«Мобильные устройства и приложения никогда не представляли такой большой угрозы для организаций, как сейчас»

«Мобильные устройства и приложения никогда не представляли такой большой угрозы для организаций, как сейчас»


Владимир Безмалый

Несанкционированные приложения на корпоративных мобильных устройствах — проблема безопасности. Вот пять типов приложений, которые директора по информационной безопасности никогда не захотят находить на корпоративных мобильных устройствах.

Несанкционированное программное обеспечение и приложения, работающие на корпоративных мобильных устройствах, представляют собой кошмар безопасности. Они могут варьироваться от удовлетворения реальных бизнес-потребностей, обычно называемых теневыми ИТ, таких как эффективное удаленное общение с коллегами или управление корпоративными документами с помощью загружаемых приложений для обмена сообщениями и файлами, до использования приложений для образа жизни, не связанного с работой, или в развлекательных целях, таких как общение, фитнес, игры и просмотр спортивных состязаний.

Эти приложения не проверяются организацией и могут предоставлять сотрудникам доступ к различным данным, конфиденциальности и другим политикам, с которыми они непреднамеренно согласились, загрузив и используя их.

По словам Кельвина Мюррея, старшего исследователя угроз в Webroot, риски, связанные с нежелательными приложениями для бизнеса, усилились после вспышки пандемии COVID-19 и последующего перехода к массовой удаленной работе. «При меньшем количестве личных встреч и взаимодействий сотрудники ищут новые методы общения без формальностей электронной почты или звонков в Teams», — говорит он. «Однако с новой тактикой атак, эксплойтами и инструментами, появляющимися с помощью незапрашиваемых приложений, мобильные устройства и приложения никогда не представляли такой большой угрозы для организаций, как сейчас».

Мюррей говорит, что пользователи не верят, что киберпреступники нацелятся на них, но эти приложения часто запрашивают большой доступ к личной информации или интеграцию с привилегированными учетными записями. «Они могут быть весьма эффективными векторами угрозы для хитрых злоумышленников».

Популярные атаки на мобильные устройства включают в себя атаки троянов удаленного доступа (RAT) и «человек посередине» (MITM) для доступа к пользовательским данным или перехвата, программы-вымогатели для ограничения доступа к устройствам и поддельные сертификаты для загрузки вредоносных приложений со стороны, добавляет Доминик. Грюнден, директор по информационной безопасности платформы финансовых услуг Wave Money.

Тернер ссылается на приложения, выдаваемые за одно и одобренные для огороженных стенами магазинов Apple и Google, которые в конечном итоге становятся чем-то гораздо более вредоносным, например, некоторые приложения-калькуляторы фактически являются механизмами передачи файлов.

Точно так же нередки случаи, когда проверенные магазины приложений, такие как Google Play, содержат приложения, пронизанные вредоносным ПО, отмечает главный аналитик Форума информационной безопасности (ISF) Пол Холланд. Даже законное приложение TikTok было поймано в прошлом году за захват данных буфера копирования с устройств Apple, хотя этого не должно было быть, добавляет Мюррей. Хотя служба социальных сетей с тех пор прекратила сбор таких данных, это пример скрытых рисков, которые могут представлять такие приложения, если их не тщательно проверить.

Больше всего беспокоит то, что новое исследование облачных угроз от Netskope обнаружило, что 97% облачных приложений, используемых на предприятии, являются неуправляемыми и часто свободно принимаются. Очевидно, что компаниям нужно делать гораздо больше, чтобы проверять, какие приложения сотрудники используют на рабочих устройствах.

Итак, какие типы неавторизованных приложений должны быть наивысшими в списке риска CISO и почему? Вот что говорят эксперты по безопасности.

1. Социальные сети и приложения для обмена сообщениями

Вероятно, наиболее часто встречающиеся типы приложений на корпоративных устройствах, в социальных сетях и приложениях для обмена сообщениями могут вызвать серьезные проблемы с безопасностью и конфиденциальностью для руководителей службы безопасности. «Приложения социальных сетей виновны в отслеживании того, что вы делаете на своем устройстве, посещаемых веб-сайтах, местах, которые вы посещаете, и многом другом», — предупреждает Тернер. Грюнден соглашается, ссылаясь на Facebook, который, как известно, страдал от дыр и уязвимостей в системе безопасности, проблем с конфиденциальностью и утечек конфиденциальной информации в прошлом.

