервером и поэтапно загружал дополнительную вредоносную нагрузку. Она сначала повышала привилегии при помощи дополнительных эксплойтов, а затем запускала полноценную APT-платформу.

Apple выпустила важное обновление для iOS, macOS и ряда других программных продуктов, закрывшее несколько серьезных «дыр». Уязвимость в браузере Apple Safari использовалась 0-click-эксплойтом, входящим в состав шпионского ПО Predator от компании Intellexa.

Сбербанк описывал программный эксплойт, известный как ForcedEntry, который считается одним из самых технически сложных. Он использует уязвимости, скрытые глубоко внутри платформы Apple iMessage. Для запуска атаки злоумышленник мог отправить на смартфон жертвы файл с расширением GIF, который на самом деле был PDF-файлом и запускал вредоносные действия. Этой же брешью в ПО iPhone воспользовалась еще одна компания. Apple исправила описанную уязвимость 13 сентября 2021 г. в iOS 14.8.

Сбер также сообщал о BlueBorne – наборе из восьми уязвимостей, затрагивающих Bluetooth-стеки в Android, iOS, Windows и Linux. Они опасны для самых разных устройств, начиная от смартфонов, планшетов и ноутбуков и заканчивая IoT-девайсами и автомобилями. Эти уязвимости находятся на уровне операционной системы, могут эксплуатироваться без взаимодействия с пользователем и позволяют злоумышленнику обойти ряд защитных механизмов и полностью перехватить контроль над устройством, распространить вредоносное ПО или осуществить атаку Man-in-The-Middle.

Поэтому надо понимать, что MDM/UEM – это не абстракция, не «фишка для айтишников», а конкретная мера защиты, которая уже работает и нужна большинству организаций. Это не «новый тренд» и не «будущее». Это – насущная необходимость, если ваши сотрудники:

Если вы не видите смартфон в системе мониторинга – это не значит, что он безопасен. Вы просто не знаете, что с ним происходит.

Хорошая новость: решения есть. И на российском рынке, и на глобальном.

Предусмотрена ли в вашей архитектуре безопасности защита мобильных устройств? Если нет – самое время это пересмотреть.

Зачем проверять PIN-код, если есть биометрия? Биометрия часто применяется не ко всем действиям. MDM/UEM может требовать наличия политик блокировки экрана и принуждать к их включению.

На iPhone все и так закрыто – зачем MDM? Если устройство все же взломано (вспоминаем Pegasus), MDM/UEM поможет его заблокировать, стереть данные и уведомить систему мониторинга. Поэтому надо понимать, что MDM/UEM – это не ИТ-удобство, а элемент ИБ-архитектуры.

А если это личный телефон сотрудника? Мы же не можем им управлять. Да, с личными устройствами нужно работать аккуратно. Но вспомним BYOD (Bring Your Own Device). В рамках этой концепции сотрудники используют свои личные устройства (смартфоны, планшеты, ноутбуки и т.д.) для работы в корпоративной сети и доступа к рабочим ресурсам. На устройстве создается контейнер – отдельная изолированная рабочая среда, которая управляется и защищается MDM, а остальная часть телефона остается приватной. Доступ к корпоративным ресурсам происходит только через подобный контейнер. Это позволяет соблюсти баланс между безопасностью и приватностью. Если устройство не соответствует политике, MDM может автоматически отключить доступ или стереть рабочие данные. Такая схема работает по сценариям, заранее заданным системой безопасности.

Может ли MDM/UEM помешать zero-day-атаке? Нет, MDM/UEM не предотвратит саму zero-day-атаку, но позволит быстро отреагировать, когда устройство начинает вести себя подозрительно:

- выгружает данные;

- активирует микрофон;

- подключается к неизвестным серверам.

Это сигнал в SOC. Дальше произойдет автоматическая блокировка, отключение, расследование. Реакция – тоже часть кибербезопасности.

Не проще вообще запретить работу с корпоративной информацией с мобильных устройств? Запретить просто. Но не всегда эффективно. Сотрудники все равно найдут способ: перешлют файл себе в Telegram или зайдут в почту с личного телефона. И вы просто перестанете это контролировать. Лучше дать им управляемую, защищенную возможность работать, чем воевать с теневыми схемами.

Насколько тяжело внедрять MDM/UEM? Надо настраивать систему каждому сотруднику вручную? Сейчас все проще, чем кажется. Есть массовая регистрация: по ссылке, QR-коду, через корпоративную почту. Устройства подключаются автоматически, политики применяются.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!