מהו Mobile Threat Defense
אין ספק שהימים האחרונים העלו את המודעות של אבטחת מידע סביב מובייל, ונכון לתקופה זאת מובייל הוא השכבה החלשה ביותר בארגון ובעיות האבטחה סביבה רק גדלות עם הזמן.
כיום ישנם סיכונים, וקטורים ומתקפות שונות מול מכשירי מובייל, בשונה מהתקפות על תחנות קצה במכשירי מובייל אנו חשופים לסיכונים נוספים, כגון: אפליקציות מתוך החנות, פישינג שאינו מבוסס רק על דואר, רשתות שונות אשר מתחברים אליהם במהלך כל יום ועוד רבים נוספים.
במקרים רבים מגנים על תחנות קצה עם רובדי אבטחה שונים אך על מובייל פחות אם בכלל, ולכן זה תמיד מעלה את הדוגמה של להגן על הבית עם הדלת הכי חזקה אבל להשאיר את החלון על יד פתוח לרווחה.
אבטחת מידע למובייל המבוססת על Mobile Threat Defense הינה רובד חשוב שמתחיל להיכנס למודעות של CISOים, אך לצד זה חשוב להדגיש כי לא כל ארגון צריך רובד הגנה מסוג זה והגנה על מובייל מבוססת Mobile Threat Defense מיועדת למקרים מסוימים, כדוגמת מקרים בהם עלול להיות ריגול תעשייתי.
מהו Mobile Threat Defense
הגנה ואבטחת מידע למכשירי מובייל התפתחה במהלך השנים האחרונות באופן משמעותי וכיום חברות המחקר השונות מגדירות אותו בשמות שונים כל אחת מהן, כאשר IDC קוראת לזה Mobile Threat Management (MTM), גרטנר קוראת לזה Mobile Threat Defense (MTD) וישנם אחרים שקוראים לזה Mobile Threat Prevention.
בשורה התחתונה כל אותן הגדרות ושמות הם אותו הדבר, ומטרתן היא אחת לתת הגנה למכשירי מובייל מפני סיכונים, כגון פישינג, גניבת מידע, התחזות, תוכן זדוני, וירוסים וכן הלאה וכל זאת על אותו עקרון ומול אותן מערכות הפעלה.
כל אותן חברות מחקר שהזכרנו קודם לכן הסכימו במהלך 2017 על מספר תחזיות:
- כמות מכשירי המובייל ישלשו את עצמן במהלך השנים הקרובות
- אופן השימוש במכשירי מובייל יהיה מסיבי במהלך השנים הבאות
- קצב התפתחות האפליקציות מול המובייל יכפיל את עצמו
חלק מהתחזיות כבר מתממשות בימים אלה ולכן הגנה על מובייל באמצעות Mobile Threat Defense מספקת פתרון הגנה נוסף למובייל (לעיתים משולב עם פתרון MDM) ובעיקר מול תרחישים מסוימים (מתוארים בהמשך המאמר)
כיום ישנם מנגנונים שונים של Mobile Threat Defense אשר מספקים פתרון הגנה למכשירי מובייל שיודעים לזהות ולהגן על כל סוגי המתקפות למינהם וכאלה שיודעים להתממשק מול פלטפורמות אבטחת המידע של Microsoft, כגון Windows Defender ATP, Intune, Security Intelligent Graph וכמובן פלטפורמות נוספות ואחרות המבוססות על SIEM כדוגמת Sentinel וכן הלאה.
הגנה באמצעות Mobile Threat Defense
הגנה על מכשירי מובייל באמצעות מנגנון Mobile Threat Defense מספק הגנה ומענה למתקפות מבוססות מובייל, בין היתר:
- זיהוי אפליקציות ותוכן זדוני
- הגנה מפני פישינג וקישורים לא אמינים
- זיהוי מנגנוני ריגול, ציתות והשתלטות
- שינויים ברמת מערכת הפעלה
- שינוי בפרופיל משתמש
- חשיפת תוכן מוצפן
- זיהוי והגנה מול רשתות
אלה הם רק חלק מינורי מסיכונים רבים אשר קיימים במכשירי מובייל, ולרוב סיכונים מהסוג הנ"ל אינם דומים לאלה שיש בתחנות קצה ולכן ללא מערכת מותאמת אין אפשרות לזהות סיכונים ובטח שאין אפשרות לחסום.
