В современном цифровом ландшафте мобильные устройства — неотъемлемая часть повседневной жизни, и обеспечение их кибербезопасности становится одной из приоритетных задач при построении безопасных и надёжных технологических систем.
С учётом того,
что трафик мобильных устройств составляет основную долю всего трафика в сети
Интернет, а также с учётом появления всё более изощренных видов кибератак,
вопрос эффективной защиты мобильных устройств для организаций сегодня стоит остро.
Здесь может помочь концепция XDR, или расширенного обнаружения угроз и
реагирования на них.
В данной
статье мы рассмотрим, почему внедрение XDR для мобильных устройств становится
важным элементом современной стратегии кибербезопасности, а также как эта концепция
способствует более эффективной защите данных и обеспечению непрерывной
работоспособности в условиях постоянно меняющегося ландшафта киберугроз.
Перед тем
как мы погрузимся в обсуждение темы XDR для мобильных устройств, нужно уточнить
понятия XDR и EDR и как они соотносятся с мобильной сферой.
В узком
смысле EDR (англ. endpoint detection and response —
обнаружение угроз и реагирование на конечных устройствах) — это программное
обеспечение, которое устанавливается на конечных устройствах в компьютерных
сетях для мониторинга, обнаружения и реагирования на угрозы и аномальную
активность на них.
В более
широком смысле EDR представляет собой технологию и стратегию в области
кибербезопасности, ориентированные на защиту компьютеров и других конечных
устройств в сети организации от различного рода киберугроз.
EDR фокусируется
на мониторинге и анализе активности на конечных точках с целью выявления
потенциальных киберугроз, а также на скором и эффективном реагировании на них. Типичные
функции EDR включают в себя регистрацию событий, анализ поведения, обнаружение
необычных или вредоносных действий, а также предоставление возможности для
реагирования на инциденты. Это позволяет организациям быстро выявлять и
обезвреживать потенциальные угрозы для безопасности данных и систем.
В
результате эволюции концепции EDR появилась концепция XDR — призванная
улучшить и расширить возможности обнаружения и реагирования на киберугрозы
в современных информационных средах, где атаки могут иметь различные векторы и
затрагивать разные уровни инфраструктуры.
XDR
интегрирует различные инструменты и технологии для обнаружения угроз и
реагирования на них, объединяя данные и контекст из различных источников,
таких как конечные устройства (например, компьютеры, мобильные устройства),
сетевые устройства, журналы событий и другие системы обнаружения, чтобы
обеспечить более полное представление о потенциальных угрозах. Затем аналитики
могут использовать эту информацию для выявления подозрительной активности и быстрого
реагирования на атаки.
Проблемы защиты мобильных устройств
Многие
современные мобильные устройства обладают внушительной вычислительной мощностью
и функциональностью, что делает их не только удобными в повседневной жизни, но
и мощными инструментами для рабочих задач. Фактически мобильные устройства
сегодня способны не только дополнять, но и в некоторых случаях даже заменять
традиционные рабочие станции.
Мобильные
телефоны и планшеты с операционными системами, такими как iOS и Android,
предоставляют доступ к широкому спектру приложений и сервисов, включая офисные
приложения, облачные ресурсы, средства связи и многое другое. Это делает их
незаменимыми для специалистов, которым нужна возможность работать вне
офиса.
Мобильные
устройства — это неотъемлемая часть рабочей инфраструктуры. Поскольку они
открывают доступ к конфиденциальным корпоративным данным и приложениям, вопросы
их безопасности становятся критически важными для организаций.
За счёт
широкого спектра хранимых и обрабатываемых данных и доступа к корпоративным
ресурсам мобильные устройства давно стали объектами интереса злоумышленников. Мобильные
устройства не только цели для кибератак сами по себе. Они могут также использоваться
как входные точки для осуществления целевых атак на организации. Уязвимости
в мобильных операционных системах и приложениях могут быть эксплуатированы для
внедрения в корпоративные сети и доступа к конфиденциальным данным организации.
Сложность
ситуации усугубляется тем фактом, что пользователи мобильных устройств, как правило,
менее осторожны при использовании интернета. Это связано с несколькими
факторами, которые следует рассмотреть более подробно:
- Удобство и мобильность, предоставляемые, например, смартфонами, может склонять пользователей к использованию их в различных обстоятельствах, включая общественные места и незащищённые сети Wi-Fi. При этом пользователи могут забывать или пренебрегать основными мерами безопасности.
- Ограниченный размер экрана мобильного устройства может затруднять обнаружение подозрительных элементов на сайтах, таких как фишинговые страницы или вредоносные ссылки.
- Множество приложений на мобильных устройствах требует доступа к различным разрешениям и данным пользователя. Пользователи могут устанавливать приложения без достаточной проверки и давать им слишком широкие права, что создаёт потенциальные риски безопасности.
- Пользователи могут не знать об актуальных киберугрозах и методах защиты от них и, соответственно, становиться жертвами фишинга или социальной инженерии.
Учесть
перечисленные факторы проще, если в компании используются подходы COBO (Company-Owned, Business-Only) и COPE (Company-Owned, Personally Enabled), а не подход BYOD (Bring Your Own Device). В случае подхода BYOD существуют определённые риски,
которые следует учитывать. Перечислим некоторые из них:
- Сотрудники организации могут использовать устройства разных вендоров и моделей с разными операционными системами и их версиями, что затрудняет применение стандартизированных политик безопасности.
- BYOD-устройства используются и как личные, и как рабочие устройства, что создаёт дополнительный риск утечки или неправомерного доступа к корпоративным ресурсам.
- Управление и обновление BYOD-устройств требует согласия владельца устройства.
Официальные
магазины приложений могут накладывать различные ограничения на вендоров
программного обеспечения. Это дополнительно создаёт потенциальные угрозы их
кибербезопасности, так как в ответ на такие ограничения пользователи вынуждены
обращаться к альтернативным источникам. Сторонние источники могут быть
скомпрометированы и представлять риск сами по себе, а приложения, размещённые
там, могут быть инфицированы вредоносным ПО. Кроме того, при использовании
альтернативных источников пользователи могут столкнуться с отсутствием
регулярных обновлений, что делает их устройства уязвимыми для известных
угроз. Злоумышленники могут использовать ситуацию с блокировкой приложений для
проведения фишинговых атак, предлагая пользователям скачивать и устанавливать
поддельные приложения.
XDR
Gartner определяет XDR как платформу, которая интегрирует, коррелирует и
контекстуализирует данные и предупреждения из множества компонентов
безопасности для предотвращения, обнаружения и реагирования на угрозы. XDR —
это технология, объединяющая множество узкоспециализированных решений и
продвинутые аналитические инструменты для корреляции событий из разных
источников в инциденты, обеспечивая тем самым высокую точность детектирования,
при этом опираясь на малоинформативные единичные сигналы. Цель XDR— снизить
неинформативный поток событий от большого парка продуктов, устранить проблемы с интеграцией
и снизить операционные расходы.
С точки
зрения архитектуры можно выделить несколько функциональных блоков, из которых
состоит типичное XDR-решение:
- Сенсоры и агенты — компоненты, устанавливаемые на конечных устройствах, таких как рабочие станции, серверы и мобильные устройства, для сбора телеметрии о действиях пользователей, состоянии устройств и сетевом трафике. Сюда можно отнести антивирусное ПО и IDS, если они включены в состав XDR.
- Озеро данных (Data Lake) — центральное хранилище, куда отправляются все собранные телеметрические данные для последующего анализа. Обычно размещается в облаке и обеспечивает высокую масштабируемость и доступность.
- XDR использует аналитические алгоритмы и методы машинного обучения для обработки данных и выявления аномалий и потенциальных угроз. Эти инструменты позволяют обнаружить необычное поведение и киберугрозы.
- Компоненты интеграции с другими системами, такими как SIEM (система управления информационной безопасностью и событиями), системы защиты периметра и системы обнаружения вторжений. Часто это представлено с помощью различных API.
- Для администрирования и мониторинга состояния безопасности системы XDR обычно предоставляет веб-панель управления и инструменты для работы с данными. Сюда же можно отнести инструменты для построения отчётов о состоянии безопасности и инцидентах.
- Механизмы реагирования на обнаруженные угрозы — включают автоматические действия, предоставление рекомендаций по реагированию и возможность блокировать опасные активности.
Безопасность
мобильных устройств и хранимых на них данных не ограничивается только лишь
защитой самих устройств от вредоносного ПО и разного рода атак. Необходим
комплексный подход, включающий в себя обеспечение безопасности всей сетевой
инфраструктуры, к которой эти устройства подключены, а также контроль и
мониторинг действий пользователей на них.
Многие
антивирусные решения предоставляют возможность централизованно управлять
безопасностью на рабочих станциях, серверах и мобильных устройствах. С их
помощью можно отслеживать текущее состояние устройства, состояние антивирусного
ПО, применять политики безопасности. Однако они ограничены в своей способности
предоставить полный контекст для всей инфраструктуры организации и не
способны выявлять долгосрочные тенденции или изменения, произошедшие ранее.
Именно XDR даст
более полную и всестороннюю картину о состоянии кибербезопасности в организации.
Интегрируя данные с разных источников, XDR анализирует
их в реальном времени, предоставляя контекст и историю событий.
В
качестве примера рассмотрим гипотетический сценарий, при котором на смартфоне
установлено приложение, содержащее неизвестную (0-day)
уязвимость. Злоумышленник может эксплуатировать
эту уязвимость для заражения устройства или для получения несанкционированного
доступа к корпоративным или личным данным. Традиционный мобильный антивирус может
не обнаружить этот эксплойт в связи с отсутствием соответствующих сигнатур. XDR,
анализируя поведенческие паттерны и коррелируя данные телеметрии с данными из
других источников, поможет заметить нетипичное поведение на устройстве или
аномальный сетевой трафик, связанный с эксплойтом (например, если приложение,
которое обычно транслирует небольшие объёмы данных, вдруг начинает отправлять
большие объёмы информации на неизвестный хост).
Если
злоумышленник уже проник на мобильное устройство, с помощью XDR можно
обнаружить попытки перемещения по сети — когда атакующий пытается расширить
присутствие на другие устройства. Наличие в составе XDR компонентов,
реализующих ответные действия, такие как изоляция, поиск индикаторов атаки и
компрометации, позволит быстро среагировать на инциденты, не давая атаке
развиться.
XDR для мобильных устройств позволяет наиболее полно обеспечивать комплексный подход к защите от киберугроз. В мире, где мобильные устройства играют ключевую роль в повседневной жизни в целом и в работе в частности, необходимо иметь систему, которая способна обнаруживать и предотвращать угрозы на всех уровнях. Обеспечивая всесторонний анализ ИТ-инфраструктуры на наличие киберугроз и уязвимостей, XDR становится неотъемлемой частью современной кибербезопасности, тем самым позволяя организациям быть уверенными в том, что их мобильные устройства и весь ИТ-парк находятся под надёжной защитой от постоянно эволюционирующих киберугроз.
Автор: Старшинов Вячеслав, эксперт решений по защите инфраструктуры и конечных устройств, «Лаборатория Касперского».
Оригинал публикации на сайте CISOCLUB: "Мобильный XDR: зачем он нужен".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
