הגנה על מובייל באמצעות Lookout
כיום מובייל הוא השכבה החלשה ביותר בארגון ובעיות האבטחה סביבה רק גדלות עם הזמן.
כידוע התקני המובייל הפכו להיות גורם מרכזי ופלטפורמה בעלת שימוש רב של משתמשי קצה בכל ארגון עם גישה לכלל המשאבים והנכסים החשובים בארגון. וכאן עולה השאלה האם הם מקבלים את האכיפה הנדרשת ורובד הגנה ראוי? ברוב המקרים לא!
תזכורת, החל משנת 2015 התקני קצה חכמים (Tablet\Smartphone) נמכרים בשיעור גבוה יותר מאשר תחנות קצה וניתן לראות את השינוי הנ"ל באופן דיי משמעותי בכל שנה.
מגמה זאת נמצאת רק בעליה כאשר הפער בין התקני קצה חכמים (Tablet\Smartphone) לבין תחנות קצה רק הולך וגובר.
לצד זה ניתן להזכיר כי כבר בשנת 2014 עקפו אפליקציות המובייל את כל האפליקציות והתוכנות האחרות שניגשו לאינטרנט מתוך תחנות קצה או מהדפדפן. כמובן שלצד זה עלו בצורה משמעותית מספר החולשות ופגיעויות באפליקציות, אשר גרמו לעלייה חדה במספר התקיפות.
כתוצאה מכך בכל חודש ממוצע ישנם למעלה מ10 מיליון משתמשי מובייל אשר חווים אירועי אבטחה שונים, כאשר חלק גדול הם משתמשים ארגונים.
למאמר המלא Over 13 million people exposed from breaches, leaks, and mistakes
כאשר מדברים על התקני מובייל תמיד עולה הנושא שישנה תשתית EMM\MAM בארגון "והכל" מאובטח מול התקני הקצה וכאן הטעות הגדולה, מערכות EMM\MAM טובות ככל שיהיו לא מספקות מענה אבטחה מלא להתקני מובייל ולכלל הסיכונים אשר קיימים כיום.
כמה שאלות לפני שנמשיך:
- האם ישנו מעקב אחר התקני מובייל אשר ניגשים למשאבי הארגון?
- האם התקני מובייל בארגון מוקשחים באותה מידה כמו תחנות קצה?
- האם ישנה מערכת לניהול Incident כולל פעולות מנע מול התקני מובייל?
- האם התקני המובייל חוו מתקפה כלשהיא בעבר?
- האם התרחשה מתקפה כלשהיא מול הארגון מתוך מתוך התקני המובייל?
כמובן שאין אפשרות לעשות השוואה של מערכת EMM\MAM מול מערכות Mobile Security בגלל סיבות מאוד פשוטות, EMM\MAM אינו יודע כלל לזהות מתקפות רבות ברמת המובייל, ביניהם:
- Application Consent – מתקפה מבוססת ענן שבו משתמש הקצה חושף פרטי הזדהות כחלק מעבודה עם אפליקציות שונות, ולמנגנון MFA אין אפשרות לזהות כלל את המתקפה.
- MITM – מתקפה קלאסית של חיבור לרשתות שונות וגם כאן אין ידיעה האם ישנה מתקפה ברמת המובייל
- סמישינג – וקטור תקיפה באמצעות שליחת SMS זדוני
- אפליקציות זדוניות – אפליקציות ויישומים רבים נמצאים בחנויות השונות (iOS\Android), רבים מהם עלולות להיות אפליקציות זדוניות, בעיני המשתמש קשה לדעת מהי אפליקציה אמינה. ***רק לאחרונה חשפה חברת האבטחה Lookout על אפליקציות ריגול אשר קיימות בחנות של גוגל
- פישינג – מתקפות הפישינג הפכו להיות בעית האבטחה מספר 1 בארגון, וגם כאן משתמשים נוטים תמיד ללחוץ על כל קישור, ולבצע תחקור ברמת המובייל אינו פשוט.
אלה הם רק חלק קטן מתוך מתקפות רבות שניתן לבצע מול התקני מובייל, וכמו שהוזכר EMM\MAM אינו יכול כלל לזהות מתקפות כאלה ובטח שאינו יכול לבצע Respond אוטומטי.
כאשר לוקחים ביחד את בעית האבטחה הגדלה של התקני המובייל יחד עם דוחות אנליסטים שונים לגבי טרנדים של סייבר לשנת 2019 ניתן לראות כי התקני המובייל מקבלים התייחסות נדרשת.
הגנה באמצעות Lookout על התקני מובייל
הגנה על התקני מובייל באמצעות Lookout מספק מכלול של הגנות, בין היתר: זיהוי פעולות חשודות, אנומליות, הגנה וזיהוי מפני התקנת אפליקציות זדוניות, הגנה מפני קישורים לא אמינים, זיהוי מתקפות 0-Day ונוספות.
כל התקן מובייל ומשתמש הוא סנסור שבאמצעותו ניתן לדעת מה מתרחש בזמן אמת ויתר התקני המובייל בארגון מודעים למתקפה (וניתן לבצע גם Respond אוטומטי).
