Endpoint Protection для мобильных устройств

В области управления мобильными устройствами последние пару лет все чаще возникают разговоры о дополнительной защите мобильных устройств (если хотите, то про антивирусы).

Можно много обсуждать необходимость дополнительных мер, ведь можно ограничить установку ненадежных приложений и вроде как проблемы нет. Но проблема в том, что вектор атаки на мобильных устройствах смещен с прямого вредительства на фишинговые действия или доступ к данным (как личным, так и корпоративным).

Чаще всего решения по защите мобильных устройств действуют (Mobile Threat Defense или MTD) на следующих уровнях:

  • Уровень устройства – мониторинг версии ОС, уровня обновлений безопасности, параметров системы и устройства, прошивки, системных библиотек для отслеживания модификаций этих параметров из вне или их несоответствие требуемому уровню.
  • Уровень сетей – мониторинг сетевой активности, для обнаружения подозрительного поведения, подложенных сертификатов, атак man-in-the-middle и т.д.
  • Уровень приложения – поиск вредоносных программ и так называемых grayware (программы не вредоносные по сути, но несут в себе риски персональным и корпоративным данным).

По исследования британских ученых независимых агентств, к 2020 году 30% всех организаций будут использовать  MTD, в целях минимизации рисков.

Почему я об этом пишу? Потому что эти инструменты интегрируются с Intune, для того чтобы MTD служили сигналами для статуса compliance устройств.

Вот такую примерную схему интеграции рисует Gartner.

Соответственно устройство одновременно общается с Intune и решением MTD, передавая разные данные и инструменты общаются между собой для передачи данных об устройстве.

Intune из коробки, на момент написания, интегрируется со следующими инструментами:

Lookout

Symantec Endpoint Protection Mobile

Check Point SandBlast Mobile

Zimperium

Pradeo

Better Mobile

Sophos Mobile

Далее я буду рассказывать интеграцию на примере сервиса Lookout, потому что довелось работать.

Первым делом, естественно, необходимо настроить интеграцию между Lookout и Intune. Если вам когда то придется с этим работать, то у сервисов есть подробные инструкции по настройке, поэтому в деталях останавливаться не буду.

Если коротко, для при настройке проходятся следующие шаги:

  • Добавление данных о вашем тенанте и предоставление необходимых прав
  • Настройка соединения с указанием периодичности подключения между системами (heartbeat).
  • Указание групп в Azure AD, которые будут использоваться для обнаружения устройств и группа админов.
  • Регистрация и настройка приложения в Azure AD для функционирования iOS приложения.
  • Создание приложения в Intune, для доставки на конечные устройства.
  • Создание конфигурации приложения, чтобы iOS устройства настраивались в полуавтоматическом режиме(пользователю нужно будет только открыть приложение и раздать необходимые права)
  • Доставить приложение и конфиг до пользователей.

После настройки, вы сможете наблюдать за процессом активации приложений. На основе группы в Azure AD,  система будет опрашивать Intune на предмет наличия у этих пользователей устройств и будет ожидать их подключения.

В процессе это будет выглядеть примерно вот так.

Но зачем это нужно?

Lookout (или другой инструмент), будет сообщать о статусе устройства в Intune, а тут уже вы можете настроить Compliance policy для работы с Conditional Access.

В Lookout есть список уже настроенных политик с установленным Risk Level, который вы можете менять по своему усмотрению и можете создавать свои политики.

А на стороне Intune, вы можете установить уровень риска, выше которого устройство будет считаться non-compliant.

Далее через Conditional Access вы можете создавать разные сценарии.

Например, у вас внутренняя сеть построена на базе Cisco ISE, который выступая в роли NAC может проверять статус compliance устройства. В этом случае вы можете автоматический блокировать доступ к корпоративной сети устройствам с высоким уровнем риска. Так же это может работать и с Defender ATP.

Вывод

Если у вас есть большое количество мобильных устройств, то по крайней мере вам стоит задуматься и рассмотреть варианты решений. Пока еще нет серьезных угроз для мобильных устройств уровня NoPetya, но все идет к тому, что могут появиться. Так что лучше начать готовиться.

%d bloggers like this: