MTD: Moderní ochrana před mobilními hrozbami

23. 6. 2019

Sdílet

 Autor: Fotolia © georgejmclittle
Je načase k sadě nástrojů pro řízení podnikové mobility přidat detekci mobilních hrozeb (MTD, Mobile Threat Defense). Je totiž lepší být napřed před hrozbami, než napravovat škody po napadení.

Podniky stále častěji ve svých IT strategiích upřednostňují mobilní řešení, která se stávají důležitými pracovními nástroji. Spolu s tím ale stoupá i důležitost ochrany proti mobilním hrozbám.

Zavedení efektivní detekce a obrany proti mobilním hrozbám však není vůbec snadný úkol. Aby byly účinné, bezpečnostní technologie musejí pokrývat hrozby na úrovni aplikací, sítí a zařízení a fungovat se všemi rozšířenými mobilními operačními systémy.

„Hovoříme spíše o obraně proti bezpečnostním hrozbám než o detekci – důvodem je to, že tato řešení dokážou hrozby nejen detekovat, ale také jim předcházet a neutralizovat je,“ říká Dionisio Zumerle, šéf výzkumu mobilní bezpečnosti v Gartneru.

Podle jejich nedávné studie zájem o řešení MTD stoupá a tento segment začal přitahovat pozornost dodavatelů platforem pro ochranu koncových bodů (EPP) a dalších souvisejících produktů.

Gartner ve své studii Market Guide for Mobile Threat Defense Solutions předpovídá, že do roku 2019 dosáhne podíl mobilního škodlivého softwaru třetiny celkového množství malwaru odhalovaného při standardních testech, což představuje strmý nárůst oproti dnešním 7,5 %.

Podle předpokladů do roku 2020 řešení třídy MTD zavede do své infrastruktury 30 % podniků. V současné době takové řešení ale užívá méně než 10 % organizací.

Mezi koncovými uživateli stále panují nejasnosti a nejistota ohledně toho, která rizika MTD dokáže ošetřit a jak naléhavé nebo užitečné jeho zavedení může být, píší analytici Gartneru.

Součástí komplexního MTD se stávají i řešení založená na reputaci mobilních aplikací, která se užívají k prověřování aplikací.

 

Strojové učení

Jako jedna ze základních technologií se u detekce mobilních hrozeb začalo uplatňovat strojové učení, i když je k dispozici teprve relativně krátkou dobu.

MTD a strojové učení využívá software běžící v zařízení spolu s kolektivními poznatky o hrozbách od mnoha uživatelů a detekcí anomálního chování.

Zjednodušeně řečeno, strojové učení umožňuje počítačům rozvinout složitější chování, např. rozpoznávání vzorců, aniž k tomu jsou specificky naprogramované. Princip využití strojového učení v MTD spočívá ve sledování chování aplikací a uživatelů na pozadí a odhalování anomálií.

„Sledujeme-li, jak se zařízení chová, můžeme určit, co je normální a co naopak abnormální chování a co by mohlo vést ke škodlivým následkům,“ vysvětluje Zumerle. „Strojové učení je jedním ze způsobů, jak takový proces urychlit. Dalším důležitým prvkem je využití informací od mnoha uživatelů.“

Máme-li například tisíc zařízení s operačním systémem iOS ve verzi 11.1 a většina z nich je vybavená velmi podobným firmwarem, avšak jedno se od této normy výrazně odchyluje, je pravděpodobné, že u něj byly pozměněné knihovny. Takový zásah je abnormální – a mohl být vykonán s nekalým úmyslem, dodává Zumerle.

 

Složitější odhalování

Mít schopnost sledovat chování uživatele a aplikací je potřebnější než dříve. Škodlivý software se vždy maskoval jako legitimní aplikace, ale dnes je složitější to odhalit, říká Jack Gold, hlavní analytik společnosti J. Gold Associates, která se specializuje na mobilní technologie. Podle Golda je nejtěžší určit, co je anomální chování.

„Dříve bylo možné skenovat binární soubor a hledat v něm vzorce, které neodpovídají účelu aplikace. Dnes je malware nenápadnější a takovým skenováním podstatně hůře odhalitelný,“ říká Gold. „Musíme proto sledovat chování aplikace.

Vývojáři mohou například naprogramovat falešnou aplikaci, která se bude tvářit jako legitimní aplikace například od Amazonu, ale bude přesměrovávat uživatele na podvrženou stránku, která bude krást jejich citlivé údaje, když se budou snažit nakoupit.

„Jak byste něco takového dokázali odhalit prostým skenováním kódu?“ ptá se Gold.

Dalším příkladem jsou phishingové útoky, které také nelze odhalit skenováním. „Chování aplikace i uživatele je tedy klíčové k odhalení nežádoucí aktivity. Strojové učení a umělá inteligence to dokážou velmi dobře, jsou-li správně trénované,“ říká Gold.

Jedním dechem však dodává, že boj proti hrozbám nikdy nekončí, protože své techniky zlepšují nejen tvůrci bezpečnostního softwaru, ale i autoři toho škodlivého.

„Neexistuje stoprocentně účinné řešení,“ upozorňuje Gold. Podniky, které se chtějí chránit před mobilními hrozbami, musejí vybudovat více linií obrany.

