El rápido desarrollo de la electrónica portátil, y en particular los teléfonos inteligentes y las tabletas, ha creado una serie de nuevos desafíos para la seguridad de la información corporativa. De hecho, si toda la seguridad cibernética solía basarse en la creación de un perímetro seguro y su posterior protección, ahora que casi todos los empleados usan sus propios dispositivos móviles para resolver problemas de trabajo, se ha vuelto muy difícil controlar el perímetro de seguridad. Esto es especialmente cierto para las grandes empresas en las que cada empleado tiene un nombre de usuario y una contraseña del correo electrónico y otros recursos corporativos. A menudo, cuando compra un nuevo teléfono inteligente o tableta, un empleado de la empresa ingresa sus credenciales en él, a menudo olvidando cerrar sesión en el dispositivo anterior. Incluso si solo hay un 5% de tales empleados irresponsables en la empresa, sin el control adecuado del administrador, la situación con el acceso de dispositivos móviles al servidor de correo se convierte rápidamente en un verdadero desastre.
Además, con frecuencia los dispositivos móviles se pierden o son robados, y posteriormente se utilizan para buscar información comprometedora, así como el acceso a recursos corporativos y datos que representan un secreto comercial. Como regla general, la ciberseguridad corporativa es más dañina si un atacante obtiene acceso al correo electrónico de un empleado. Gracias a esto, pueden acceder a la lista global de direcciones y contactos, el calendario de reuniones en el que debe participar el desafortunado empleado, así como su correspondencia. Además, los atacantes que obtengan acceso al correo corporativo podrán enviar mensajes infectados de phishing o malware desde una dirección de correo electrónico confiable. Todo esto en conjunto brinda a los atacantes oportunidades prácticamente ilimitadas para llevar a cabo ataques cibernéticos, así como el uso de la ingeniería social para lograr sus objetivos.
Para monitorear los dispositivos móviles incluidos en el perímetro de seguridad, existe la tecnología ABQ o Permitir / Bloquear / Cuarentena. Permite al administrador controlar la lista de dispositivos móviles que pueden sincronizar datos con el servidor de correo y, si es necesario, bloquear dispositivos comprometidos y poner en cuarentena dispositivos móviles sospechosos.
Sin embargo, como sabe cualquier administrador de la versión gratuita de Zimbra Collaboration Suite Open-Source Edition, su interacción con dispositivos móviles es muy limitada. Estrictamente hablando, los usuarios de la versión gratuita de Zimbra solo pueden recibir y enviar correos electrónicos utilizando el protocolo POP3 o IMAP, sin tener la capacidad incorporada de sincronizar datos del diario, libretas de direcciones y notas con el servidor. No se implementó en la versión gratuita de Zimbra Collaboration Suite y la tecnología ABQ, que pone fin automáticamente a todos los intentos de crear un perímetro cerrado de información en la empresa. En las condiciones en que el administrador no sabe qué dispositivos están conectados a su servidor, pueden aparecer filtraciones de información en la empresa, y la probabilidad de llevar a cabo un ataque cibernético de acuerdo con el escenario descrito anteriormente aumenta drásticamente.
La extensión modular Zextras Mobile ayudará a resolver este problema en Zimbra Collaboration Suite Open-Source Edition. Esta extensión le permite agregar soporte completo para el protocolo ActiveSync a la versión gratuita de Zimbra y, gracias a esto, abre muchas oportunidades para la interacción entre dispositivos móviles y su servidor de correo. Entre otras diversas funciones, la extensión Zextras Mobile ofrece soporte completo para ABQ.
Le advertiremos de inmediato que, dado que una ABQ configurada incorrectamente puede hacer que algunos usuarios no puedan sincronizar datos en sus dispositivos móviles con el servidor, debe abordar el problema de configurarlo con el mayor cuidado y precaución. La configuración de ABQ se realiza desde la línea de comandos de Zextras. Es en la línea de comando que se configura el modo operativo ABQ en Zimbra, y también se gestionan las listas de dispositivos.
Se implementa de la siguiente manera: después de que un usuario inicia sesión en el correo corporativo en un dispositivo móvil, envía datos de autorización al servidor, así como las credenciales de su dispositivo, que encuentran un obstáculo en forma de ABQ, que escanea las credenciales y las compara con aquellas que están en la lista de dispositivos permitidos, en cuarentena y bloqueados. Si el dispositivo no está en ninguna de las listas, entonces ABQ actúa con él de acuerdo con el modo en que funciona.
El ABQ de Zimbra proporciona tres modos de operación:
Permisivo : en este modo de operación, después de la autenticación del usuario, la sincronización se realiza automáticamente a la primera solicitud de un dispositivo móvil. En este modo de operación, es posible bloquear dispositivos individuales, pero todos los demás podrán sincronizar libremente los datos con el servidor.
