מימוש וסימולציה של Defender for Endpoint למכשירי אנדרואיד
האם מכשירי מובייל למינהם כדוגמת אנדרואיד או iOS מקבלים הגנה מלאה כמו תחנות קצה המבוססות על Windows 10? ברוב המקרים אין כלל הגנה על מכשירי מובייל ובטח כאשר משווים אותם אל תחנות קצה רגילות. במאמר הבא נבין מהם האפשרויות והדרכים של מימוש וסימולציה של Defender for Endpoint למכשירי אנדרואיד.
מיותר לומר שכיום מכשירי מובייל הם בשימוש נרחב אצל כל אחד מאיתנו, ויתרה מכך אנו מבצעים אינספור פעולות ביומיום וחלקם אף פעולות רגישות, כמו פעולות של אימות מבוסס MFA וגישה למערכות רגישות של הארגון, שמירת כרטיסי אשראי, גישה למערכות רגישות כמו בנקים, מתחברים לרשתות Wifi ללא אבחנה ומבצעים עוד אינספור פעולות.
המושג של Mobile Threat Defense (בקצרה MTD) התפתח בשנים האחרונות עם יכולות הגנה מרשימות וישנם חברות אבטחה שממוקדות בתחום, כמו Lookout. המטרה העיקרית של MTD היא להגן על המכשיר מפני סיכונים מוכרים וחדשים.
הגנה על מכשירי מובייל באמצעות מנגנון Mobile Threat Defense מספקת הגנה ומענה למתקפות מבוססות מובייל, ובין היתר ניתן למנות את הסיכונים הבאים:
- אפליקציות ותוכן זדוני
- הגנה מפני פישינג וקישורים לא אמינים
- זיהוי מנגנוני ריגול, ציתות והשתלטות
- שינויים ברמת מערכת הפעלה
- שינוי בפרופיל משתמש
- חשיפת תוכן מוצפן
- זיהוי והגנה מול רשתות
הגנה על מכשירי מובייל היא אתגר עצום בגלל הסיבה שלא תמיד המכשיר הוא בבעלות הארגון, ולכן הסיבה הזאת עלולה לגרום למורכבות ביישום.
במקרים רבים קל יותר להגן על המידע ולאפשר גישה ואכיפת מדיניות ברמת אפליקטיבית ולצורך הענין הפעלת מנגנון DLP על אפליקציות שניגשות למידע או למשאב רגיש.
Defender for Endpoint למכשירי אנדרואיד
התשתית של Microsoft Defender for Endpoint מאפשרת הגנה על כלל התקני הקצה, ועל כלל המכשירים והמובייל שיש כיום, החל מתחנות שהם מבוססות על Windows 10, דרך מערכות MacOS ועד הפצות לינוקס וכן מכשירי מובייל כדוגמת iOS ואנדרואיד.
המעטפת של הגנה על כלל המכשירים מאפשרת זיהוי ומניעה בכל אחד מהשלבים של מסלול התקיפה ויכולות תחקור ברמת האובייקט הבודד, במצב של אירוע אשר חל על מספר מכשירים ניתן לבצע זיהוי אחיד על גבי Alert Story עם Timeline וכן ברמת הקובץ, או הקישור והתחנה – כלומר מציאת Patient Zero היא פחות מורכבת במצבים מהסוג הנ"ל.
טיפ: במידה וישנם מקורות מידע נוספים השייכים לאירוע כמו דואר או ניסיון גישה למערכת Active Directory הכיסוי יהיה רחב יותר ויאפשר תחקור מעמיק יותר במסלול התקיפה וזאת על גבי Microsoft 365 Defender (או MTP)
ביצוע Onboard למערכת קצה (מכשיר או תחנה) יכולה להיעשות בכמה צורות, בין אם זה מתוך מערכת הפצה כמו SCCM או Endpoint Manager או Group Policy, או ע"י סקריפט וכן בצורה ידנית. מכאן אפשר להבין שאופן ההפצה תלוי במערכת עצמה.
כאשר מתקינים Defender for Endpoint למכשיר אנדרואיד אנו יכולים לעבוד לפי מספר אפשרויות של התקנה לפי אפשרות של Store App או אפשרות Managed By Google Apps וכן האפשרות הידנית ברמת המכשיר עצמו.
בעבר היה ניתן לעבוד עם האפשרות של התקנה באמצעות APK אך האפשרות הזאת אינה מומלצת כיום ואינה זמינה מתוך הממשקים של Microsoft Defender for Endpoint.
