Undgå jailbreaking med almindelige MDM-standarder
“Jailbreaking” af mobile enheder vil ifølge Gartner ligge til grund for 75 procent af alle brud på mobile enheders sikkerhed i 2017. Analysefirmaet anbefaler, at it-afdelinger anvender såkaldt mobile device management-strategier (MDM) til håndtering af Android- og Apple-enheder, der inkluderer følgende trin:
- Få brugerne til at give deres samtykke om at overholde grundlæggende retningslinjer. Brugere, der ikke er i stand til at få deres mobile enheder til at overholde retningslinjerne, skal nægtes (eller gives stærkt begrænset) adgang.
- Kræv at adgangskoder har et minimum af længde og kompleksitet og opsæt strenge standarder for gentagne forsøg og timeout.
- Specificer et minimum og maksimum for versioner af platforme og styresystemer. Luk for adgangen for modeller, der ikke kan opdateres eller understøttes.
- Håndhæv en regel om ingen adgang for enheder, der er jailbreakede eller rootede, og sørg for, at ikke-godkendte app-butikker fra tredjepartner, ikke kan anvendes. Enheder, der ikke overholder disse regler, skal ikke have adgang til kilder til forretningsdata, og bør muligvis nulstilles til fabriksindstillingerne.
- Kræv at der bruges underskrevne apps og certifikater for at få adgang til virksomhedens email, VPN, trådløse netværk og beskyttede apps.
Stacy Collett
Når det drejer sig om sikkerheden i forbindelse med brug af mobile enheder, er vi vores egen værste fjende.
På trods af at mange mennesker i dag har deres mobile enheder inden for rækkevidde døgnet rundt, er de fleste ifølge eksperterne tilsyneladende ikke blevet meget klogere på sikkerheden.
I 2012 var 44 procent af alle voksne ikke klar over, at der eksisterede sikkerhedsløsninger til mobile enheder, viser Symantecs Threat Report.
Den andel steg til 57 procent i sikkerhedsleverandørens rapport for 2013, der blev offentliggjort i april år.
Det er ifølge analytikerne delvist på grund af manglende oplysning af brugerne.
For eksempel er folk, der er vant til at bruge almindelige mobiltelefoner med begrænsede sikkerhedskrav, går over til at bruge smartphones, er de ofte ikke klar over behovet for at installere sikkerheds-apps.
Vil blive ved med at stige
Eksperterne er enige om, at forekomsten af malware og svindel på mobile enheder fremover vil blive ved med at stige, fordi smartphones i stigende grad indeholder et væld af følsomme oplysninger.
Fra de mobile enheder er der også ofte adgang til virksomhedsdata, fordi de anvendes i arsenalet af produktivitetsværktøjer.
Problemet forværres yderligere af, at antallet af mistede mobile enheder fortsat stiger. 1,4 millioner mobile enheder blev i 2013 mistet og aldrig fundet igen, ifølge en spørgeundersøgelse foretaget af Consumer Reports. I 2012 var det 1,2 millioner.
Omfanget af problemet med mobilsikkerhed gør det indlysende, at der ikke findes nogen enkeltstående løsning.
“Der findes ikke nogen perfekt måde at beskytte en mobile enhed fra medarbejderen selv,” kommenterer Jamisson Fowler, der er it-direktør for forsikringsselskabet WellPoint.
“En medarbejder vil altid kunne begå fejl, og der findes ikke noget værktøj, der med absolut sikkerhed kan låse en mobil enhed.” Men heldigvis findes der måder at gøre medarbejderne bedre til mobilsikkerhed.
Vi tager her et kig på fem typer af medarbejdere, der er tilbøjelige til risikabel adfærd, og giver nogle råd om, hvordan du lærer medarbejderne at beskytte deres mobile enheder og dataene på dem.
1. Den godtroende
Nogle mennesker er mere modtagelige andre overfor phishing og anden svindel, der benytter sig af social manipulation, fordi de simpelthen ikke er klar over farerne.