 

Dodavatelé a doporučení

Mezi přední dodavatele MTD řešení patří například společnosti CheckPoint s řešením SandBlast Mobile, Lookout s Mobile Endpoint Security, Proofpoint s Mobile Defense, Pradeo s Mobile Threat Defense, Symantec s Endpoint Protection Mobile, Wandera s Threat Defense nebo Zimperium s zIPS Protection.

Mnoho MTD produktů je kompatibilních s řešeními některých nebo všech dodavatelů EMM a MAM včetně AirWatch, BlackBerry, Microsoftu, MobileIronu, IBM nebo SOTI.

Řešení MTD by mělo být schopné nejen detekovat anomální chování sledováním očekávaných nebo přijatelných vzorců chování, ale také kontrolovat, zda neexistují slabiny v nastavení mobilních zařízení, které by mohly otevřít cestu škodlivému softwaru.

Software by měl také umět sledovat síťový provoz, ukončovat podezřelá spojení a pomocí skenování odhalovat aplikace, které by mohly vystavit podniková data riziku.

Jedním z problémů zmiňovaných organizacemi, které již mobilní bezpečnostní software založený na strojovém učení zavedly, jsou falešně pozitivní výsledky neboli označování legitimních aplikací nebo bezproblémového uživatelského chování za závadné.

„Je to problém všech nástrojů pro odhalování škodlivého softwaru, nejen mobilních řešení. Stáhl jsem si aplikace, o nichž jsem věděl, že jsou v pořádku, ale bezpečnostní software od významného dodavatele hlásil, že jsou škodlivé,“ říká Gold.

Detekce mobilních hrozeb však není na strojovém učení závislá, upozorňuje Zumerle. MTD řešení dokáže mnoho jednodušších věcí, z nichž bude mít podnik přímý, hmatatelný užitek.

„Například nabízejí přehled, kde jsou vyznačená neaktualizovaná zařízení seřazená podle míry rizika,“ říká Zumerle a dodává: „Nebo nastavení pravidel, kdy podnik může například zakázat všechny aplikace, které předávají seznam kontaktů třetím stranám v jiných zemích.“

V kostce by MTD mělo představovat všestranné mobilní bezpečnostní řešení pro podnikové účely, tvrdí Zumerle.

 

Další hráči

Microsoft ve své platformě Windows 10 rovněž zavádí technologii pro detekci hrozeb s využitím strojového učení, která poskytuje funkce EMM prostřednictvím cloudové služby InTune. 

Nejnovější operační systém od Microsoftu využívá jako ochranu proti hrozbám Windows Defender Advanced Threat Protection, cloudovou umělou inteligenci postavenou na technologii Microsoft Intelligent Security Graph (ISG), která podle Microsoftu dokáže identifikovat nové hrozby včetně vyděračského softwaru.

Také Google nasadil algoritmus strojového učení s názvem „Peer Group Analysis“, který v obchodu Google Play detekuje potenciálně škodlivé mobilní aplikace, jež shromažďují nebo odesílají citlivé údaje bez zjevné potřeby, a usnadňuje uživatelům nalézt aplikace s požadovanými funkcemi a zárukou ochrany soukromí.

„Například drtivá většina aplikací s funkcí omalovánek nepotřebuje znát přesnou polohu uživatele, což lze zjistit analýzou ostatních omalovánkových aplikací,“ uvedl Google nedávno na svém vývojářském blogu.

 

Detekce hrozeb ve zkratce

Nástroje pro detekci mobilních hrozeb a obranu před nimi využívají různé technologie pro správu zranitelností, detekci anomálií, profilaci chování, prevenci průniku a zabezpečení přenosu dat, jimiž chrání mobilní zařízení a aplikace před pokročilými hrozbami, uvádí Gartner.

Produkty MTD by podle této výzkumné společnosti měly poskytovat čtyři úrovně ochrany:

  • Detekce anomálií v chování zařízení pomocí sledování očekávaných nebo přijatelných vzorců chování
  • Vyhodnocování zranitelností na základě vyhledávání slabin v nastavení, které by mohly umožnit spuštění škodlivého softwaru
  • Sledování síťového provozu a ukončování podezřelých spojení do a z mobilního zařízení
  • Identifikace škodlivých aplikací a aplikací, které mohou vystavit podniková data riziku, pomocí hodnocení reputace a analýzy programového kódu

 

Jak správně implementovat MTD?

Gartner při zavádění MTD řešení ve firmě doporučuje následující:

ICTS24

  • Zavádějte MTD řešení postupně v závislosti na odvětví, platných předpisech, citlivosti dat v mobilních zařízeních, specifickým případům využití a míře rizika, jakou je podnik ochotný tolerovat. Uplatňování pravidel nebude jako bezpečnostní opatření stačit donekonečna.
  • Zaveďte MTD nejdříve v odvětvích s vysokými bezpečnostními nároky, tam, kde velké procento zaměstnanců užívá zařízení Android, a v regulovaných odvětvích, jako jsou bankovnictví nebo zdravotnictví.
  • Integrujte MTD s nástroji pro řízení podnikové mobility (EMM). Varianty implementace s přesměrováním síťového provozu by se měly volit pouze tam, kde nehraje roli BYOD a kde se aplikuje striktní správa zařízení.

 

Tento příspěvek vyšel v Computerworldu 1/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.