Cyberprzestępczość nie zwalnia – zagrożenia dla bezpieczeństwa mobilnego
Już wiesz, że cyberprzestępczość wciąż rośnie, a szpiegostwo i naruszenia bezpieczeństwa mogą odbić się na Twojej organizacji oraz zniszczyć markę czy reputację. Być może nie zdajesz sobie sprawy, że standardowe rozwiązania zabezpieczające nie są wystarczająco silne dla urządzeń mobilnych i aplikacji w miejscu pracy.
Masowe wykorzystywanie osobistych smartfonów i tabletów w miejscu pracy naraża każde przedsiębiorstwo na ryzyko. Podczas gdy naruszenie danych osobowych lub danych karty płatniczej jest z pewnością główną obawą wielu firm, istnieje również inne ryzyko. Najważniejsze z nich to koszty naruszeń i reagowanie na incydenty, potencjalne szkody dla reputacji i utrata przewagi konkurencyjnej, jeżeli cenne tajemnice handlowe lub własność intelektualna staną się powszechnie znane.
Systemy mobilne, sieci, z którymi się łączą oraz uruchamiane przez nie aplikacje, mogą być wykorzystywane do kradzieży poufnych informacji – dokumentów, terminów z kalendarza, e-maili, tekstów i załączników. Cyberprzestępcy mogą używać mikrofonu znajdującego się w urządzeniu, czy też kamery do szpiegowania spotkań za zamkniętymi drzwiami. Następnym krokiem może być wysłanie nagrania do tajnego, zdalnego serwera. Mogą również przechwytywać nazwy użytkowników i hasła podczas logowania się pracowników do systemów firmowych, zawierających poufne dane.
Sieci niezabezpieczone, wykorzystujące wadliwe lub stare środki bezpieczeństwa, są najczęstszym powodem przedostania się cyberprzestepców do wnętrza organizacji. Skutkiem tego jest szpiegostwo, kradzież a nawet zmiana danych przesyłanych do i z urządzeń. Złośliwe aplikacje mogą zapewnić atakującym praktycznie nieograniczony dostęp do urządzeń, ich danych i całej sieci.
Dokładne wykrywanie zagrożeń i wydajna reakcja to kluczowe elementy zapobiegania zaawansowanym atakom na smartfony i tablety. Tradycyjne rozwiązana antywirusowe i reputacji aplikacji mogą identyfikować znane zagrożenia, ale nie potrafią wykryć nowo utworzonego złośliwego oprogramowania ani luk w sieciach, systemach operacyjnych i aplikacjach.
5 głównych zagrożeń dla bezpieczeństwa mobilnego
Check Point zidentyfikował pięć głównych kategorii ataków i luk, które mogą podważać kwestię zabezpieczenia w firmie. Dla każdej kategorii podaje również najlepsze praktyki, dotyczące radzenia sobie z tymi wyzwaniami.
#1 Rozwiązania systemowe
Każda wersja systemu operacyjnego na urządzenia mobilne posiada luki. Nowe wersje notorycznie są spóźnione. Istotne aktualizacje zabezpieczeń testowane są tygodniami, pozostawiając użytkowników zupełnie odsłoniętymi.
Szczególnie podatny na ataki jest Android. Ponad 24 tysiące różnych typów smartfonów i tabletów z tym systemem, nie jest aktualizowanych konsekwentnie i w odpowiedni czasie. Większość urządzeń nadal korzysta ze starszych wersji, w których luki nie zostały załatane.
System iOS od Apple jest mniej podatny na ataki, ponieważ producent tworzy tylko kilka różnych urządzeń, konsekwentnie prosząc użytkowników o aktualizacje. Mimo, że liczba ataków w 2015 r. była niska, było ich dwa razy więcej niż w 2014 r.
Działalność cyberprzestępców polega na wykorzystaniu najsłabszych ogniw w systemach. Potrzebujesz więc rozwiązania, które nieustannie analizuje urządzenia, aby wykryć luki oraz zachowania, jakich cyberprzestępcy używają do ataku. Po zidentyfikowaniu zagrożenia, rozwiązanie musi automatycznie minimalizować ryzyko, dopóki nie zostanie całkowicie wyeliminowane. Dzięki lepszemu wglądowi w luki systemowe urządzeń mobilnych, możesz zmniejszyć ogólne ryzyko i powierzchnię ataku.
Najlepsze praktyki
#2 Dostęp do root i zmiany konfiguracji
Uzyskanie dostępu root do smartfona lub tabletu, (tzw. rootowanie w Androidzie lub jailbreaking w iOS) nie jest już tylko dla entuzjastów gadżetów. Dostęp root umożliwia szeroki zakres dostosowań i konfiguracji. Daje także przestępcom większy dostęp, co zdecydowanie naraża urządzenia.
Zmiany konfiguracji, które użytkownicy mogą zaakceptować podczas instalowania legalnych aplikacji, mogą spełnić wymagania dotyczące zasad, ale również mogą być wykorzystane przez przestępców do ataków etapowych. Niektóre ustawienia konfiguracji, takie jak zezwolenie urządzeniom z Androidem na instalowanie aplikacji innych firm z nieznanych źródeł, ujawniają liczne luki. Zarządzanie urządzeniami mobilnymi (MDM) i systemami zarządzania mobilnością przedsiębiorstwa (EMM) oferują statyczne wskaźniki podstawowe.
Przedsiębiorstwa muszą wychodzić poza statyczne wskaźniki i wykorzystywać zaawansowane techniki wykrywania, aby sprawdzić czy i w jaki sposób przyznano dostęp root. Kompleksowe rozwiązanie monitoruje również wszystkie zmiany konfiguracji i wykorzystuje analizę behawioralną do wykrywania nieoczekiwanego zachowania systemu. Rozwiązanie zapewniające dynamiczną reakcję na zagrożenia, może uniemożliwić zainfekowanym urządzeniom uzyskanie dostępu do sieci Twojej firmy.