Hvordan træner man disse medarbejdere til at genkende og undgå sådanne angreb?
Løsningen: Simulerede angreb
De datakriminelle arbejder hele tiden på det næste store angreb, og mobile enheder er den nye frontlinje.
Angreb, der før har været gennemført med succes på pc’er, forsøges på mod intetanende mobilbrugere for at teste, hvad der virker.
Annonce:
Og med et eksplosivt stigende antal dårligt sikrede mobile enheder er der ingen mangel på lette mål.
“Angriberne går helt bestemt efter de svageste led i kæden” advarer Lior Kohavi, der er teknologichef hos Cyren, der leverer cloudbaserede sikkerhedssystemer.
Hos den tyske producent af medicinaludstyr Karl Storz er tilgangen til at sikre de 2.200 mobile enheder, som it-afdelingen administrerer, den samme som for de interne systemers sikkerhed.
“Vi forsøger at gøre folk bekendte med phishing-angreb,” forklarer David O’Brien, der er teknologidirektør for Karl Storz Endoskope i El Segundo, Californien.
I forbindelse med de interne systemer anvender selskabet et træningsprogram fra PhishMe, hvor der køres simulerede angreb, der benytter sig af social manipulation, mod medarbejderne for at se hvem, der bider på.
I de første øvelser faldt hele 70 procent af medarbejderne i it-afdelingen for helt basale phishing-angreb, hvor de blev narret til at klikke på links i emails og indtaste deres brugernavne og adgangskoder.
Det inkluderede selv “mine øverste it-folk,” fortæller O’Brien.
Disse såkaldte social engineering-angreb foregår naturligvis ikke kun via pc’er, men også på mobile enheder.
Ligegyldigt hvilken platform udnytter denne taktik at godtroende brugere klikker på link, der for eksempel downloader malware, der giver angriberne adgang til virksomhedens netværk og data.
Phishing-meddelelser, der åbnes på mobile enheder, kan inficere bærbare og forretningssystemer, advarer Stu Sjouwerman, der er medstifter af sikkerhedstræningsfirmaet KnowBe4.
Han har dog dette enkle råd: “Tænk for du klikker.”
Phishing-øvelserne hos Karl Storz har lært medarbejderne at skelne svindelnumre fra legitime henvendelser, og hvad de kan gøre for at undgå dem.
“Disse typer angreb er en trussel på enhver form for enhed – hvad enten den er mobil eller ej,” bemærker O’Brien.
Annonce:
“I vores test udgjorde iOS-enheder (iPhones og iPads, red.) platformen for knap 20 procent af de slutbrugere, der dumpede phishing-øvelsen.
Jeg er overbevist om, at mobile enheder vil udgøre en større andel i fremtidige test.”
Sikkerhed er del af virksomhedskulturen hos it-giganten Raytheon.
Cirka en tredjedel af selskabets 63.000 medarbejdere på verdensplan anvender smartphones og tablets, udleveret af selskabet.
Her er den “menneskelige faktor” altid en joker med hensyn til sikkerheden, fortæller Jon Aliber, der er direktør for global business services – it.
“Det afhænger af den individuelle medarbejder og derfor handler det om at sørge for, at de ved, hvordan et phishing-forsøg ser ud,” forklarer Aliber.
Raytheon benytter samarbejds- og blogging-værktøjer til at gøre medarbejderne opmærksomme på aktuelle phishing-angreb.
Selskabet kræver også, at alle medarbejdere årligt gennemfører et onlinekursus i god sikkerhedspraksis.
2. Førstegangsejeren
Folk, som for første gang har fået en tablet eller en smartphone, udgør en sikkerhedsrisiko, fordi de ikke er klar over, hvad de ikke ved.