איך מבצעים התקנה באמצעות Endpoint Manager
ניתן לבצע התקנה של Microsoft Defender for Endpoint למכשירי אנדרואיד באמצעות Endpoint Manager ולפי הלשבים הבאים:
בממשק https://securitycenter.microsoft.com אין אפשרות להוריד APK כמו שהיה עד לא מזמן ולכן ניגש להתקנה מתוך ממשק Endpoint Manager
בממשק Endpoint Manager ניגש לאפליקציות "Apps" ומשם למכשירי Android ונוסיף אפליקציה
האפליקציה בדוגמה הנוכחית היא מבוססת על סוג ספציפי של Android store app אבל ישנה אפשרות לבחור באפשרות הנוספת של Managed Google Play app (בהתאם לניהול אפליקציות של מכשירי אנדרואיד)
הפרמטרים הנדרשים של אפליקציית הם הפרמטרים הבאים כאשר החשוב בהם הוא Appstore url עם הכתובת הבאה מתוך החנות של Google Store
https://play.google.com/store/apps/details?id=com.microsoft.scmx
בסיום נבחר את הקבוצה הנדרשת שאליה אנו רוצים להתקין האפליקציה
בסיום נבחר באפשרות Create ומשם נמתין שהאפליקציה תסונכרן אל המכשיר.
לאחר שהאפליקציה של Microsoft Defender for Endpoint מותקנת במכשיר אנדרואיד אנו יכולים לראות את האפליקציה עצמה ובנוסף אנו יכולים להבחין באינדקציות נוספות שמופיעות מידי פעם כאשר מתחברים לרשתות, מתקינים אפליקציות, גולשים לאתרים מסוימים וכן הלאה.
מה קורה מאחורי הקלעים ומהי אותה אפליקציה שמותקנת?
בדיפולט מופעלת הגנה מבוססת Web protection שתפקידה העיקרי הוא להגן מפני קישורי פישינג למינהם וכן גישה לאתרים שמכילים תוכן לא אמין או Maliuoiocs site, במצב כזה הגישה אל האתר לא תתאפשר ובנוסף לכך תקפות התראה בממשקים השונים של Defender for Endpoint או של Microsoft 365 Defender וכן הלאה.
בנוסף לכך מתבצע רישום של VPN מקומי במכשיר בכדי לקבל גישה על התעבורה שאליה המכשיר ניגש בכדי לבצע בדיקות בכל רגע נתון.
בנוסף לכך ישנו מנגנון נוסף של custom indicators שניתן להפעלה ומטרתו לאפשר הזנה של IoCs מבטרה לחסום גישה אל אפליקציות, אתרים ותוכן שאינו אמין
לצד הפעלה של היכולות המוזכרות ניתן לבצע ביטול של כל אחד מהאפשרויות ע"י הגדרת מדיניות (מתבצע לפי Device COnfiguration)
הגדרות נוספות
ניתן לבצע הגדרות נוספות לאחר התקנת האפליקציה לטובת אכיפת מדיניות במידה והמכשיר נמצא בסיכון.
הגדרה לאכיפת Compliance על המכשיר במטרה לאפשר חיבור של מכשיר אנדרואיד תקין בלבד ולפי פרמטרים של Device Health ולפי SafetyNet
דרך נוספת ומעט דומה ניתנת לביצוע באמצעות Conditional Access ולפי פוליסי ספציפי ניתן לבצע תנאי גרנולרי שמתבסס על מיקום המכשיר, סוג המכשיר, בריאות המכשיר, גישה לפאליקציות, בחירת משתמשים וכן הלאה.
סימולציה
לאחר התקנה וסנכרון המכשיר מומלץ לבצע סימולציה מתוך המכשיר וכן בדיקה של המערכות בתחקור הבעיה.
ניתן לבצע סימולציה על מכשירי מובייל ואנדרואיד בפרט לפי מספר סימולציות המבוססות על בדיקות אתרי פישינג, הורדת Malware, התקנת אפליקציות זדוניות וגישה לרשת לא אמינה (למשל, כזאת שמבוססת על MITM).
ישנם אינספור וונדורים ואתרים המאפשרים לבצע בדיקות והסימולציה שמוצגות כאן הם חלק קטן מהארסנל העצום אשר מוצע ברשת.
Firefox Malware Protection & Phishing Page
Sophos Web Security and Control Test Site
לאחר ניסיון גישה אל אתר נגוע, קישור פישינג והתקנת אפליקציות מזויפות המנסות לתקשר עם גורמים חיצוניים המכשיר יחסום ויתריע את הגישה. כך זה נראה במכשיר אנדרואיד.
במידה ונבדוק בממשק Microsoft 365 Defender נוכל לראות את כל אותן התראות ומכאן לתחקר את אותו Incident.
לסיכום, הגנה על התקני קצה יכולה להיעשות בהתאם למדיניות הארגונית ובמידה ומדיניות כזאת מתאפשרת השילוב והכיסוי של Microsoft 365 Defender יחד עם Microsoft Defender for Endpoint להתקני קצה ומכשירים חכמים ובפרט למכשירי אנדרואיד מביאה ערך בגלל שמצד אחד מאפשרת הגנה על גישה לתכנים לא אמינים ומצד שני יכולה לסייע בתחקור בעיות על כל המסלול תקיפה.
