Бурное развитие портативной электроники и, в частности, смартфонов и планшетов создало массу новых задач для корпоративной информационной безопасности.
Действительно, если раньше вся кибербезопасность строилась на создании безопасного периметра и его последующей защите, то сейчас, когда практически каждый сотрудник для решения рабочих задач использует собственные мобильные устройства, контролировать периметр безопасности стало очень сложно.
Особенно это актуально для крупных предприятий, в которых у каждого сотрудника есть логин и пароль от электронной почты и других корпоративных ресурсов.
Зачастую, приобретая новый смартфон или планшет, сотрудник предприятия вводит на нем свои учетные данные, зачастую забывая выйти из системы на старом устройстве.
Даже если таких безответственных сотрудников на предприятии всего 5%, без должного контроля со стороны администратора ситуация с доступом мобильных устройств к почтовому серверу очень быстро превращается в настоящий бардак.
Кроме того, нередко мобильные устройства теряются или крадутся и впоследствии используются для поиска компромата, а также доступа к корпоративным ресурсам и данным, составляющим коммерческую тайну.
Как правило, наибольший вред корпоративной кибербезопасности наносится злоумышленниками, получающими доступ к электронной почте сотрудника.
Благодаря этому они могут получить доступ к глобальному списку адресов и контактов, к расписанию встреч, в которых должен был участвовать несчастный сотрудник, а также к его переписке.
Кроме того, злоумышленники, получившие доступ к корпоративной электронной почте, могут отправлять фишинговые письма или электронные письма, зараженные вредоносным ПО, с доверенного адреса электронной почты.
Все это в совокупности дает злоумышленникам практически неограниченные возможности для осуществления кибератак, а также использования социальной инженерии для достижения своих целей.
Для мониторинга мобильных устройств внутри периметра безопасности существует технология ABQ, или Allow/Block/Quarantine. Оно позволяет администратору контролировать список мобильных устройств, которым разрешена синхронизация данных с почтовым сервером, а также при необходимости блокировать скомпрометированные устройства и помещать подозрительные мобильные устройства в карантин.
Однако, как знает любой администратор бесплатной версии Zimbra Collaboration Suite Open-Source Edition, ее возможности взаимодействия с мобильными устройствами весьма ограничены.
Строго говоря, пользователи бесплатной версии Zimbra могут получать и отправлять электронную почту только по протоколу POP3 или IMAP, не имея встроенной возможности синхронизации данных дневника, адресных книг и заметок с сервером.
Технология ABQ также не реализована в бесплатной версии Zimbra Collaboration Suite, что автоматически ставит крест на всех попытках создать на предприятии закрытый информационный периметр.
В условиях, когда администратор не знает, какие устройства подключаются к его серверу, на предприятии могут возникнуть утечки информации, и резко возрастает вероятность кибератаки по ранее описанному сценарию.
Модульное расширение Zextras Mobile поможет решить эту проблему в Zimbra Collaboration Suite Open-Source Edition. Данное расширение позволяет добавить в бесплатную версию Zimbra полную поддержку протокола ActiveSync и благодаря этому открывает массу возможностей для взаимодействия мобильных устройств с вашим почтовым сервером.
Помимо множества других функций, расширение Zextras Mobile имеет полную поддержку ABQ. Сразу предупредим, что поскольку неправильно настроенный ABQ может привести к тому, что некоторые пользователи не смогут синхронизировать данные на своих мобильных устройствах с сервером, к вопросу его настройки нужно подойти максимально внимательно и осторожно.
.
ABQ настраивается из командной строки Zextras. Именно в командной строке настраивается режим работы ABQ в Zimbra, а также осуществляется управление списками устройств.
Реализовано следующим образом: После того как пользователь заходит в корпоративную почту на мобильном устройстве, он отправляет на сервер авторизационные данные, а также идентификационные данные своего устройства, которое встречает препятствие в виде ABQ, который смотрит идентификационные данные.
данные и сверяет их с теми, которые есть в списках разрешенных, помещенных в карантин и заблокированных устройств.
Если устройства нет ни в одном из списков, то ABQ обращается с ним в соответствии с режимом, в котором оно работает. ABQ в Zimbra предоставляет три режима работы: Разрешительный : В этом режиме работы после аутентификации пользователя синхронизация осуществляется автоматически по первому запросу с мобильного устройства.
В этом режиме работы можно блокировать отдельные устройства, но все остальные смогут свободно синхронизировать данные с сервером.