Løsningen: Det skal være trygt at indrømme at have begået fejl
WellPoint udleverer iPads til cirka 500 klinikere og servicekoordinatorer, der er på hjemmebesøg hos ældre, blinde eller handicappede patienter.
De fleste af disse mobilbrugere er ifølge Fowler “ikke så teknisk kyndige og lidt utilpasse” med at skulle bruge tablets.
Fowlers team blev overrasket over, at nogle af disse medarbejdere var bange for eller skammede sig over at skulle fortælle it-afdelingen, når de havde mistet deres iPads.
“Folk ventede en eller måske tre dage, før de indrømmede, at de nok havde glemt den et sted,” fortæller han.
Nogle gange fandt vi ud af, at den var blevet stjålet eller bare glemt på et hjemmebesøg, og så fandt vi den ved hjælp af lokaliseringstjenester.”
Men sådanne forsinkelser gør sårbarheden værre.
Derfor fandt Fowlers team på to løsninger.
Annonce:
For det første udleverede it-afdelingen tasker med plads til både iPad’en og papirer for at gøre det lettere for medarbejderne at huske at få det hele med sig.
De blev også trænet i at ringe til it-afdelingen øjeblikkeligt, hvis de havde glemt eller mistet deres mobile enheder.
For det andet vedtog it-afdelingen en politik om ikke at bebrejde de mobile medarbejdere, hvis de havde glemt eller fået stjålet en tablet, for så vidt muligt at undgå at medarbejderne udskød at melde det, fordi de var flove over at have mistet den.
“Vi råber ikke ad nogen, fordi de mister en iPad. Det ved it-afdelingen godt, at de ikke skal gøre,” fortæller Fowler. “Når klinikerne ringer til it-afdelingen, er de bare glade for at kunne hjælpe. Når vi opdager, at en enhed virkeligt er blevet væk, kan vi iværksætte vores sikkerhedsprotokoller.”
For at reducere risikoen for et brud på datasikkerheden, når en mobil enhed er blevet stjålet, trænes nye iPad-brugere i at bruge adgangskoder.
“Vi gennemgår en træning ved hjælp af telekonferencer angående brug af enheden og af hvorfor det er vigtigt at bruge gode adgangskoder,” forklarer Fowler.
“Vi giver dem også nogle eksempler på, hvad der kan give problemer.”
Han har blandt andet produceret eksempler på phishing-emails, for at illustrere hvordan et forsøg på svindel kan se ud på Facebook, og en email, der giver sig ud for at være fra en bank, der anmoder om følsomme oplysninger.
“Hvis en medarbejder bruger den samme eller meget lignende adgangskoder til flere forskellige ting på en mobil enhed, skaber det en risiko for både medarbejderen selv og for virksomheden.”
3. Den distræte
Mange beskytter deres personfølsomme oplysninger nøje, men andre er mindre omhyggelige. Det gælder også deres virksomheds data og mobile enheder.
Løsningen: Gamification og andre påmindelser
Forvaltningen i den amerikanske delstat Michigan skal holde styr på 17.000 smartphones og tablets, der anvendes af offentligt ansatte.
Sidste år mistede medarbejderne 256 udleverede mobile enheder heriblandt smartphones, tablets og bærbare.
Annonce:
Tidligere var det sådan, at “træningen rent ud sagt var en katastrofe her,” fortæller Daniel J. Lohrmann, der er Michigans sikkerhedschef.
Den PowerPoint-præsentation, de tidligere brugte, kedede folk ihjel, og han tvivler på, at særligt mange så den færdig.
“Så vi smed den væk.”
Derfor ville Lohrmann lave en gennemgribende forbedring af statens tilgang til træning af medarbejderne.
Brugerne fortalte, at det gamle program var kedeligt, irrelevant og at de ikke lærte noget af det.
Så han var klar over, at han var nødt til at gøre det kort, interaktivt, sjovt, interessant og vigtigst af alt finde en måde at “formidle de ting, som folk ikke vidste i forvejen.”
