Лучшая защита от мобильных угроз — обнаружение мобильных угроз
Пришло время добавить MTD в свой набор инструментов Enterprise Mobile Management. Потому что лучше опережать мобильные угрозы, чем пытаться очистить их после того, как вас атакуют.
- Просмотров |
Пришло время добавить MTD в свой набор инструментов Enterprise Mobile Management. Потому что лучше опережать мобильные угрозы, чем пытаться очистить их после того, как вас атакуют.
Поскольку предприятия продвигаются вперед с помощью мобильных стратегий, а сотрудники смартфонов и планшетов все чаще становятся бизнес-инструментами, растет важность защиты мобильных угроз (MTD).
Однако использование обнаружения и защиты мобильных угроз — немалая задача; технология должна охватывать приложения, сети и угрозы уровня устройства для телефонов и планшетов iOS и Android, чтобы быть эффективными.
«Мы говорим о защите мобильных угроз, а не об обнаружении — причина в том, что эти решения не только обнаруживают, но также могут предотвращать и устранять угрозы», — сказал Дионисио Зумерле, директор по исследованиям мобильной безопасности Gartner.
Согласно последнему отчету Gartner, рынок MTD растет с точки зрения принятия и начал привлекать внимание от поставщиков платформы защиты конечных точек (EPP) и на других связанных рынках.
По данным Gartner Market Guide for Mobile Threat Defense Solutions, к 2019 году мобильные вредоносные программы составят одну треть от общего количества вредоносных программ, зарегистрированных в стандартных тестах, резко повысившись с 7,5% вредоносного ПО сегодня. К 2020 году 30% организаций будут иметь MTD, по сравнению с менее чем 10%, которые будут иметь место в этом году.
Gartner сказал, что по-прежнему существует много путаницы и неопределенности от конечных пользователей относительно того, какие риски MTD-адреса и насколько они актуальны или полезны.
Мобильные решения «Решения для репутации», которые используются для проверки приложений, сходятся с MTD в одном решении.
Машиноведение играет решающую роль в обнаружении угроз
Кроме того, машинное обучение стало основополагающей технологией обнаружения мобильных угроз, хотя оно существует только в течение нескольких лет.
MTD и машинное обучение используют программное обеспечение на устройстве и краудсорсинговую угрозу и обнаружение аномалий поведения.
Машиноведение, просто поставленное, позволяет компьютерам разрабатывать более сложное поведение, такое как распознавание образов, не будучи специально запрограммированным для него. Идея машинного обучения в MTD заключается в том, что программное обеспечение сидит в фоновом режиме и контролирует поведение приложения и пользователя и идентифицирует аномальное поведение.
«Наблюдая за тем, как ведут себя устройства, вы можете определить, что нормально, а что ненормальное поведение, и что может привести к злонамеренному действию», — сказал Зумерл. «Машинное обучение — один из способов ускорить этот процесс. Краудсорсинг — еще один компонент».
Например, если на iOS 11.1 установлено 1000 устройств iOS, и большинство из них имеют очень похожие типы прошивки, но один из них значительно отличается от этой нормы, скорее всего, есть модифицированная библиотека; эта модификация ненормальна — и это может быть сделано для злонамеренных целей, сказал Зумерл.
Вредоносное ПО сложнее найти
Возможность отслеживать поведение пользователей и приложений требуется больше, чем в прошлом. Хотя вредоносное ПО всегда было замаскировано под законные приложения, его сейчас сложно найти, по словам Джека Голда, главного аналитика J. Gold Associates, мобильной исследовательской фирмы. То, как вы устанавливаете то, что является аномальным поведением, — трудная часть.
«Раньше вы могли делать сканирование двоичных файлов и находить шаблоны, которые не соответствовали тому, что они должны были делать, и обнаруживать его. Теперь вредоносное ПО часто бывает гораздо более тонким и сложнее найти с помощью сканирования», — сказал Голд. «Вам нужно найти поведение приложения».
Например, разработчики могут создавать поддельные приложения, которые представляют собой законные, например, из Amazon, которые будут перенаправлять конечного пользователя на сайт, который затем может украсть конфиденциальные данные, которые они вводят при попытке совершить покупку.
«Как вы могли найти это с помощью простого сканирования?» Золото сказал.
Другим примером являются фишинг-атаки, которые также нельзя обнаружить с помощью сканирования.
«Таким образом, поведение, как приложения, так и человека, является ключом к поиску плохих вещей, и [машинное обучение и искусственный интеллект] довольно хороши в этом обнаружении, если они прошли надлежащую подготовку», — сказал Голд.
Но это перетягивание каната, добавлено золото, поскольку разработчики вредоносных программ и вредоносных программ продолжают улучшаться.
«Нет 100% -ного решения», — сказал он, добавив, что предприятия, надеющиеся сорвать мобильные угрозы, нуждаются в нескольких уровнях защиты.
Поставщики MTD и рекомендации
Среди ведущих в отрасли поставщиков решений MTD — SandBlast Mobile от CheckPoint, мобильная защита конечных точек Lookout, мобильная защита Proofpoint, мобильная защита от угроз Pradeo, защита конечных точек Symantec Mobile, защита от угроз Wandera и защита zIPS Protection Zimperium.
Gartner рекомендует несколько шагов для принятия решений MTD:
- Внедрите решения MTD постепенно, в зависимости от отрасли, применимых правил, чувствительности данных о мобильных устройствах, конкретных случаях использования и организационных рисках аппетита. Принудительное соблюдение политики не будет достаточно неопределенным, как вмешательство безопасности.
- Примите MTD раньше в вертикальных точках высокой безопасности, с большими флотами устройств Android или в регулируемых вертикалях, таких как финансы и здравоохранение.
- Интегрируйте MTD с инструментами управления мобильностью предприятия (EMM). Параметры проксирования сетевого трафика следует выбирать только в том случае, если приведение собственного устройства (BYOD) не является фактором и применяется строгое управление устройствами.
Многие из продуктов MTD совместимы с некоторыми или всеми решениями EMM и MAM, включая AirWatch, Blackberry, Microsoft, MobileIron, IBM и SOTI.
Решения MTD должны не только обнаруживать аномальное поведение, отслеживая ожидаемые или приемлемые поведенческие шаблоны, но также должны иметь возможность проверять мобильные устройства на наличие слабых мест в конфигурации, которые могут открыть двери для вредоносного ПО.
Программное обеспечение должно иметь возможность отслеживать сетевой трафик, отключать подозрительные соединения, а также сканировать приложения, чтобы идентифицировать те, которые могут угрожать корпоративным данным.
Одно разочарование, которое некоторые предприятия озвучивали с помощью программного обеспечения для мобильной безопасности на основе машинного обучения, являются ложными срабатываниями или законными приложениями или поведением пользователей, которые помечаются как угрозы, когда они не являются.
«Это проблема со всем обнаружением вредоносных программ, а не только с мобильных устройств. Я загрузил приложения, которые, как я знал, были хороши, но программное обеспечение Symantec появится и скажет, что они плохие», — сказал Голд.
Тем не менее, MTD не зависит от машинного обучения, отметил Цумерел. Есть много простых вещей, которые может сделать MTD-вариант, который может оказаться более ощутимым и полезным для предприятия сразу.
«Например, панель мониторинга, которая может просто отмечать неперезагруженные устройства и заказывать их в порядке риска», — сказал Цюмерле. «Или политика, в которой организация может занести в черный список все приложения, которые, скажем, отправляют список контактов третьим лицам за пределами страны своего пользователя.
«В двух словах, решения MTD должны быть универсальными решениями для мобильной безопасности для предприятий».
