Column: Mobiele dreiging valt niet te bagatelliseren
"Mobiele malware neemt wereldwijd aanzienlijk toe, maar tot op heden zijn grootschalige besmettingen in Nederland nog niet vastgesteld", zo meldde het Nationaal Cyber Security Centrum (NCSC) vorig jaar in zijn Cybersecuritybeeld Nederland. Een vergelijkbaar geluid dook in april van dit jaar ook op in het 2015 Data Breach Investigations Report van Verizon. Het aantal kwetsbaarheden in de beveiliging van mobiele platforms waar cybercriminelen misbruik van maken, zou verwaarloosbaar zijn. In een begeleidend persbericht werd de berichtgeving over mobiele dreigingen zelfs als 'grotendeels overdreven' afgedaan.
Feitelijk gezien hebben het NCSC en Verizon misschien gelijk; grootschalige infecties door mobiele malware zijn inderdaad nog zeldzaam. En toch vind ik het zogenaamd geruststellende signaal dat het allemaal (nog) wel meevalt met de mobiele dreiging, zoals afgegeven door bijvoorbeeld het NCSC en Verizon, ronduit gevaarlijk. Wie de mobiele dreiging nu niet serieus neemt, en geen aanvullende beveiligingsmaatregelen neemt, zal in de toekomst gericht worden aangevallen via zijn smartphone, tablet of ander mobiel apparaat. Ook dat is voor mij een feit.
Opmars mobiele malware
Mobiele platformen worden voor hackers een steeds aantrekkelijker doelwit nu het (zakelijk) gebruik van smartphones en tablets toeneemt, evenals het aantal kwetsbaarheden dat wordt aangetroffen in mobiele besturingssystemen. Met name Google's Android is geregeld de klos. Zo waarschuwde beveiligingsbedrijf Zimperium eind juli nog voor een lek dat hackers in staat stelt om een Android-smartphone geheel over te nemen. Slechts enkele dagen later maakte Trend Micro melding van een nieuw lek dat kan worden misbruikt om van een Android-smartphone of -tablet een 'kasplantje' te maken.
Het gevolg is dat mobiele malware aan een stevige opmars bezig is. Alleen al in het tweede kwartaal van dit jaar doken er volgens onderzoek van Kaspersky Lab ruim 290.000 nieuwe mobiele malwareprogramma's op. Dit is bijna drie keer zoveel als in het eerste kwartaal van dit jaar. Ondertussen constateer ik nog dagelijks dat bijna al het securitybudget wordt besteed aan het versterken van de randen van het netwerk, en dat smartphones en tablets vrijwel onbeveiligd over de organisatie worden 'uitgestrooid' en op die manier de zwakke schakel in de beveiliging vormen.
Mobiel veiliger in vier stappen
Om te voorkomen dat je als organisatie wordt aangevallen via de mobiele platformen die in gebruik zijn, is het naar mijn mening absoluut noodzakelijk om ook mobiele apparaten integraal mee te nemen in de beveiliging. Maar hoe beveiligen we al die mobiele apparaten? Vanuit het oogpunt van performance wordt niemand gelukkig van een antiviruspakket op zijn smartphone of tablet. Met een Mobile Device Management-oplossing het apparaat van de gebruiker volledig onder controle nemen, is volgens mij ook niet de oplossing om diezelfde gebruiker mee te krijgen. Een oplossing die wel kan rekenen op de instemming van de gebruikers, kan naar mijn mening worden gecreeerd door in ieder geval onderstaande vier stappen op te volgen:
Stap 1. Zorg voor een 'container' op de mobiele apparaten waarin zakelijke data volledig versleuteld en gescheiden van de persoonlijke data worden opgeslagen.
Stap 2. Zorg ervoor dat mobiele apparaten altijd via een beveiligde (VPN)-verbinding het internet op gaan, waar het verkeer inline wordt gescand op malafide inhoud.
Stap 3. Zorg voor slimme technologie om mobiele apparaten vrij te houden van apps met malware.
Stap 4. Zorg ervoor dat documenten al bij de creatie een 'automatische beveiliging' meekrijgen waardoor alleen geautoriseerde gebruikers toegang hebben tot beveiligde documenten op al hun apparaten en waarmee bijvoorbeeld printen, kopiëren of delen met andere personen is te blokkeren.
Deze vier stappen zorgen ervoor dat de data zo veilig mogelijk zijn. Het 'managen' van het apparaat zelf is dan minder belangrijk, zelfs als het om een Android-apparaat gaat.