It-afdelingen valgte derfor en leverandør, hvis træning inkluderede undervisning baseret på computerspil.
Lohrmann fortæller, at et af hans yndlingsmoduler inkluderer en interaktiv lektion om mobile enheder, der mistes eller stjæles i lufthavnen.
Og det er et vigtigt emne:
I 2012 glemte rejsende i USA 8.016 trådløse enheder i blot syv lufthavne – Chicago, Denver, San Francisco, Miami, Orlando, Minneapolis-St. Paul og Charlotte – viser en rapport udført af Credant Technologies, der nu ejes af Dell.
Smartphones og tablets udgjorde 45 procent af disse mistede enheder, mens bærbare udgjorde 43 procent.
Omtrent halvdelen af enhederne blev returneret til deres rette ejere, mens resten blev ifølge rapporten doneret til velgørende organisation eller solgt på auktion.
Træningsmodulet præsenterer statistik om mobile enheder mistet i lufthavne og følger op med nogle råd om, hvad man selv kan gøre for at undgå at miste sine gadgets.
Og så begynder det sjove.
Brugerne spiller herefter et onlinespil, hvor de har 90 sekunder til at finde 12 mistede eller stjålne mobile enheder i en lufthavn, baseret på det de lige har lært.
I spillet skal brugerne styre en karakter rundt mellem check-in-skranker, butikker, sikkerhedskontrol og busser, der kører mellem terminalerne – og så lyder der et tilfredsstillende “ding” hver gang man finder en mobil enhed.
“Ingen har nogensinde fundet alle, første gang de spiller, og derfor vil de spille det igen,” påpeger Lohrmann.
Michigan er for øjeblikket i gang med at udrulle træningsmodulet, og Lohrmann forventer, at medarbejderne vil være lige så entusiastiske, som han selv er.
“Det er noget, man husker. I dag kan jeg ikke være i en lufthavn uden at tænke på det spil,” fortæller han. Dette træningsmodul “kan noget, der vil ændre folks adfærd.”
Annonce:
4. It-entusiasten
Slutbrugere med stor viden om it kan være et sikkerhedsmæssigt mareridt – især hvis de kan finde ud af at omkonfigurere deres smartphones og give sig selv administratorrettigheder.
Løsningen: Vær klogere end de kloge
Malware kan gøre stor skade på mobile enheder, der er blevet ændret, så brugeren har administratorrettigheder.
Gartners prognose lyder, at 75 procent af tilfældene af brud på mobile enheders sikkerhed i 2017 vil være på grund af forkert konfigurerede enheder.
Karl Storz tager denne trussel meget alvorligt.
“Vi er et selskab fuld af ingeniører, så vores folk har forstand på it,” siger han.
Selskabet udleverer smartphones til medarbejderne, men “jeg har endnu ikke oplevet, at nogen har omkonfigureret deres telefoner, selvom de godt kunne gøre det.”
Komplet omgående af den normale konfiguration af rettighedsstyringen på mobile enheder kaldes at “jailbreake”, når det drejer sig om iOS, og at “roote”, når det drejer sig om Android.
Fælles for dem er at det handler om at give brugeren administratorrettigheder.
Det giver brugeren adgang til ressourcer på telefonen, som normalt ikke er tilgængelige, hvilket øger sårbarheden ved at fjerne app-specifikke sikkerhedsmekanismer og den beskyttende “sandkasse”, som styresystemet normalt har.
Disse teknikker kan også gøre det muligt for malware at blive downloadet til den mobile enhed, og åbner for alle mulige skadelige handlinger såsom tyveri af virksomhedsdata.
Sådanne kompromitterede mobile enheder er ifølge Gartner også sårbare over for såkaldte brute force-angreb, der forsøger at gætte adgangskoder.
Det bedste forsvar er ifølge Gartner at sikre mobile enheder ved hjælp af mobile device management (MDM).
