Повсеместный мобильный доступ к ресурсам корпоративной сети привлекателен для различного рода атак на инфраструктуры предприятий. Узнаем, какова специфика работы систем обнаружения целевых атак на конечных точках сети (Endpoint Detection and Response, EDR) для защиты мобильных устройств.
- Введение
- Развитие решений класса EDR (XDR) в области защиты мобильных устройств
- Использование подходов антифрод-решений
- Выводы
Введение
Современный смартфон или планшет по своим характеристикам зачастую превосходит типовую рабочую станцию сотрудника предприятия, а общее количество мобильных устройств продолжает стремительно расти, превысив число рабочих станций ещё в 2014-2015 годах. Будучи одновременно персональным устройством (с установленным банковским клиентом, переписками пользователя, фото- и видеоматериалами) и точкой доступа к корпоративным ресурсам, мобильное устройство представляет собой настоящий клад для широкого спектра атак. Можно даже сказать, что все возможные векторы атак на рабочие станции являются лишь подмножеством атак на мобильные устройства — из-за наличия там множества датчиков (камера, GPS и др.), прав «администратора», ограниченных возможностей антивирусного ПО и неконтролируемого подключения устройства к различным беспроводным сетям. Усугубляется ситуация тем, что обычно более простая атака на менее защищённое личное пространство пользователя может нести в себе в т. ч. риски и для корпоративных ресурсов, равно как и тем, что популярная защита от несанкционированного доступа в виде двухфакторной аутентификации с помощью СМС при компрометации мобильного устройства фактически не работает.
Потребности в защите мобильных устройств с появлением смартфонов стали закрываться специальными аналогами настольных EPP-решений (Endpoint Protection Platforms) — адаптированными, переписанными или созданными с нуля для мобильных операционных систем.
Развитие решений класса EDR (XDR) в области защиты мобильных устройств
Развитие защитных решений для рабочих станций и в особенности мобильных платформ тесно связано с пониманием векторов атак как на конкретное устройство, так и на инфраструктуру организации в целом. Вначале это были практически полные копии персональных продуктов, даже не всегда с возможностью отправки отчётов о работе на центральный сервер. Такие решения включали в себя простой антивирусный сканер, часто обладающий только определением угроз по сигнатурам, и простой файрвол. Очевидно, что в современных условиях этого недостаточно: согласно отечественным (пример) и зарубежным (пример) исследованиям, векторы атак злоумышленников охватывают внедрение вредоносных и шпионских программ самой различной направленности, эксфильтрацию и фальсификацию данных, атаки с помощью компрометации сетей и др.
Согласно докладам OWASP, в перечень 10 главных рисков для безопасности (в т. ч. угрожающих приложениям для мобильных ОС) входят такие, которые располагаются далеко за границами зоны ответственности традиционного антивирусного решения. Например, за последние годы в лидеры вырвались ошибки контроля доступа (A01:2021 — Broken Access Control), которые являются скорее уязвимостями сторонних легитимных приложений на устройстве, чем вредоносными программами в традиционном смысле.
В связи с этим началось расширение возможностей и периметра защиты мобильных устройств в EPP-решениях. Они стали предлагать защиту от СМС-фишинга, контроль сетевых подключений, защиту от поддельных программ, самозащиту, контроль доступа приложений и многое другое. Например, исследователи Gartner выделяют больше 10 защитных компонентов, которые обязательны для каждого претендента на попадание в их «магический квадрант» и на право называться «лидером рынка».
Решения класса EPP отлично защищают в т. ч. и от новых угроз, построенных на базе уже известных вредоносных программ, однако для защиты от менее массовых, зачастую целенаправленных, более агрессивных и более совершенных атак требуются более сложные средства. Современная система безопасности конечных точек нуждается в адаптации к современному ландшафту сложных угроз, должна включать в себя функциональность по обнаружению комплексных атак, направленных на конечные точки, и быть способной оперативно реагировать на найденные инциденты. Такие решения выделились в самостоятельный класс приложений — Endpoint Detection and Response, EDR. То же агентство Gartner с 2017 года выделяет несколько обязательных свойств защитных решений этого нового класса: предотвращение (Prevent), обнаружение (Detect), реагирование (Respond), прогнозирование (Predict).
