SEGURANDO OS DISPOSITIVOS MÓVEIS DE TRABALHADORES REMOTOS
INTRODUÇÃO
Para suavizar a atividade de sua força de trabalho, as empresas estão cada vez mais emitindo dispositivos de propriedade corporativa ou permitindo o uso de BYOD, multiplicando os pontos de acesso aos dados corporativos.
Se algumas empresas estão acostumadas com essa forma de trabalhar e implementaram todos os portões de segurança para proteger os dados além do perímetro da empresa, outras estão buscando orientação sobre as melhores práticas para proteger um contexto de segurança tão versátil.
Você encontrará neste white paper números e tendências sobre os usos atuais dos trabalhadores móveis, as ameaças que os cercam, seguidos de algumas práticas recomendadas e os riscos de segurança relacionados à combinação de usos profissionais e pessoais decorrentes da mobilidade.
USOS DE TRABALHADORES MÓVEIS, CENÁRIO DE AMEAÇAS E EXPECTATIVAS
Usos de trabalhadores móveis
Sendo a agregação de todas as ferramentas de trabalho e muitas vezes pessoais de uma só vez, o dispositivo móvel tornou-se o meio privilegiado dos trabalhadores. Para fazer ligações, consultar e-mails, acessar recursos corporativos, mas também manter contato com parentes ou simplesmente fazer uma pausa… nosso dispositivo móvel é parte integrante de nossa vida diária. A democratização do BYOD e do trabalho remoto amplia o espectro de usos móveis e constitui um desafio de segurança que as empresas precisam enfrentar.
Agora, o mobile representa: 89% dos trabalhadores, 80% das tarefas corporativas e 77% do tráfego digital.
Ambiente de ameaça de trabalhadores móveis
Tablets e smartphones vieram com o modelo de aplicativo onde há um aplicativo para cada necessidade, sempre uma rede para se conectar… Os dispositivos móveis se transformam no perfeito canivete suíço escondendo ao longo do caminho atividades subterrâneas que poderiam ocorrer.
Sendo fáceis de desenvolver, maximizando o alcance e tendo acesso direto aos dados, os aplicativos representam, sem surpresa, o principal vetor de ameaças. Além de malwares, roubo e vazamento de dados são o principal flagelo. A dark web está repleta de corretores de dados que monetizam os dados dos usuários ativos por US$ 4.000/mês o milhão. |
Por outro lado, as explorações do sistema operacional costumam ser conduzidas aproveitando o sistema operacional desatualizado ou dispositivos com root e jaibroken.
O phishing é o ataque de rede mais perpetrado e ainda prende milhões de usuários.
32% das violações de dados
|
Precisa ser equilibradoO ambiente móvel está repleto de ameaças a serem frustradas à luz das expectativas corporativas e dos funcionários de preservar a agilidade dos negócios. Além disso, a disseminação de configurações híbridas, como BYOD e separação trabalho/vida, impedem uma abordagem unilateral. |
|
• Proteção de dados da empresa • Manter a produtividade dos funcionários móveis • Implementação de uma solução de segurança customizada • Conformidade com os regulamentos |
• Fácil acesso a dados corporativos • Política de Privacidade • Sem impacto no uso pessoal • Bloqueio de acesso a recursos corporativos em caso de ameaças |
Marco legal de proteção de dados
Os dispositivos móveis estão processando e hospedando dados e, como resultado, estão dentro do escopo da estrutura legal de proteção de dados. Dependendo de sua indústria e da sensibilidade dos dados manipulados, as empresas estão sujeitas a mais ou menos regulamentações.
QUADRO DE SEGURANÇA DE TRABALHADORES MÓVEIS
Práticas recomendadas individuais
As ameaças móveis atuam em 3 camadas diferentes, começando com aplicativos, rede e dispositivo. Algumas regras simples podem ser seguidas no nível individual para reduzir a superfície de ataque.