Bart Verhaar is werkzaam als Pre-Sales Consultant Netwerkwerkbeveiliging en Gebruikersbeveiliging bij Motiv.
Deze column is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Stap 2 lijkt me ook niet echt haalbaar. Iedereen, altijd, overal via een (bedrijfs) netwerk laten gaan dat volledig op inhoud gescand wordt? Met decryptie van alle versleutelde verkeer dan toch, anders heeft het geen zin...!
Stap 3 en 4 zijn idd zinvol.
Je vergeet er bij te vertellen dat de meeste malware afkomstig is van niet-Google stores.
Verklaar dit dan eens?
http://www.techrepublic.com/blog/google-in-the-enterprise/malware-in-the-google-play-store-enemy-inside-the-gates/
http://www.pcworld.com/article/2099421/report-malwareinfected-android-apps-spike-in-the-google-play-store.html
http://blogs.wsj.com/personal-technology/2015/02/04/android-malware-removed-from-google-play-store-after-millions-of-downloads/
Met andere woorden, je weet bij god niet waar je het over hebt.
https://static.googleusercontent.com/media/source.android.com/en/us/devices/tech/security/reports/Google_Android_Security_2014_Report_Final.pdf
"Ongoing monitoring by Verify Apps found that efforts to deliver Potentially Harmful Applications (PHAs) continued
Google’s security services for at low levels throughout 2014, less than 1% of all Android increased protection
devices had a PHA installed. Fewer than 0.15% of for users and improved devices that download only from Google Play had a PHA installed."
en dan al die lekken die worden genoemd, blijft allemaal theorie.
"Exploitation attempts were tracked for multiple vulnerabilities, and the data does not show any evidence of widespread exploitation of Android devices."
en als afsluiter
"Google Play reviews all applications for potential security issues prior to making them available to users. No review process is perfect, and with over 1 million applications in Google Play, there are a small number of Potentially Harmful Applications that do still manage to be published in Google Play."
Oftewel een beetje opletten goes a long way. En ja, ik heb meer vertrouwen in google dan in hijgerige av-boeren attentiezoekende companies die hun waar moeten slijten.
Dat is BES12 van BlackBerry.
Stap 1: BlackBerry Balance (onderdeel van BES12)
Stap 2: BES12 kan dit volgens mij ook
Stap 3: Beheer over toegestane apps op de telefoons
Stap 4: WatchDox, recent overgenomen door BlackBerry
.
Het is een gangbare vraag met byod. http://blog.iusmentis.com/2013/09/11/mag-een-werkgever-verloren-of-gestolen-byod-apparaten-op-afstand-wissen/ - http://cio.nl/beveiliging/83268-virtuele-containers-maken-byod-veilig
Knox en meer is ook beschikbaar op android http://www.infoworld.com/article/2889074/mobile-device-management/android-for-work-brings-container-security-to-google-play-apps.html
De essentie wordt weer eens over het hoofd gezien. Het is niet zo zeer het besturingssysteem of platform dat hier de oorzaak is maar de belabberde, ongecontroleerde en controleerbare applicaties die het ongemeen zeer (gaan) zijn van de mensen.
Connecteer onderling maar op je smartdevice, wissel maximaal gegevens uit en vooral, stuur mijn gegevens door als ik via NFC in de winkel betaal en wat ik gekocht heb.
Ben het dus ook met enkelen eens dat wellicht een container-oplossing de enige veilige weg is om data veilig(er) te stellen als het om bedrijfsdata gaat.
Het is héél jammer, en een kans gemist dat grote bedrijven zoals Microsoft, Google én ja ook Apple applicaties toelaten in hun "store" dat zich niets aantrekt van privacy en veiligheid van zijn gebruikers. Bij Microsoft en Apple is het eigenlijk nog erger, bij hen betaal je ook nog eens voor hun telefoon, dan verwacht je ook wat terug. We hebben nog niet veel geleerd van Edward Snowden. Jammer, hij waarschuwde voor de overheidsdiensten die massaal met privacy spelen, vergeet echter niet dat juist cybercriminelen dit een zéér lucratief platform vinden. Stelen en niet gezien worden.
https://www.ncsc.nl/actueel/whitepapers/beveiligingsrichtlijnen-voor-mobiele-apparaten.html
Stap 1 lijkt me nog het zinnigst: als je mensen een business phone geeft, gebruik dan sandbox oplossing zoals XenMobile waarbij de telefoon gewoon de telefoon blijft, maar alles van business data in een beveiligde "kluis" zit. Zo kan de gebruiker rotzooien wat ie wil met z'n smartphone, alles wat met de business te maken heeft zit safe.