Najlepsze praktyki
#3 Przepakowane i fałszywe aplikacje
Złośliwe aplikacje mogą przejąć kontrolę nad urządzeniami mobilnymi. Aplikacja może nie wyglądać na złośliwą, a użytkownicy mogą nie zauważyć lub nie zrozumieć uprawnień przyznanych podczas instalacji. Nawet popularne aplikacje mogą zostać poddane procesowi inżynierii wstecznej i wstrzyknięciu złośliwego kodu, a następnie przesłanie do sklepu z aplikacjami pod inną nazwą.
Przestępcy tworzą również pozornie autentyczne kopie aplikacji, które zawierają podobne ikony, opisy, zrzuty ekranu a nawet recenzje użytkowników. Nie działają jednak zgodnie z założeniami. Ofiary otrzymują złośliwą zawartość – np. subskrypcję kosztownej usługi wysyłania wiadomości tekstowych lub ukrytego narzędzia nadzoru. Złośliwe aplikacje mogą umożliwić wiele działań, takich jak zdalne przejmowanie kontroli nad kamerą i mikrofonem urządzenia, w celu szpiegowania użytkowników i ich otoczenia.
Mobilne rozwiązania antywirusowe mogą wykrywać złośliwy kod w aplikacjach, szukając unikatowych sygnatur binarnych, ale przestępcy znajdują sposób na ich zaciemnienie. Poza tym sygnatury nie są jeszcze dostępne dla złośliwego oprogramowania typu zero-day.
Rozwiązania te umożliwiają podjęcie dodatkowych kroków, takich jak monitorowanie procesu instalacji aplikacji i ustalenie czy aplikacje faktycznie pochodzi ze sklepu z aplikacjami, czy też została zainstalowana z innego źródła.
Aby zapewnić wydajność z bezpiecznymi aplikacjami i nadal blokować te niebezpieczne, możesz wdrożyć rozwiązanie, które przechwytuje aplikacje podczas ich pobierania. Każdą z nich uruchamia w bezpiecznym wirtualnym środowisku – sandbox – aby przeanalizować jej zachowanie.
Rozwiązanie w chmurze może gromadzić informacje o reputacji programisty, liczbie pobrań, źródle aplikacji i reputacji serwerów, a następnie wyświetlać listy zaufanych aplikacji automatycznie, aby użytkownicy mogli je pobrać bez problemów z zabezpieczeniami.
Najlepsze praktyki
#4 Trojany i malware
Przestępcy dużo inwestują w opracowywanie nowych technik instalowania i ukrywania złośliwego oprogramowania. Trojany przenoszone w aplikacji lub instalowane przez niezabezpieczone połączenie sieciowe, infekują urządzenie złośliwym kodem. Skutkami są podsłuchiwanie i nagrywanie rozmów, nadzór nad połączeniami, śledzenie, rejestrowanie aktywności na klawiaturze i zbieranie haseł.
Kod aplikacji jest jak ogromna mapa praktycznie nieskończonych tras. Logika jednej linijki kodu może mieć dziesiątki, a nawet tysiące punktów kontaktu. To sprawia, że trudno jest zrozumieć, czy którakolwiek z tych tras została zaprojektowana w celu zainstalowania trojana lub uruchomienia złośliwej aktywności.
Aby odsłonić kod możesz wdrożyć rozwiązanie, które przechwytuje aplikacje i automatycznie je odwraca. Np. zaawansowana analiza przepływu kodu może ujawnić, czy numery telefonów o twardym kodzie używane są do kontaktowania się z usługami premium, czy też kod używa mikrofonu urządzenia, wysyłając nagrania na podejrzane serwery zewnętrzne.
Żeby zmniejszyć ryzyko znalezione w urządzeniach, możesz zautomatyzować odpowiedzi i powiadomienia użytkowników o krokach naprawczych. Powinieneś także zablokować ruch na złośliwych serwerach, aby powstrzymać atak – wszystko po to, żeby użytkownicy mogli nadal korzystać ze swoich urządzeń do czasu zakończenia napraw.
Najlepsze praktyki
#5 Ataki man-in-the-middle
Ataki typu man-in-the-middle polegają na podsłuchiwaniu, przechwytywaniu i zmienianiu ruchu między dwoma urządzeniami. Uważasz, że wchodzisz w interakcję ze znaną i zaufaną jednostką, ale atak polega na kopiowaniu danych uwierzytelniających, podsłuchiwaniu wiadomości lub kradzieży poufnych informacji. Znane znaki ostrzegawcze na PC i laptopach są znacznie subtelniejsze i łatwiejsze do przeoczenia na urządzeniach mobilnych. Małe ekrany mogą ukrywać adresy internetowe, utrudniając jego sprawdzenie przez przeglądarkę.
Publiczne hotspoty Wi-Fi wygodne w dostępie, są całkiem łatwe do podrobienia. Osoba atakująca może utworzyć sfałszowaną sieć lub podsłuchiwać i modyfikować zaszyfrowaną komunikację za pomocą fałszywych certyfikatów. Atakujący może przechwycić komunikację, zmienić dane podczas przesyłania lub zainstalować trojana.
Potrzebujesz analizy behawioralnej, która wykrywa nieuczciwe punkty aktywne i złośliwe zachowania a także automatycznie wyłącza podejrzane sieci. Twoje rozwiązanie powinno mieć możliwość dynamicznego uruchamiania wirtualnej sieci prywatnej VPN na urządzeniu. Wszystko po to, aby chronić prywatność i minimalizować wpływ ataku na komunikację.
Najlepsze praktyki
Redaktorka Net Complex Blog