O rápido desenvolvimento de eletrônicos portáteis, em particular smartphones e tablets, criou uma série de novos desafios para a segurança das informações corporativas. De fato, se toda a segurança cibernética costumava se basear na criação de um perímetro seguro e sua proteção subseqüente, agora que quase todos os funcionários usam seus próprios dispositivos móveis para resolver problemas de trabalho, tornou-se muito difícil controlar o perímetro de segurança. Isso é especialmente verdadeiro para grandes empresas nas quais cada funcionário tem um nome de usuário e senha de email e outros recursos corporativos. Muitas vezes, ao comprar um novo smartphone ou tablet, um funcionário da empresa insere suas credenciais, esquecendo-se de sair do dispositivo antigo. Mesmo que haja apenas 5% desses funcionários irresponsáveis na empresa, sem o controle adequado do administrador, a situação com o acesso de dispositivos móveis ao servidor de correio rapidamente se transforma em uma verdadeira bagunça.
Além disso, muitas vezes os dispositivos móveis são perdidos ou roubados e, subsequentemente, usados para procurar informações comprometedoras, além de acessar recursos e dados corporativos que representam um segredo comercial. Como regra, a cibersegurança corporativa é mais prejudicial se um invasor obtém acesso ao e-mail de um funcionário. Graças a isso, eles podem acessar a lista global de endereços e contatos, o cronograma de reuniões em que o infeliz funcionário deve participar, bem como sua correspondência. Além disso, os invasores que tiverem acesso ao correio corporativo poderão enviar mensagens infectadas por phishing ou malware a partir de um endereço de email confiável. Tudo isso junto oferece aos atacantes oportunidades praticamente ilimitadas para realizar ataques cibernéticos, além de usar a engenharia social para atingir seus objetivos.
Para monitorar os dispositivos móveis incluídos no perímetro de segurança, existe a tecnologia ABQ, ou Permitir / Bloquear / Quarentena. Ele permite que o administrador controle a lista de dispositivos móveis com permissão para sincronizar dados com o servidor de correio e, se necessário, bloqueie dispositivos comprometidos e coloque dispositivos móveis suspeitos em quarentena.
No entanto, como qualquer administrador da versão gratuita do Zimbra Collaboration Suite Open-Source Edition sabe, sua interação com dispositivos móveis é muito limitada. A rigor, os usuários da versão gratuita do Zimbra só podem receber e enviar e-mails usando o protocolo POP3 ou IMAP, sem a capacidade integrada de sincronizar dados do diário, catálogos de endereços e anotações com o servidor. Não implementado na versão gratuita do Zimbra Collaboration Suite e da tecnologia ABQ, que automaticamente encerra todas as tentativas de criar um perímetro de informações fechado na empresa. Nas condições em que o administrador não sabe quais dispositivos estão conectados ao servidor, podem ocorrer vazamentos de informações na empresa e a probabilidade de realizar um ataque cibernético de acordo com o cenário descrito acima aumenta acentuadamente.
A extensão modular do Zextras Mobile ajudará a resolver esse problema no Zimbra Collaboration Suite Open-Source Edition. Esta extensão permite adicionar suporte completo ao protocolo ActiveSync à versão gratuita do Zimbra e, graças a isso, abre muitas oportunidades de interação entre dispositivos móveis e seu servidor de correio. Entre outras funções, a extensão Zextras Mobile oferece suporte completo ao ABQ.
Avisaremos imediatamente que, uma vez que um ABQ configurado incorretamente pode fazer com que alguns usuários não consigam sincronizar dados em seus dispositivos móveis com o servidor, é necessário abordar a questão de configurá-lo com o máximo cuidado e cautela. A configuração do ABQ é feita na linha de comando do Zextras. É na linha de comando que o modo operacional ABQ no Zimbra está configurado e as listas de dispositivos também são gerenciadas.
Ele é implementado da seguinte maneira: Depois que um usuário efetua login no correio corporativo em um dispositivo móvel, ele envia dados de autorização ao servidor, bem como as credenciais do dispositivo, que encontram um obstáculo na forma do ABQ, que verifica as credenciais e as compara com aquelas que estão na lista de dispositivos permitidos, em quarentena e bloqueados. Se o dispositivo não estiver em nenhuma das listas, o ABQ age com ele de acordo com o modo em que opera.
O ABQ do Zimbra oferece três modos de operação:
Permissivo : neste modo de operação, após a autenticação do usuário, a sincronização é realizada automaticamente na primeira solicitação de um dispositivo móvel. Nesse modo de operação, é possível bloquear dispositivos individuais, mas todos os demais poderão sincronizar dados livremente com o servidor.