APLICATIVOS
Os aplicativos são a mídia privilegiada para os cibercriminosos executarem ataques devido ao seu alcance e facilidade de implantação. Portanto, os colaboradores devem prestar mais atenção aos aplicativos que estão hospedados em seus dispositivos.
Aqui estão os princípios fundamentais a serem aplicados individualmente:
1. Banir o download de aplicativos de lojas de terceiros. Malwares, mas não apenas, vêm principalmente de lojas não oficiais.
2. Cuidado com as permissões solicitadas. Os usuários podem conceder permissões descuidadamente aos aplicativos. No entanto, acontece com mais frequência do que eles imaginam, que as permissões não são todas necessárias para o bom funcionamento do aplicativo, mas solicitadas para coletar e vender dados principalmente para empresas de marketing. Ao usar um dispositivo móvel para fins corporativos, os usuários devem ser cuidadosos com as permissões dos aplicativos para evitar o vazamento de dados (lista de contatos, SMS, registros de chamadas…).
3. Atualize rigorosamente os aplicativos. Aplicativos maliciosos ainda podem ser baixados das lojas, apesar das medidas de segurança implementadas pelo Google e pela Apple e geralmente são removidos assim que são detectados. Ao habilitar a atualização automática de aplicativos nas configurações da loja, os aplicativos obsoletos serão excluídos e o usuário se beneficiará de novos lançamentos imediatamente.
REDE
Ao trabalhar em casa ou em viagem, a conexão com a rede é fundamental para executar as atividades: recuperação e envio de e-mails, acesso a recursos corporativos (arquivos, contratos…) e aplicativos (intranet, CRM, mensagens…).
Geralmente envolve confiar em uma conexão de rede diferente da celular. Aqui também estão alguns princípios fundamentais que devem ser seguidos:
1. Use uma rede WiFi privada conhecida. Para evitar qualquer interceptação de transações, os colaboradores precisam se conectar a uma rede WiFi confiável e evitar qualquer conexão pública próxima que facilite ataques Man-In-The-Middle.
2. Não ajuste a conexão. Qualquer que seja a capacidade de largura de banda, nunca é suficiente e os usuários podem ficar tentados a tentar melhorar o desempenho de sua rede baixando, por exemplo, um aplicativo obscuro.
OS
O dispositivo em si representa um alvo para hackers que procuram brechas para assumir o controle do sistema. Ações básicas podem ser tomadas para fortalecer o OS:
1. Não faça root ou faça o jailbreak do dispositivo. Recursos extras desbloqueados ao fazer o jailbreak ou fazer o root de um dispositivo são aproveitados por cibercriminosos ao perpetrar um ataque. Assim, 75,1% dos aplicativos estão verificando esse status para executar comandos avançados.
2. Mantenha o OS atualizado. As atualizações devem ser aplicadas estritamente, pois geralmente incorporam um patch de segurança que corrige vulnerabilidades conhecidas.
Os limites do trabalho e dos perfis pessoais
O advento do Android Enterprise destaca a separação entre trabalho e vida pessoal por meio da conteinerização de um perfil ou outro. O objetivo principal do Android Enterprise era fornecer um conjunto comum de APIs de gerenciamento de dispositivos para garantir uma experiência consistente nas soluções de Unified Endpoint Management (UEM).
Tornando-se obrigatório com o Android 10, qualquer dispositivo a ser gerenciado por um UEM deve estar habilitado com um dos 4 modos de configuração.
Tanto no modo COPE (Corporate Owned Personally Enabled) quanto no modo BYOD, a separação consiste em isolar arquivos de trabalho/vida, aplicativos e recursos (mensagens, contatos, registros de chamadas…). Há opiniões opostas em relação a qual perfil domina o dispositivo e coloca a outra parte em uma subárea.
As configurações COBO (Corporate Owned Business Only) e COSU (Corporate Owned / Single Use) retratam um dispositivo totalmente gerenciado pela empresa e estritamente voltado para o trabalho. Os dispositivos gerenciados por quiosque são totalmente bloqueados para permitir apenas um uso direcionado.