מהו Lookout
תשתית Lookout מבוססת על תשתית ענן ומספקת מאגר עצום של סנסורים (כיום ישנם למעלה מ200 מיליון סנסורים), סוגי מתקפות, סוגי חולשות, אפליקציות וכן הלאה.
מכיוון שכל התקן מובייל הוא סנסור המערכת מקבלת מידע רב בזמן אמת ומגיבה על אירועי אבטחה בזמן אמת ובאופן מהיר, עד לכדי ממוצע של דקות ספורות מרגע תחילת המתקפה.
רכיבי הגנה שונים בתשתית Lookout:
הגנה מפני סיכונים מבוססי אפליקציות
אפליקציות עלולות לחשוף מידע ארגוני ולבצע exfiltrate ולכן Lookout מבצע app analysis בכל רגע נתון במכשיר וניזון מתוך מידע של למעלה מ200 מיליון מכשירים אחרים (סנסורים) ומספק הגנה מפני סיכונים, כגון: חולשות ברמת אפליקציה, אפליקציות אשר מנסות להוציא מידע מתוך המכשיר, אפליקציות Sideloaded שניתנות להתקנה (לא אותה אפשרות אשר קיימת ברמת EMM), הגנה מפני אפליקציות אשר מכילות תוכן זדוני ואפליקציות ריגול.
הגנה מפני סיכונים מבוססי מכשירים
התקני מובייל אשר נפרצים בגלל חולשות שונות או בגלל Advanced jailbreak למעשה מבצעים Bypass על כל הגנה אשר קיימת ברמת מערכת ההפעלה ולכן Lookout נותן לכל התקן קצה (סנסור) מזהה ייחודי ובזמן מתקפה מבצע השוואה מול סנסורים אחרים עם גרסאות מערכת הפעלה אחרות, סוגי אפליקציות, אופן התנהגות וכן הלאה.
הגנה מפני סיכונים מבוססי רשת
התקני מובייל מתחברים ועוברים בממוצע בין מספר רשתות שונות בכל כמה שעות, משתמש רגיל אינו מבחין בין רשת אמינה לרשת שאינה אמינה ועלול להתחבר לרשת זדונית כחלק מתוך מתקפה. מתקפות כאלה עלולות להיות מתקפות, כגון: MITM, SSLStrip, Host certificate hijacking וכן הלאה.
Lookout מבצע בזמן אמת בדיקה על סוגי הרשת והגישה שאותו מכשיר מתחבר ובזמן אמת יודע לזהות חיבור אל רשת או אמצעי שאינו אמין ובהתאם מבצע חסימה.
הגנה על נתונים ארגוניים
מתקפות פישינג, סמישינג ודומיהם מתרחשים בכל רגע נתון ולכן מנגנון content protection מאפשר על סנסורים קיימים ועל סמך פוליסי לזהות גישה אל תוכן לא מורשה ולבצע Respond בהתאם.
אינטגרציה מול מערכות נוספות
תשתית Lookout ניתנת ליישום בתצורת Standalone או ליישום ואינטגרציה מול מערכות נוספות, כגון Google,Microsoft, Sentinel ונוספים.
האינטגרציה מול מערכות נוספות היא מאוד חשובה כיום בגלל שאנו רוצים ממשק אחד בלבד שיכול לבצע ניהול, תחקור ופעולות נוספות.
למשל אם נקח את האינטגרציה של Lookout מול מערכות מבוססות Microsoft, כגון: Windows Defender ATP, Intune, Security Graph API אשר כוללת גישה אל API מלא ומאפשרת ניהול, תחקור וביצוע פעולות, כגון:
- Windows Defender ATP -מספק מתוך ממשק Windows Defender ATP גישה ונראות של התקני מובייל, מאפשר לבצע תחקור על פעולות Lookout מתוך ממשק WDATP וקורלציה בין המידע של התקני המובייל ובין תחנות קצה.
- Intune – מספק מענה של הגנה מפני סיכונים מבוססי מכשירים וסיכונים מבוססי אפליקציות, ובמידת הצורך כאשר מכשיר נמצא במצב לא תקין הוא חוסם את הגישה אל משאבי הארגון.
- Graph API – מספק ידע רב וטלמטריה לגבי סיכונים, איומים, מתקפות, סוגי חולשות וכן הלאה לגבי התקני מובייל וכתוצאה מכך מספק נראות ושליטה מול התקני המובייל.
לסיכום
כיום התקני המובייל דורשים רובד הגנה ראוי שאינו מסתמך על EMM\MAM ודומיהם בכדי להגן על המידע הארגוני.
תשתית Lookout מספקת הגנה מתקדמת על אפליקציות, מכשירים ומתקפות מתקדמות אאנו יכולים לשלב ולבצע אינטגרציה עם מערכות שונות כחלק מתוך אותו Ecosystem של Lookout.
1 Response
[…] הגנה על מובייל באמצעות Lookout […]