Interactivo : en este modo de operación, inmediatamente después de la autenticación del usuario, el sistema de seguridad solicita los datos de identificación del dispositivo y los compara con la lista de dispositivos permitidos. Si el dispositivo aparece como permitido, la sincronización continúa automáticamente. Si este dispositivo no está en la "lista blanca", se pondrá en cuarentena automáticamente para que el administrador pueda decidir más adelante si permitir que este dispositivo se sincronice con el servidor o lo bloquee. En este caso, el usuario recibirá una notificación. Informar al administrador ocurre regularmente, una vez en un período de tiempo configurable. En este caso, cada nueva notificación contendrá solo dispositivos nuevos que se hayan puesto en cuarentena.
Estricto : en este modo de operación, después de la autenticación del usuario, se realiza una verificación inmediata para verificar que los datos de identificación del dispositivo estén en la lista permitida. En caso de que aparezca allí, la sincronización continúa automáticamente. En el caso de que el dispositivo no esté en la lista de permitidos, inmediatamente cae en la lista de bloqueados y el usuario recibe una notificación por correo.
Además, si lo desea, el administrador de Zimbra puede desactivar completamente ABQ en su servidor de correo.
El ajuste del modo operativo ABQ se lleva a cabo utilizando los comandos:
zxsuite config conjunto global atributo abqMode valor Permisivo
zxsuite config conjunto global atributo abqMode valor Interactivo
zxsuite config conjunto global atributo abqMode valor Estricto
zxsuite config global set attribute abqMode valor Disabled
Puede encontrar el modo ABQ actual utilizando el
comando zxsuite config global get attribute abqMode .
En el caso de que utilice los modos de operación ABQ interactivos o estrictos, a menudo tiene que trabajar con listas de dispositivos permitidos y bloqueados, así como dispositivos que están en cuarentena. Supongamos que dos dispositivos están conectados a nuestro servidor: un iPhone y un Android con los datos de identificación correspondientes. Más tarde resulta que el CEO de la empresa adquirió el iPhone el otro día y decidió trabajar con el correo, y Android pertenece al gerente habitual, que no tiene derecho a usar el correo de trabajo en un teléfono inteligente por razones de seguridad.
En el caso del modo interactivo, todos se pondrán en cuarentena, desde donde el administrador deberá transferir el iPhone a la lista de dispositivos permitidos y Android a la lista de bloqueados. Para hacer esto, utiliza los comandos
zxsuite mobile abq allow iPhone y
zxsuite mobile abq bloquean Android . Después de eso, el CEO podrá trabajar completamente con el correo de sus dispositivos, mientras que el administrador aún tendrá que verlo exclusivamente desde una computadora portátil de trabajo.
Vale la pena señalar que al usar el modo Interactivo, incluso si el administrador en su dispositivo Android ingresa correctamente su nombre de usuario y contraseña, aún no tendrá acceso a su cuenta, sino que ingresará a un buzón virtual en el que recibirá una notificación de que su dispositivo fue puesto en cuarentena y no podrá usar el correo de él.
En el caso del modo estricto, todos los dispositivos nuevos se bloquearán y después de que quede claro a quién pertenecían, el administrador solo tendrá que agregar al CEO a la lista de dispositivos iPhone permitidos usando el
comando zxsuite mobile ABQ set iPhone Permitido , dejando el número de teléfono del administrador allí.
El modo de operación permisivo es poco compatible con cualquier regla de seguridad en la empresa, sin embargo, si aún necesita bloquear cualquiera de los dispositivos móviles permitidos, por ejemplo, si el administrador se
cierra repentinamente con un escándalo, puede hacerlo usando el
comando zxsuite mobile ABQ set Android BloqueadoEn el caso de que los empleados reciban gadgets de oficina para trabajar con el correo, la próxima vez que el propietario cambie, el dispositivo puede eliminarse por completo de las listas ABQ, para luego decidir nuevamente si se permite sincronizar con el servidor o no. Esto se hace usando el
comando zxsuite mobile ABQ delete Android .
Por lo tanto, como puede ver, utilizando la extensión Zextras Mobile en Zimbra, puede implementar un sistema de control muy flexible para dispositivos móviles utilizados, adecuado para empresas con políticas bastante estrictas con respecto al uso de recursos corporativos fuera de la oficina, así como para aquellas empresas que son bastante liberales en este plan
Para todas las preguntas relacionadas con la Suite Zextras, puede contactar al representante de Zextras Katerina Triandafilidi por correo electrónico katerina@zextras.com