Интерактивный : В этом режиме работы сразу после аутентификации пользователя система безопасности запрашивает идентификационные данные устройства и сравнивает их со списком разрешенных устройств.
Если устройство находится в списке разрешенных, синхронизация автоматически продолжается.
Если этого устройства нет в белом списке, оно будет автоматически помещено в карантин, чтобы администратор позже мог решить, разрешить ли этому устройству синхронизироваться с сервером или заблокировать его.
В этом случае пользователю будет отправлено соответствующее уведомление.
Администратор информируется регулярно, один раз в настраиваемый период времени.
В этом случае каждое новое уведомление будет содержать только новые устройства, помещенные в карантин.
Строгий : В этом режиме работы после аутентификации пользователя сразу же производится проверка, находятся ли идентификационные данные устройства в разрешенном списке.
Если он там указан, синхронизация автоматически продолжится.
Если устройства нет в списке разрешенных, оно сразу попадает в список заблокированных, а пользователь получает соответствующее уведомление на почту.
Также при желании администратор Zimbra может полностью отключить ABQ на своем почтовом сервере.
Режим работы ABQ настраивается с помощью команд:
zxsuite config global set атрибут abqMode значение Permissive zxsuite config global set атрибут abqMode значение Интерактивный zxsuite config global set атрибут abqMode, значение Strict zxsuite config, глобальный набор атрибутов, значение abqMode, отключеноУзнать текущий режим работы ABQ можно с помощью команды Глобальная конфигурация zxsuite получает атрибут abqMode .
Если вы используете интерактивный или строгий режимы работы ABQ, вам часто придется работать со списками разрешенных, заблокированных и помещенных в карантин устройств.
Предположим, к нашему серверу подключены два устройства: один iPhone и один Android с соответствующими идентификационными данными.
Позже выясняется, что генеральный директор предприятия недавно приобрел iPhone и решил работать на нем с почтой, а Android принадлежит обычному менеджеру, который не имеет права пользоваться рабочей почтой на смартфоне из соображений безопасности.
В случае с Интерактивным режимом все они будут помещены в карантин, откуда администратору нужно будет переместить iPhone в список разрешенных устройств, а Android — в список заблокированных.
Для этого он использует команды zxsuite mobile abq позволяет iPhone И zxsuite mobile abq блокирует Android .
После этого генеральный директор сможет полноценно работать с почтой со своих устройств, тогда как менеджеру по-прежнему придется просматривать ее исключительно со своего рабочего ноутбука.
Стоит отметить, что при использовании Интерактивного режима, даже если менеджер правильно введет логин и пароль на своем Android-устройстве, он все равно не получит доступ к своей учетной записи, а попадет в виртуальный почтовый ящик, в который ему придет уведомление о том, что его устройство добавлено в карантин и он не сможет пользоваться почтой с него.
В случае строгого режима все новые устройства будут заблокированы и после того, как выяснится, кому они принадлежали, администратору останется только добавить iPhone генерального директора в список разрешенных устройств с помощью команды zxsuite mobile ABQ set iPhone Разрешено , оставив там номер телефона менеджера.
Разрешительный режим работы плохо совместим с какими-либо правилами безопасности на предприятии, однако, если все же возникла необходимость заблокировать какое-либо из разрешенных мобильных устройств, например, если вдруг со скандалом уволился руководитель, это можно сделать с помощью команда zxsuite mobile ABQ установлен Android заблокирован .
Если предприятие предоставляет сотрудникам сервисные гаджеты для работы с почтой, то при следующей смене владельца устройство можно полностью удалить из списков ABQ, чтобы потом снова решить, разрешить ему синхронизироваться с сервером или нет. Это делается с помощью команды zxsuite mobile ABQ удалить Android .
Таким образом, как видите, с помощью расширения Zextras Mobile в Zimbra можно реализовать очень гибкую систему мониторинга используемых мобильных устройств, подходящую как предприятиям с достаточно жесткой политикой в отношении использования корпоративных ресурсов за пределами офиса.
, и для тех компаний, которые достаточно либерально используют мобильные устройства.
в этом отношении.
По всем вопросам, связанным с Zextras Suite, вы можете связаться с представителем Zextras Екатериной Триандафилиди по электронной почте [email protected]. Теги: #информационная безопасность #Сетевые технологии #Системное администрирование #мобильные устройства #электронная почта #zimbra #zextras
-
Крестики-Нолики, Часть 7: Pytest И Travis Ci
19 Oct, 24 -
Статус С Vkontakte.ru На Twitter.com
19 Oct, 24