החלוקה של המתקפות במכשירי מובייל נעשית לפי וקטורים ולפי סיכונים, ובמטריקס של מנגנון הגנה בסיסי של Mobile Threat Defense ניתן לראות את החוקה והתיאור של כל אחד מתוך אותם וקטורים וסיכונים.
תוכן זדוני (Malware)
תוכן זדוני במכשירי מובייל נמצא בנסיקה כבר תקופה ארוכה, ולפי דוח Mobile Threat Report Q1 2018 של חברת McAfee המצב הנוכחי של סיכונים ומתקפות במכשירי מובייל וכן סוגי המתקפות יילכו ויתגברו במהלך השנים הקרובות באופן משמעותי.
פתרון Mobile Threat Defense המבוסס על סנסורים מבצע בכל זמן נתון זיהוי של סיכונים במכשירי המובייל, ומבצע בין היתר סריקה במערכת ההפעלה ועל אפליקציות קיימות וחדשות ומיידע את מנגנון Mobile Threat Defense בענן לגבי כל אותן שינויים, תוכן זדוני וסיכונים שנמצאו באפליקציה.
בהתאם לפוליסי שהוגדר מראש ניתן גם לבצע Respond ידני או אוטומטי על סיכון שהתגלה.
Phishing
פישינג, כיום בעיה מספר אחת באבטחת מידע ובחצי שנה האחרונה הלכה והתעצמה עוד יותר, בשונה מהתקני קצה אחרים במכשירי מובייל פישינג עלול להגיע בתצורות נוספות, כגון: סמישניג, וישניג ונוספים במטרה להוציא מידע בעל ערך, לגנוב זהויות או חלק ממתקפה כוללת שמטרתה להגיע לכנס חשוב יותר.
המנגנון של Mobile Threat Defense יודע לבצע זיהוי על מובייל פישינג, להתריע ובמידת הצורך גם לחסום אוטומטית קישורים לא אמינים.
סיכוני רשת (Network attacks)
מכשירי מובייל מתחברים במהלך יום ממוצע לרשתות רבות ושונות, חלקן רשתות פתוחות וחלקן רשתות סגורות וחלק מאותן רשתות אינן אמינות כולל אלה אשר סגורות ונראות אמינות.
משתמש ממוצע וגם כזה בעל הבנה מעל הממוצע אינו יכול להבחין כלל בין רשת אמינה לרשת שאינה אמינה, וכאשר נמצאים במקומות פתוחים (שדה תעופה, בתי קפה וכן הלאה) רובנו מתחברים ללא היסוס, ורק החשדנים שביננו אינן מתחברים בכל מצב.
הסיכון בהתחברות לרשתות שונות הוא בין היתר Man-in-the-Middle ולכן האיש שנמצא באמצע יכול להסניף את כל המידע שאנו ניגשים אליו כולל חשבונות אישיים ועסקיים, במצב זה אין לנו מושג שאנו עוברים דרך משהו לא אמין.
הדרכים השונות שבהם Mobile Threat Defense מגן עלינו מפני מתקפות מאותו סוג הוא ע"י מנגנון של זיהוי רשתות לאמינות ע"י VPN\TLS, זיהוי לפי אמינות רשת, זיהוי התנהגות חשודה במהלך חיבור מול רשתות קיימות וחדשות, זיהוי לפי סנסורים אחרים ומנגנונים נוספים.
במידה ובעת החיבור אל רשת מסוימת ישנה פעולה חשודה, מנגנון Mobile Threat Defense יודע לבצע חסימה מיידית של גישה לאותה רשת ומדווח על כך לשירות הענן של אותו מנגנון Mobile Threat Defense.
הקטנת איומים באמצעות מנגנון Mobile Threat Defense
כמו ברובדי אבטחת מידע אחרים כך גם בהגנה על מכשירי מובייל, האפשרויות השונות מאפשרות רק להקטין את שטח התקיפה, להקטין את הגישה אל מידע חשוב (מתוך המובייל) ולהוריד את האפשרויות של גניבת זהויות.