Sikkerheden kan styrkes yderligere med app shielding og brug af “containere”, der beskytter vigtige data.
It-sikkerhedsansvarlige bør også anvende værktøjer til at kontrollere netværksadgang, så de kan blokere forbindelsen til forretningssystemer fra enheder med mistænkelig aktivitet.
Raytheon forsøger at holde styr på lidt for kreative medarbejdere ved at sørge for, at alle medarbejdere officielt har vedkendt at have læst selskabets politikker for brug af it.
Annonce:
“Hvis de så alligevel gør noget på deres egen måde, er de klar over, at de bryder selskabets politikker, hvilket sætter dem i en meget dårlig position,” forklarer Aliber.
Sådanne politikker kan være del af et bredere sæt af datasikkerhedsstrategier, der også inkluderer brugen af software til konfiguration og lagring af data i skyen i stedet for at bruge de mobile enheders interne lager.
5. Den lidt for sociale
Nogle medarbejdere deler for mange oplysninger på sociale medier. Andre er lidt for villige til at låne deres udleverede mobile enheder til venner og familie.
Løsningen: Luk smuthullet
Især virksomheder, der ansætter mange unge mennesker, kan opleve, at nogle af deres medarbejdere offentliggør flere oplysninger om virksomheden på sociale medier, end man er vant til.
Implikationerne af denne tendens er først nu ved at vise sig.
Med en hel generation af digitalt indfødte på vej ind på arbejdsmarkedet vil det blive interessant at se, hvordan erhvervslivet håndterer følsomme data, fremhæver Chris Silvers, der er ledende analytiker hos C G Silvers Consulting.
“Der er allerede offentliggjort store mængder oplysninger, og det kan ikke laves om, når det først er gjort,” påpeger han.
Medarbejdere, der deler for mange ting på sociale medier er lette mål for svindlere, der udgiver sig for at være kolleger eller andre bekendte og forsøger at narre disse medarbejdere til at dele brugernavne, adgangskoder eller andre følsomme virksomhedsdata.
“Hver gang nogen forbinder sociale medier til begivenheder eller arbejds-emailadresser, er det en trussel” mod virksomhedens data, advarer Chris Hadnagy, der bærer jobtitlen chief human hacker hos trænings- og konsulentfirmaet Social-Engineer.
Vi oplever folk, der bruger deres arbejds-emailadresser til LinkedIn og Facebook.
Her kan svindlere finde dem og så bagefter gennemgå indlæg, blogs og fora for at finde personlige oplysninger. Det er alt sammen angrebsvektorer” for social engineering-svindel.
“Medarbejderne skal oplyses for at indse, at de ikke skal have tillid til alle henvendelser, de modtager på sociale medier eller email, hvis de har offentliggjort personlige ting om sig selv,” fremhæver Hadnagy.
Der findes også mere uskyldige varianter af offentliggørelse af for mange oplysninger. Lohrmann gør opmærksom på forældre, der lader deres børn spille eller se videoer på virksomhedsejede smartphones eller tablets – hvilket gør de mobile enheder sårbare overfor skade eller uautoriseret adgang af hackere, der kan have inficeret diverse websites.
For at undgå sådanne scenarier bør man som virksomhed have nedskrevne sikkerhedspolitikker, der forbyder udlån af virksomhedsejede enheder til venner og familie.
I sidste ende handler det ifølge eksperterne om at balancere mellem fleksibilitet og produktivitet.
“Vi giver mulighed for en vis fleksibilitet, med hensyn til hvad vi tillader folk at gøre” på deres mobiltelefoner, påpeger Aliber.
For eksempel er det OK at downloade visse apps.
“Men hvad angår beskyttelsen af virksomhedens data, er der ingen fleksibilitet. Det er et administreret miljø.
Her balancerer vi mellem behovet for produktivitet og behovet for at skabe vækst i selskabet.
Oversat af Thomas Bøndergaard