Con il crescere dell’utilizzo dei device mobili in azienda, si moltiplicano i tentativi di sfruttarli per rubare dati e segreti industriali: nel solo 2017 sono state scoperte più di 1.200 vulnerabilità sui sistemi operativi iOS e Android (fonte: CVE.Mitre.org) e più della metà si collocano a un livello medio alto di gravità. E il fenomeno riguarda anche l’Italia: verso la fine dell’anno scorso è stato individuato un malware Android, chiamato SkyGoFree, utilizzato solo per attacchi mirati in Italia e capace, per esempio, di attivare il microfono e registrare l’audio quando la vittima si trova in una certa posizione.
L’attacco largamente più utilizzato in ogni caso resta il Man-In-The-Middle: i device mobili infatti trasmettono in broadcast il nome dell’ultima rete WiFi conosciuta e con un dispositivo come Pineapple è quindi possibile creare con un solo clic decine di reti WiFi al solo scopo di far connettere automaticamente tutti i device mobili in range, per esempio nel bar sotto all’azienda target. Questo consente di avviare un attacco Man-In-The-Middle senza che l’utente noti nulla di strano e di indurlo, nel caso a scaricare un’app che poi, sfruttando una vulnerabilità, viene eseguita e consente all’attaccante di accedere a tutti i file e anche alle password salvate. I dati esposti non sono quindi più solo quelli presenti sul device perché il device può fornire password personali e anche fare da ponte verso reti interne all’azienda.
La soluzione MobileIron Threat Defense, che ha vinto il premio per il settore bancario ai Digital360 Awards 2018, ed è arrivata finalista nella Categoria tecnologica Soluzioni infrastrutturali, integra un motore basato su algoritmi di machine learning, sviluppato in collaborazione con Zimperium e in grado di monitorare migliaia di parametri del sistema operativo per rilevare attività anomala. Questo consente quindi di identificare e bloccare anche attacchi ZeroDay.
Da un punto di vista architetturale è necessario utilizzare la suite di EMM-Enterprise Mobility Management di MobileIron che può essere sia on premise che in cloud (i sistemi operativi mobili non consentono a un’app, come per esempio un’app antimalware, di effettuare direttamente un’azione di remediation sul dispositivo) la remediation infatti è sempre realizzata dalla componente MDM-Mobile Device Management/EMM.
L’implementazione è molto semplice: una volta creata un’istanza di gestione di Zimperium si tratta solo di effettuare alcune configurazioni per rendere la soluzione immediatamente efficace sui dispositivi già in uso, senza bisogno di distribuire e attivare un’altra app (come accade invece con soluzioni non integrate con l’EMM). L’utente può dunque estendere, come accaduto con una grande organizzazione cliente di MobileIron, il concetto di protezione dell’endpoint, già da tanti anni applicato al mondo dei PC, anche ai device mobili con una soluzione che tiene conto della specificità dei sistemi operativi iOS e Android.
Il fatto di avere una soluzione integrata, dove il client MDM/EMM ha al suo interno anche la componente antimalware ha quindi l’evidente vantaggio di agire in tempi molto rapidi (“machine speed”) e di non aver bisogno di connettività: nell’ipotesi quindi che il malware prenda il controllo del dispositivo e blocchi il traffico entrante dal server MDM/EMM, MobileIron Threat Defense effettua immediatamente azioni di remediation (per esempio, la cancellazione dei dati aziendali e la quarantena del dispositivo).