פתרון האבטחה של מנגנון Mobile Threat Defense אינו מגן רק מפני איומים פעילים וידועים, אלא מפני איומים וסיכונים חדשים שיצאו לפני רגע ומול התקפות Live.
סיכונים בתצורה
הדינמיות של מכשירי המובייל היא אחד הדברים שמשתנים בקצב מהיר מאוד, הרבה מעבר למה שאנו מכירים ביומיום, אפליקציות חדשות יוצאות בכל יום חלקן בעלות תוכן זדוני, עדכוני מערכת הפעלה יוצאים באופן תדיר, עדכוני אפליקציה שונים זמינים להורדה בכל כמה ימים ופעולות נוספות מתרחשות בכל רגע נתון, זהו עולם המובייל ואין כל חדש בנושא.
יחד עם זאת בכל מקום שיש בו שינויים דינמיים קשה מאוד לעקוב אחר הנעשה ולכן באופן דיפולטי משתמשים חשופים לסיכונים שונים וככזה המובייל הוא אתגר יחסית פשוט לתקיפה.
פתרון של Mobile Threat Defense מסייע באופן משמעותי בזיהוי, הגנה ומענה אוטומטי לסיכונים ומתקפות פעילות, קייימות וחדשות.
גם כאשר מערכות מעודכנות הם עדיין חשופות לסיכונים שונים, ואחת הדוגמאות הנפוצות היא מכשירים אשר מוגדרים עם App Side-loaded ומאפשרים התקנה של אפליקציות צד שלישי ולתוקף מדובר על קרקע פוריה למתפקות. אומנם הגדרה זאת קיימת במערכות MDM\EMM למינהם אך לרוב היא אינה מוגדרת כנדרש והפוליסי אינו עובדת מול מכשירים מסוימים, שוב כתוצאה מכך מכשירים חשופים לסיכון.
סיכונים מבוססים Compliance
זליגת מידע היא בעיה בפני עצמה ובמכשירי מובייל הבעיה קשה עוד יותר בגלל הקושי שמעקב אחר מידע אשר יוצא מתוך הארגון ומניעה של זליגת מידע מתוך מכשירי המובייל ולכן משתמשים יכולים להוציא בכל עת מידע ארגוני מתוך מכשירי המובייל.
כיום מערכות MAM\EMM מספקים יכולות הגנה של אכיפת פוליסי ומניעת הוצאת מידע, חלקן ברמה אפליקטיבית וחלקם ברמת המכשיר ולכןפתרון MDM\MAM נותן מענה במצבים כאלה
נראות ושליטה היא רובד חשוב מאוד בארגון, אך האם הוא נעשה על מכשירי מובייל? ברוב המוחץ של המקרים לא! אז מה הענין לשים מערכת לטובת Shadow IT מול פלטפורמות שונות כאשר לא מכסים חלק משמעותי שמתחבר אלינו לארגון? וכאן נכנס מנגנון הגנה של Mobile Threat Defense, שמספק נראות ושליטה על כלל הפעולות אשר נעשות מול משאבים ונכסים חשובים של הארגון, ובנוסף נותן מענה לתקנות הגנת הפרטיות וכן GDPR.
לסיכום
הגנה מבוססת Mobile Threat Defense הינה רובד אשר מתאים לארגונים מסוימים בלבד לדוגמה ארגונים אשר נמצאים סיכון של ריגול תעשייתי ולכן הגנה מבוססת Mobile Threat Defense יאנה נדרשת ומתאימה לכל ארגון.
כיום ישנם מאפיינים שונים של Mobile Threat Defense אשר נמצאים במערכות MDM שונות כדוגמת Intune ומספקים אפשרויות כדוגמת זיהוי של הרצת אפליקציות לא מהימנות.
תודה רבה ליועד על פידבקים במאמר, לפרופיל של יועד https://www.linkedin.com/in/yoad-dvir/
כתבה מצויינת אלי! 🙂 תודהג