«Я также не хотел бы видеть приложения для социальных сетей из-за пределов стран, в которых моя компания ведет бизнес», — говорит Тернер. «Приложения из других стран на устройстве открывают путь для нарушения законов и постановлений о конфиденциальности и хранении данных, поскольку они потенциально могут быть использованы для ведения бизнеса, злонамеренных инсайдеров, извлекающих данные, или злоумышленников, использующих приложения для кражи данных или компрометации устройств».

Китайские приложения вызывают особую озабоченность у Grunden. «Немногое нужно сказать о внутренней безопасности и киберрисках, поскольку приложения, разработанные и поставленные из Китая, как правило, имеют бэкдоры, вредоносный код и раскрывают конфиденциальные данные предприятия».

Что касается проблем безопасности, связанных с приложениями для обмена сообщениями, распространенной проблемой является то, что популярные сервисы, такие как WhatsApp, Signal и Telegram, являются централизованными приложениями потребительского уровня, размещаемыми у поставщика. «Это означает, что обсуждения сотрудников, связанные с работой, засасываются на серверы приложения, в результате чего компания не может контролировать то, как хранятся и управляются ее данные, и потенциально может подвергаться интеллектуальному анализу и удалению», — говорит Амандин Ле Пап, соучредитель Matrix.org, некоммерческого проекта с открытым исходным кодом, работающий над децентрализованным обменом IP-сообщениями и экосистемой VoIP для Интернета. «Более того, нет формализованной модерации и нет способа обеспечить, чтобы дискуссионные группы были открытыми или содержали все соответствующие стороны. Хуже того, нет никакого контроля над деинициализацией кого-то, кто покидает организацию, или над проведением аудита, что приводит к безответственному принятию решений».

Руководители службы безопасности действительно должны быть обеспокоены тем, что сотрудники ведут бизнес через приложения для совместной работы и обмена сообщениями, а не корпоративного уровня, о чем в январе этого года предупредило Управление по финансовому регулированию и надзору Великобритании.

2. Приложения для удаленного доступа и облачного хранилища

На фоне перехода к массовой удаленной работе за последние 18 месяцев использование приложений удаленного доступа и облачного хранилища значительно выросло, поскольку организации и сотрудники искали новые способы безопасной и эффективной работы. Однако Тернер предупреждает о рисках, которые такие инструменты представляют для организаций, если они попадают на корпоративные устройства. «Я бы никогда не захотел найти какой-либо альтернативный удаленный доступ или облачное хранилище, установленное на моих корпоративных устройствах. Это просто вопль кражи данных», — говорит он.

Приложения с негарантированным удаленным доступом могут перенаправлять весь сетевой трафик на устройстве на неизвестный сервер/VPN/инфраструктуру удаленного доступа, где проходит весь трафик приложений компании и потенциально может собираться или анализироваться третьей стороной. «Будь то учетные данные, токены аутентификации и т. д., все это доступно в этом сценарии», — говорит Тернер.

Аналогичным образом можно настроить альтернативные облачные хранилища для автоматического резервного копирования файлов, фотографий и других данных с вашего устройства. «Если ваша работа заключается в работе с файлами и фотографиями локально на вашем устройстве, это еще один сценарий, при котором данные могут намеренно или случайно храниться в другом месте, не защищенном решениями безопасности вашей компании», — объясняет Тернер. Эти же приложения могут использоваться злоумышленниками и настраиваться для их собственных учетных записей, чтобы получить копию данных, с которыми вы работаете на своем устройстве. «Все это подвергает организации потенциальному риску взлома и утечки данных из-за сбора учетных данных, извлечения конфиденциальных данных и их ненадлежащего хранения и т. Д.»

По словам Грюндена, эти риски будут продолжать расти по многим причинам, если их не контролировать, включая постоянную удаленную работу и широкое использование приложений, таких как Office 365 или Dropbox, для обмена информацией внутри организаций, между партнерами и клиентами.

3. Приложения для обеспечения безопасности

На некоторые машины с Windows 10 можно загружать программное обеспечение из Microsoft Store без прав администратора, отмечает Холланд. Это создает риск установки и использования неавторизованных сложных инструментов безопасности, которые должны использоваться только специалистами.

«Неавторизованные пользователи, использующие инструменты безопасности, такие как Wireshark или Kali Linux, могут не знать, какой ущерб они могут нанести организации», — говорит Бэрд. «Хотя инструменты легальны, несанкционированное использование запрещено. Пользователи могли использовать эти инструменты для подслушивания в корпоративной сети, что было бы особенно опасно, если бы они были недовольным сотрудником или внутренней угрозой».