Com esses quatro tipos específicos de configuração, as organizações ficam livres para ter mais ou menos controle sobre o dispositivo do usuário. Com um cenário de BYOD cada vez maior, as empresas podem decidir permitir que os funcionários trabalhem em seus dispositivos pessoais, mantendo o controle sobre o ambiente de trabalho.
APOSTAS DE SEGURANÇA
A capacidade de conteinerização, já disponível em UEMs há algum tempo, simplifica e unifica o gerenciamento do Android, mas não adiciona uma peça de segurança estruturante. A configuração de uma separação entre trabalho e vida pessoal deve ser considerada apenas como uma medida de privacidade de dados e não cair na armadilha de vê-la como um portão de segurança.
Aplicativos corporativos Comportamentos inesperados ou vulnerabilidades de aplicativos públicos e privados distribuídos |
Aplicativos de usuário final Malwares ou aplicativos com vazamento ou intrusivos para comprometer a segurança dos dados corporativos |
|
Rede Phishing, man-in-the-middle, conexões inseguras,… |
Dispositivo Exploração de vulnerabilidade, controle do sistema, sistema desatualizado… |
Os dados corporativos continuam expostos, seja qual for o modo de configuração escolhido, a ameaças ambientais provenientes de aplicativos, comunicações de rede e configuração do dispositivo como qualquer outro dispositivo (Android ou iOS). Os critérios de rede e dispositivo se aplicam a todo o dispositivo e uma ameaça Man-In-The-Middle ou uma exploração de root/jailbreak prejudicará o perfil de trabalho da mesma maneira.
Olhando para os aplicativos, se for necessário validar o nível de segurança dos aplicativos antes de sua distribuição para a área de trabalho, a avaliação dos aplicativos no dispositivo não deve ser esquecida. Ao baixar um aplicativo da loja no perfil profissional ou pessoal, os dados corporativos são expostos a malware (screenlogger, keylogger…) e aplicativos intrusivos ou com vazamento (contatos…) que podem atingir de um perfil para outro.
Em suma, é necessário adotar uma postura de segurança adequada para proteger os dispositivos móveis Android Enterprise/contêiner como qualquer outro dispositivo.
Medidas de segurança adaptadas para trabalhadores móveis
Se as práticas mencionadas anteriormente ajudam a limitar ataques e reforçar a privacidade, os dispositivos móveis de trabalhadores remotos ainda estão expostos a ameaças e colocam em risco os dados corporativos. Uma solução dedicada deve ser implementada para fechar a lacuna e garantir a proteção completa da força de trabalho móvel.
O ecossistema de segurança móvel não é exceção e há muitas soluções que afirmam proteger adequadamente os dispositivos móveis. Abaixo estão destacadas as principais propriedades a serem procuradas ao configurar a segurança móvel.
PRECISO
Uma implementação bem-sucedida da segurança móvel requer um equilíbrio sutil entre as medidas de proteção e a liberdade de uso dos usuários. Uma restrição só pode ser aceita desde que seja adequada e medida.
Assim, a precisão da detecção de ameaças e a granularidade da resposta de segurança são os dois pilares para fornecer uma postura de segurança móvel eficiente. Os falsos positivos arruinariam a confiança da equipe de segurança e dos usuários finais na solução e, por extensão, na estratégia de segurança.
TEMPO REAL
A vivacidade do contexto móvel exige agir em tempo real por meio de um agente móvel de defesa contra ameaças. Tomando a forma de um aplicativo móvel, ele detecta e corrige ameaças dinamicamente em tempo real. Uma proteção completa deve lidar com os três vetores de ataques sendo aplicativos, rede e dispositivo e oferecer contramedidas adaptadas.