Op de laatste versie is het standaard mogelijk om onderscheid te maken tussen werk en prive. In (iets) oudere versies is dat mogelijk met een app. Waarbij je baas zelf een eigen store op kan zetten of kan bepalen welke apps je wel of niet uit de Play Store mag installeren.
Het bijkomend voordeel is dat als je baas je telefoon wist, hij alleen het werk-deel kan wissen. Prive doe je dat via je account.
Veel bedrijven weten niet hoe een dergelijke server goed op te zetten en beheren. Dat levert alleen een vals gevoel van beveiliging op. Dat is nog erger.
Je vergeet er bij te vertellen dat de meeste malware afkomstig is van niet-Google stores.
Ja. Stap 0 is alleen software gebruiken uit officiele Stores. Zelfs als ik de leverancier van de apk vertrouw, installeer ik de software niet.
Peter
Volgens mij (schiet maar af) is veel te achtehalen als via wifi gaat en VPN is hier een goede optie maar ook niet waterdicht volgens mij.
Ook denk ik dat mensen laks zijn omdat er heel veel geroepen word over dat er malware en hackers uit zijn op je data op je devices maar totdat het of bij jou of iemand close to you gebeurt zal het voor velen een ver van mijn bed show zijn.
Wat een begin zou zijn is makkelijke apparaten (KEEZEL?) die het niet meer nodig maken om op openbare wifi netwerken te komen.
Een gepasseerd station is inderdaad dat men vanaf het begin de apps op alle platformen had moeten scannen op malware en andere ongewenste zaken. de niet officiele appstores tja dat blijf je houden en blijft een risico maar .........
Is het niet mogelijk dat men begint met (ook bestaande) apps te testen? te beginnen met basis apps zoals whatsapp, youtube ect ect en deze van een keurmerk oid te voorzien (als het al bestaat hoor ik het graag en nee niet de blackphone)?
Denkt de maker dat hij voldoet kan hij hem aandragen voor keuring.
Nu weet ik dat de azijpissers gelijk gaan roepen dat dit moeilijk is en niet mogelijk en dat de appstore dit zelf moet doen blablalbla.
Als er zoveel onofficiële appstores zijn is het dan zo moeilijk om er nog 1 te beginnen met een groep experts tenslotte gaat het ons allemaal aan en zal het ons vroeg of laat ook allemaal raken.
MAAR WE/ZE MOETEN TOCH ERGENS EEN X GAAN BEGINNEN VOORDAT HET TE ...............................
Stap 2 lijkt me ook niet echt haalbaar. Iedereen, altijd, overal via een (bedrijfs) netwerk laten gaan dat volledig op inhoud gescand wordt? Met decryptie van alle versleutelde verkeer dan toch, anders heeft het geen zin...!
Stap 3 en 4 zijn idd zinvol.
Je vergeet er bij te vertellen dat de meeste malware afkomstig is van niet-Google stores.
Ben ik niet helemaal met je eens.
Stap 1 Is ook toepasbaar op Android, door bijvoorbeeld gebruik te maken van een mdm oplossing als Mobileiron.
Hier wordt zowel data-at-rest als data-in-transit beveiligd dmv encryptie en certificate authentication. Hier kun je dus ook Apps beveiligen die het zelf niet ondersteunen, maar meestal alleen haalbaar voor de zakelijke omgeving. Een nirmale gebruiker zal niet snel over een mdm oplossing beschikken.
Daarom wil je deze beveiliging eigenlijk al in je App hebben staan, zodat jij als gebruiker er zelf niet over hoeft na te denken. Ook daar heeft Android verschillende mogelijkheden ( https://developer.android.com/training/articles/security-tips.html)
Definitie van: 'WHITE PAPER':
Een witboek of white paper is een document dat beschrijft hoe overheidsbeleid, een technologie, en/of product een specifiek probleem oplost. Witboeken worden gebruikt om de lezer van objectieve relevante informatie te voorzien die wordt gebruikt voor het nemen van een beslissing. Witboeken worden zowel in de politiek als in het bedrijfsleven gebruikt."
In het Gemenebest en in het Verenigd Koninkrijk is het een (in)officieel overheidsdocument. Het wordt ook wel ‘command paper’ genoemd. Witboeken gepubliceerd door de Europese Commissie zijn documenten van de Europese Unie waarin specifieke acties worden voorgesteld. Soms worden deze voorafgegaan door een groenboek (green paper) met als doel om de discussie over het onderwerp te bevorderen.