Interativo : nesse modo de operação, imediatamente após a autenticação do usuário, o sistema de segurança solicita os dados de identificação do dispositivo e os compara com a lista de dispositivos permitidos. Se o dispositivo estiver listado como permitido, a sincronização continuará automaticamente. Se esse dispositivo não estiver na “lista branca”, ele será colocado em quarentena automaticamente, para que o administrador possa decidir mais tarde se deve permitir que esse dispositivo seja sincronizado com o servidor ou bloqueá-lo. Nesse caso, o usuário receberá uma notificação. Informar o administrador ocorre regularmente, uma vez em um período configurável. Nesse caso, cada nova notificação conterá apenas novos dispositivos que foram colocados em quarentena.
Rigoroso : neste modo de operação, após a autenticação do usuário, é imediatamente executada uma verificação para verificar se os dados de identificação do dispositivo estão na lista permitida. Caso apareça lá, a sincronização continuará automaticamente. Caso o dispositivo não esteja na lista de permitidos, ele cai imediatamente na lista de bloqueados e o usuário recebe uma notificação por email.
Além disso, se desejado, o administrador do Zimbra pode desativar completamente o ABQ em seu servidor de email.
A configuração do modo de operação ABQ é realizada usando os comandos:
Atributo do conjunto global de configuração do zxsuite Valor abqMode Permissivo
atributo do conjunto global de configuração do zxsuite valor abqMode Interactive
atributo do conjunto global de configuração do zxsuite, valor abqMode Strict
atributo do conjunto global de configuração do zxsuite valor abqMode Desativado
Você pode descobrir o modo ABQ atual usando o
comando zxsuite config global get attribute abqMode .
No caso de você usar os modos de operação ABQ interativos ou estritos, geralmente é necessário trabalhar com listas de dispositivos permitidos e bloqueados, bem como dispositivos que estão em quarentena. Suponha que dois dispositivos estejam conectados ao nosso servidor: um iPhone e um Android com os dados de identificação correspondentes. Mais tarde, verifica-se que o CEO da empresa adquiriu o iPhone outro dia e decidiu trabalhar com o correio, e o Android pertence ao gerente habitual, que não tem o direito de usar o correio comercial em um smartphone por razões de segurança.
No caso do modo interativo, todos eles serão colocados em quarentena, de onde o administrador precisará transferir o iPhone para a lista de dispositivos permitidos e o Android para a lista de dispositivos bloqueados. Para isso, ele usa os comandos
zxsuite mobile abq allow iPhone e
zxsuite mobile abq block Android . Depois disso, o CEO poderá trabalhar totalmente com as mensagens de seus dispositivos, enquanto o gerente ainda precisará visualizá-las exclusivamente em um laptop de trabalho.
Vale ressaltar que, ao usar o modo interativo, mesmo que o gerente em seu dispositivo Android digite corretamente seu nome de usuário e senha, ele ainda não terá acesso à sua conta, mas entrará em uma caixa de correio virtual na qual receberá uma notificação de que seu dispositivo estava em quarentena e ele não poderá usar e-mails dele.
No caso do modo estrito, todos os novos dispositivos serão bloqueados e, depois de ficar claro a quem eles pertencem, o administrador precisará adicionar o CEO à lista de dispositivos iPhone permitidos usando o
comando zxsuite mobile ABQ set iPhone Allowed , deixando o número de telefone do gerente lá.
O modo de operação permissivo é pouco compatível com todas as regras de segurança da empresa; no entanto, se você ainda precisar bloquear algum dos dispositivos móveis permitidos, por exemplo, se o gerente
sair repentinamente de um escândalo, você poderá fazer isso usando o
comando zxsuite mobile ABQ set Android BloqueadoCaso os funcionários recebam gadgets de escritório para trabalhar com o correio, na próxima vez que o proprietário mudar, o dispositivo poderá ser completamente removido das listas ABQ, para posteriormente decidir novamente se deve ou não ser sincronizado com o servidor. Isso é feito usando o
comando zxsuite mobile ABQ delete Android .
Assim, como você pode ver, usando a extensão Zextras Mobile em Zimbra, você pode implementar um sistema de controle muito flexível para dispositivos móveis usados, adequado para empresas com políticas bastante rígidas em relação ao uso de recursos corporativos fora do escritório, bem como para empresas que são bastante liberais em esse plano.
Para todas as perguntas relacionadas ao Zextras Suite, você pode entrar em contato com o representante da Zextras Katerina Triandafilidi pelo e-mail katerina@zextras.com