Современные решения класса EDR позволяют:
- обеспечивать мониторинг конечных точек в режиме реального времени;
- обнаруживать и приоритизировать инциденты в информационной безопасности;
- записывать и хранить информацию по событиям на конечных точках;
- предоставлять информацию для расследования инцидентов;
- реагировать на инциденты;
- поддерживать взаимодействие с решениями класса EPP или включать их в свой состав.
Серьёзные угрозы могут остаться незамеченными, если данные для анализа собираются с каждого из устройств по отдельности. Средства обнаружения и реагирования могут оповещать о подозрительной активности, однако возможность автоматической корреляции всех событий и связанных с ними действий в этом случае отсутствует. Основное отличие решений следующего поколения (eXtended Detection and Response, XDR) — в их комплексности, а также в учёте взаимодействия всех узлов инфраструктуры организации в целом и охвате всех уровней безопасности различных устройств одновременно.
XDR агрегирует аналитические данные из различных источников и может использовать статистические модели и методы машинного обучения для выявления инцидентов, которые EDR- или EPP-решения не смогли бы распознать в рамках одного устройства, либо же когда в рамках одного устройства событие вовсе не является подозрительным. Повышается как степень защищённости инфраструктуры организации в целом, так и точность оповещений, что даёт возможность быстрее обнаруживать угрозы. Расследования с помощью единой консоли управления XDR-системы часто позволяют визуализировать и анализировать угрозы, а также реагировать на них. Длительность обнаружения и реагирования при этом значительно сокращается.
Использование подходов антифрод-решений
Чем больше различных источников информации для анализа, тем выше точность работы систем на основе методов машинного обучения. Мобильные устройства позволяют увеличивать количество передаваемой информации для выявления аномалий и инцидентов. Подобный подход с большим количеством так называемых сенсоров для защиты клиентов банков от мошенничества уже хорошо зарекомендовал себя в антифрод-решениях. Банковское приложение анализирует типичное поведение пользователя, его привычки и транзакции и предупреждает пользователя либо банк о нестандартных или опасных действиях. Это очень похоже на работу комплексного защитного решения EDR / XDR. Типичные анализируемые характеристики в целом похожи на те, которые проверяются применительно к ноутбуку или рабочей станции:
- версии приложений и операционной системы,
- вредоносность приложений,
- настройки системы,
- безопасность сети,
- наличие у приложений доступа к важным функциям, например к камере,
- источник, из которого установлено приложение.
К ним добавляется анализ тех параметров системы, которые специфичны для мобильных устройств. В первую очередь к таким параметрам относятся различные характеристики состояния телефона: история звонков и СМС-сообщений, наличие активного звонка, местонахождение устройства.
Перспективные решения также должны будут анализировать события из популярных мессенджеров, ставших уже основным средством коммуникации у пользователей. Например, в августе российская аудитория Telegram достигла 42 млн человек в сутки.
При анализе самых сложных атак, когда защищаемая информация или инфраструктура представляет ценность, многими исследователями давно отмечено, что самое слабое место системы — это пользователь. Знание его привычек позволяет голосовым помощникам угадывать его предпочтения, а защитным решениям — заранее «понимать» возможные негативные явления. В современном мире уже недостаточно полагаться только на антивирус, необходимо наличие большого количества данных и расширенных средств их анализа для всеобъемлющей работы с инцидентами — в первую очередь для их предотвращения.
Выводы
Мобильные устройства всё чаще получают доступ ко внутренним ресурсам корпоративных сетей, поэтому к ним должны предъявляться соответствующие требования в области безопасности.
Современные EDR- / XDR-решения помимо реализации традиционных защитных механизмов должны учитывать особенности носимого личного устройства со множеством датчиков, каковым является современный смартфон. Тут может помочь опыт, который накоплен в решениях класса «антифрод», позволяющих выявлять закономерности и аномалии в поведении пользователя на основе большого множества критериев.