Witboeken, wanneer deze objectief geschreven zijn, worden vaak beschouwd als een betrouwbare bron van informatie. Oorspronkelijk was een witboek echter een overheidsdocument (met oorspronkelijk een witte omslag) waarin het eigen beleid rond politieke vraagstukken (met name op het gebied van buitenlandse zaken) juist vaak werd gerechtvaardigd. Dergelijke diplomatieke aktes hebben niet altijd een witte omslag; in het Verenigd Koninkrijk zijn ze blauw, in Italië groen, in Frankrijk geel, in Duitsland wit, in de Verenigde Staten en Oostenrijk rood, in Japan grijs en in Rusland waren ze tot 1917 oranje. [Bron: Wikipedia].
De keuzes die je hierin kunt maken verschillen wellicht van bedrijf tot bedrijf, maar er valt in het algemeen zeker wel iets te zeggen over de mogelijke risico's van gebruik van smartphones (of beter gezegd mobiele platformen). De malware uit het voorbeeld (in feite een denial of service) is daar slechts één van, maar waarschijnlijk is dataverlies (al dan niet voortkomend uit malware) in de praktijk een veel groter probleem met potentieel ook veel grotere gevolgen.
Als je nog eens goed nadenkt over wat een smartphone eigenlijk is, dan kun je concluderen dat een smartphone eigenlijk niet anders is dan een laptop op kantoor (welke ook onderweg gebruikt wordt). Naar mijn idee hebben smartphones, zeker wanneer die in de praktijk dezelfde toegang kunnen hebben tot dezelfde gevoelige bedrijfsgegevens, dan ook hetzelfde risicoprofiel als reguliere clients en zou je deze dus op een vergelijkbare manier moeten beveiligen.
De grootste risico's kun je beheersen door te allen tijden inzicht te hebben op de OS versie van de telefoons in kwestie (ivm security patches) en de security configuratie. Het kunnen afdwingen van OS updates en forceren van veilige instellingen vinden we onder Windows de normaalste zaak van de wereld; die lijn moet je gewoon één op één doortrekken naar mobiele devices.
Het verwondert mij dan ook dat een tool als MDM aan de kant wordt geschoven met het argument dat het niet de oplossing is "om diezelfde gebruiker mee te krijgen", terwijl andere (meer geavanceerdere en dus kostbare) technieken naar voren worden gebracht als zijnde de oplossing. Zolang ik veel bedrijven zie die niet eens aan MDM beginnen, dus in feite niet eens in control zijn over hun eigen apparaten die wel toegang hebben tot bedrijfsdata, hoe realistisch is het dan om bijvoorbeeld packet inspection op VPN tunnels aan te zetten (als de gebruiker de VPN configuratie gewoon uit kan zetten en zo kan omzeilen).
Dergelijke oplossingen zijn tegenwoordig zelfs bereikbaar voor kleine organisaties zonder grote initiële investering vooraf. Denk bijvoorbeeld aan de ingebouwde MDM in een G Suite of Office 365 omgeving, of andere partijen die dergelijke diensten aanbieden voor een vast bedrag per maand per device.
Een ander ding om rekening mee te houden is het gekozen platform. Ik ben om allerlei redenen meer fan van Android, maar als het gaat om beveiligingsfeatures van het OS en eigenlijk de totale hardware/software life cycle dan steekt Apple daar met kop en schouders bovenuit. Ja, zo'n iPhone kost initieel wat meer centjes, maar als je bedenkt dat een iPhone 5 nu vier jaar na de eerste release nog steeds het nieuwste iOS 10 kan draaien, kun je stellen dat het zeker geen 'wegwerp' toestellen zijn. Vanuit een oogpunt van bedrijfseconomie en -continuïteit een erg prettig gegeven.
Zetten we daar bijvoorbeeld de 'pure' Nexus toestellen (met in theorie en in de praktijk de langste support) tegenover, met als voorbeeld de LG Nexus 5 (geïntroduceerd grofweg een jaar na de iPhone 5) krijgt al een jaar geen gegarandeerde updates meer en draait het niet de allerlaatste versie van Android. Wellicht dat dit gaat veranderen met de Google Pixel die onlangs is gereleased, maar daarmee hebben ze het prijsvoordeel ten opzichte van een iPhone weer helemaal teniet gedaan.
Kortom: Koop een iPhone, en dwing door middel van een MDM tool een aantal basale beveiligingsinstellingen af. Het meest eenvoudig kan dat met de Apple Configurator, maar bij voorkeur gebruik je een MDM tool om ook na uitgifte van het toestel de status te kunnen controleren en zo nodig verdere instellingen af te dwingen of te pushen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