SOB MEDIDA
Os trabalhadores móveis apresentam diversas configurações (Traga Seu Próprio Dispositivo, trabalho remoto, nomadismo) e possuem diferentes funções na empresa. A solução deve ser altamente personalizável para definir políticas de segurança adaptadas ao perfil dos usuários. A sensibilidade de detecção de ameaças deve ser ajustada de acordo com a função dos usuários e a exposição à ameaça. Por outro lado, a resposta de segurança dependerá do contexto móvel. Medidas de segurança intrusivas não podem ser tomadas em um dispositivo pessoal e as ameaças devem ser mitigadas bloqueando o acesso aos recursos corporativos.
SEM ESFORÇO
Os trabalhadores estão precisando de uma solução fácil de implantar e livre de encargos para adotar a estratégia de segurança móvel da empresa. A proteção contra ameaças móveis geralmente fornece agentes pré-configurados para implantação 0-touch para facilitar a adoção. Quando o dispositivo é configurado com um ambiente duplo para atividades profissionais e pessoais, a solução precisa ser implantada em ambos os perfis para garantir uma proteção total. A capacidade da solução de gerenciar o ambiente e oferecer uma resposta de segurança adaptada em relação a cada um é fundamental.
GERENCIADO OU NÃO GERENCIADO
Por último, mas não menos importante, existem dois tipos de trabalhadores móveis. Os gerenciados referem-se a dispositivos móveis que são administrados pela empresa e cadastrados em uma plataforma Unified Endpoint Management. Geralmente são COPE, COBO ou COSU e, em menor grau, BYOD (cf. capítulo acima).
Em princípio, os dispositivos geridos estão em conformidade com a política de segurança da empresa através da aplicação de medidas de segurança e restrição de usos se necessário (bloqueio de aplicações, redes…).
Os dispositivos não gerenciados representam colaboradores ou parceiros externos, bem como a maioria dos usuários de BYOD. Eles devem acessar os recursos corporativos para cumprir suas funções, mas não devem ser restritos em seus usos. A resposta de segurança deve ser ajustada e consistirá em alertar o usuário e impedir o acesso aos recursos corporativos até que a ameaça detectada seja remediada. Dispositivos não gerenciados exigem uma solução de segurança móvel personalizada para combinar segurança e flexibilidade dos usuários.
SOBRE O PRADEO
Pradeo é líder global de segurança móvel. Fornece serviços móveis de inteligência contra ameaças, bem como soluções para proteger os dados manipulados por meio de smartphones, tablets e aplicativos móveis.
A Pradeo desenvolveu o Pradeo Security, uma tecnologia de segurança móvel patenteada que usa Inteligência Artificial e aprendizado de máquina para detectar e afastar automaticamente ameaças móveis conhecidas, desconhecidas e avançadas, incluindo dias zero. Ele fornece uma detecção confiável de ameaças móveis para evitar vazamento de dados e reforçar a conformidade com os regulamentos de privacidade de dados.
O Pradeo Security oferece uma proteção completa e automática dos dados manipulados por dispositivos e aplicativos móveis, alinhados à política de segurança das organizações, preservando a agilidade dos negócios.
“A Pradeo continua a elevar o nível da segurança móvel. Ao fornecer produtos de alta qualidade que são fáceis de implantar, automatizados, altamente precisos, fáceis de usar e em conformidade com as leis de proteção de dados, a empresa emergiu como líder de mercado. Com seu forte desempenho geral, o Pradeo ganhou o Prêmio de Liderança em Estratégia de Linha de Produto Global Frost & Sullivan 2019. ” Vikrant Gandhi, Diretor de Indústria, Frost & Sullivan.
Dispositivos gerenciados | Dispositivos não gerenciados |
A solução Mobile Threat Defense da Pradeo Security fornece segurança em várias camadas (aplicativos, rede, sistema operacional) para todos os dispositivos (Android e iOS), incluindo dispositivos BYOD.
Principais conclusões • Implantação perfeita («0-touch») |
O Secure Private Store da Pradeo fornece ferramentas de negócios e serviços móveis sem comprometer a segurança do dispositivo e sem as restrições de gerenciamento de dispositivos pessoais.
Principais conclusões • Instalação como um aplicativo simples |
Clique aqui e baixe o material completo