Кроме того несанкционированное использование этих инструментов может значительно облегчить работу злоумышленника, поскольку вы, по сути, предоставили им инструменты, необходимые для взломать организацию изнутри, — добавляет Бэрд. «Например, в Kali Linux есть сотни инструментов DDoS, которые могут нарушить работу всей корпоративной сети. В частности, учитывая, что большинство уровней защиты от DDoS-атак расположены по периметру сети, любые DDoS-атаки изнутри могут быть пропущены средствами сканирования и, следовательно, не могут предотвратить использование».

4. Плагины сторонних приложений

Плагины сторонних приложений, предназначенные для добавления функциональности даже проверенным приложениям, могут серьезно угрожать данным организаций. Согласно отчету Netskope, процитированному ранее, 97% пользователей Google Workspace разрешили как минимум одному стороннему приложению доступ к своей корпоративной учетной записи Google, потенциально используя данные для третьих лиц из-за таких функций, как просмотр и управление файлами на Google Диске.

Рэй Канзанезе, директор Netskope Threat Labs, сообщает CSO, что плагины приложений могут предоставлять сторонним лицам постоянный доступ к данным. «Например, плагин приложения CamScanner может получить доступ ко всем вашим документам на Google Диске. Было обнаружено, что CamScanner содержит вредоносное ПО и был запрещен правительством Индии. Другими словами, плагины сторонних приложений могут предоставлять действительную услугу, но организации, работающие с приложениями, могут быть недостаточно надежными для обработки конфиденциальных данных».

Злоумышленники также обнаружили, что получение доступа к учетной записи Google, которая управляет мобильным устройством через App Store/Play Store, намного эффективнее, чем попытки найти уязвимости и разработать эксплойты для мобильных устройств, что требует больших затрат труда и времени, говорит Грюнден. Такой доступ дает ключи к королевству: конфиденциальные данные, данные кредитной карты и многое другое. Он добавляет, что злоумышленник со взломанной учетной записью может получить доступ к резервным копиям и восстановить данные, принадлежащие всем приложениям на мобильном устройстве, включая сообщения, контакты и журналы вызовов. «Если кто-то украдет эти учетные записи, он сможет постоянно отслеживать устройство и удаленно управлять несколькими ключевыми действиями (такими как несанкционированные покупки или установка вредоносных приложений), вызывая дальнейший ущерб».

5. Игровые приложения

Корпоративные устройства и сети недоступны для поддержки игр, будь то в рабочее время или вне их, но некоторые все равно пытаются. Хотя это представляет собой грубое неправомерное использование собственности компании и ненужные расходы, проблемы безопасности при использовании корпоративных устройств для установки и игры в игровое программное обеспечение еще хуже. «Клиент Steam, например, эквивалентен открытию банка червей, если он установлен на любом устройстве, имеющем доступ к корпоративной сети», — предупреждает Бэрд. «Огромное количество игр, которые можно установить с помощью Steam, очень затрудняет безопасность, чтобы поддерживать видимость того, что находится в сети, и реагировать соответствующим образом. Тогда любое неавторизованное программное обеспечение выпадет из процесса управления исправлениями группы безопасности, так что пробелы могут быть оставлены открытыми для использования.

«Самым опасным игровым приложением, на мой взгляд, как CISO, является 9Game.com, портал для загрузки бесплатных игр для Android», — добавляет Грюнден. «Я видел больше вредоносных приложений, выходящих из этого магазина мобильных приложений, чем из любых других за последние пару лет».

Снижение рисков несанкционированных мобильных приложений

Когда дело доходит до устранения рисков, связанных с нежелательными приложениями на корпоративных устройствах, путем предотвращения установки неутвержденного программного обеспечения, эксперты соглашаются, что требуется сочетание политики и обучения. «Директору по информационной безопасности необходимо убедиться, что его группа безопасности справляется с рисками, связанными с несанкционированными приложениями, и соблюдает предписанные правила в соответствии с политикой компании. Это помогает поддерживать стремление к мониторингу и управлению использованием остальной части персонала », — говорит Холланд.

Tuner добавляет, что такие политики могут быть реализованы с помощью решений для управления конечными точками путем создания потока утверждения для несанкционированных приложений и исправления существующих неутвержденных несанкционированных приложений.

По мотивам  https://www.computerworld.com  

Источник https://ib-bank.ru/bisjournal/news/16023

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Владимир Безмалый

О безопасности и не только