Комментарии 8
У меня как у пользователя отношение к этим всем системам чисто утилитарное.
Хотите устройство с полным контролем?
Не проблема, предоставляйте устройство, будет оно вашим, буду пользоваться. Как вариант — готов даже сам купить это устройство (что-нибудь простое за 5-7 т.р.) и пользоваться им в рамках возможности устройства… и с производительностью/эффективностью устройства ;)
Хотите на моём телефоне?
Ну вот нафиг тогда все эти MDM, я не готов и не буду. Вы не готовы? Обязательно хотите на мой личный телефон что-то поставить? См. п. 1 по поводу покупки чего-то простого под эти цели.
Безопасность? Ну так сделайте VDI, вот и защита — все данные где-то далеко, у меня только картинка.
p.s. Только однажды столкнулся с MDM, плевался пол года. Половина адресной книги телефона была "вытащена" из аутлуковской адресной книги в адресную книгу телефона. Из-за непонятного глюка пришлось снести аутлук и заново его поставить и настроить. К моему удивлению я единомоменино лишился той самой половины адресной книги, ибо MDM и всё такое.
p.p.s. Единственная польза от MDM — принудительный вайп по команде с сервера. На случай потери. Но вариант "пароль на загрузку" на самом деле будет надёжней, чем все эти вайпы, которые блокируются банальным вытаскиванием симки.
Не проблема, предоставляйте устройство, будет оно вашим, буду пользоваться. Как вариант — готов даже сам купить это устройство (что-нибудь простое за 5-7 т.р.) и пользоваться им в рамках возможности устройства… и с производительностью/эффективностью устройства ;)В целом с подходом согласен, но сейчас на телефонах стали появляться раздельные профили, иногда даже специально заточенные под корпоративные
Мы чаще всего сталкиваемся с двумя сценариями и оба про корпоративные устройства:
- Полевой сотрудник (монтёр, обходчик и т.д.). Устройство, на котором пользователю не разрешено ничего. На нём есть EMM и 1-2 приложения для работы. Иногда ещё есть VPN. Устанавливать приложения самому нельзя, "лишние" беспроводные интерфейсы, SD-карты и вообще всё, что не нужно для работы, запрещено.
- Офисный сотрудник. Здесь лучше всего работает концепция "рабочее устройство в личном пользовании". Компания покупает сотруднику устройство и старается сделать его основным, а лучше единственным. Здесь как раз работают контейнеры (читай профили). Условно, на устройстве есть две области — корпоративная и личная. Корпоративной областью управляют, её защищают всеми возможными средствами, а личное предпочитают не трогать. Единственное — просят установить пароль и запрещают установку из недоверенных источников. Если применять к офисным работникам первый сценарий, устройства в 18:00 выключают и кладут в стол. Иногда ещё вынимают батарейку, если позволяет конструкция. Один раз видел то же самое + положить разобранное устройство в сейф...
Управлять "зоопарком" личных устройств дорого. Android у разных производителей устройств сильно разный. Обилие и разнообразие служб продвинутых энергосбережения, которые так и норовят отключить средства защиты, которым по долгу службы положено работать постоянно. Разные наборы доступных политик безопасности на разных версиях Android и т.д. Реальной безопасности на всех устройствах добиться невозможно. Общая разве что политика блокировки камеры.
На платформе Android как у вирусов, так и у антивирусов больше перспектив. Но все равно встает вопрос целесообразности. Для установки вредоносного ПО из магазина приложений придется вручную дать много разрешений. Права доступа злоумышленники получают только у тех пользователей, которые разрешают приложениям все подряд. На практике достаточно запретить пользователям установку приложений из неизвестных источников,
Если бы так. Предустановленные трояны (последнее время много запросов на трояны в системной области). Трояны маскирующие свои окошки, трояны скачивающие вредоносный функционал после установки
Да запретом установки из неизвестных источников проблему не решить — огромное количество вредоносного ПО и на официальных источниках
Давайте разберёмся с рисками и методами их компенсации:
- Троян в системной области. Его можно занести или на заводе, или через кастомное рекавери и root. Защититься от трояна на заводе нельзя. Защититься от доступа в корпоративную сеть устройств с root можно — это делают EMM системы. При обнаружении признаков взлома корпоративные приложения и данные удаляются с устройства.
- Трояны в Google Play. Случаются. Ни одна система защиты не идеальна. Но большой разницы между антивирусным ПО и Google Protect нет. Разве что Protect разрабатывает Google, который больше других заинтересован в безопасности своей платформы и может дать своему Protect больше прав, чем любым другим приложениям.
Ключевая проблема в том, что антивирус не может удалить приложения. Видел антивирусы для Android, которые в случае обнаружения malware просто рисуют поверх него окошко "Приложение заблокировано". При этом само приложение продолжает работать. Это не безопасно.
Наиболее безопасный, но и наименее удобный для пользователя сценарий такой:
- Потребовать наличие пароля. 20 символьного не нужно. Хватит 4-6 символов, можно даже цифр, если ограничить число ошибок до сброса устройства к заводским настройкам.
- Запретить самостоятельную установку приложений (любую — через adb, apk, маркеты), устанавливая все приложения только из корпоративного хранилища.
- При наличии признаков взлома удалять корпоративные приложения и данные или сбрасывать устройство к заводским настройкам.
- При наличии API производителя устройств запрещать перепрошивку через рекавери.
Ключевая проблема в том, что антивирус не может удалить приложения.
Если не сложно — это какие антивирусы? Нормальные антивирусы для Андроид удаляют трояны. Сложнее с троянами в системной области — для их удаления нужно рутовать устройство. Но после этой операции удаление становится возможно
И если не ограничиваться троянами, то в функции антивируса входит блокировка СМС и контроль доступа к нерекомендуемым ресурсам. Что тоже необходимо
Но большой разницы между антивирусным ПО и Google Protect нет
Теоретически может и так. Google Protect заявляет о возможности проверки приложений в Маркете. Однако на практике количество обнаруживаемых у пользователей троянов велико, тоесть Google Protect пропускает.
Ну и лично мне не нравится, что вендор имеет право удалять любые приложения на моем устройстве через Google Protect
Посмотрел тесты
Play Protect стал единственным решением, которое не прошло сертификацию AV-Testэто 2017год
Защитная система Google Play Protect для Android не прошла испытаний в немецкой лаборатории AV-Test. Системе не удалось заработать ни одного балла из шести возможныхэто 2020 год
Если не сложно — это какие антивирусы? Нормальные антивирусы для Андроид удаляют трояны.
Антивирусы, как и любые другие приложения на Android, могут только попросить пользователя удалить другое приложение, но не удалить его. Удалить приложение без участия пользователя может только EMM клиент с правами владельца устройства (device owner, DO). Права DO по требованиям Google получаются в процессе первичной инициализации устройства. Это сценарий только для B2B.
Сложнее с троянами в системной области — для их удаления нужно рутовать устройство. Но после этой операции удаление становится возможно
Взлом (root) устройства — это всегда большее зло, чем троян в системной области. Инструменты взлома никто на трояны и прочее malware не проверяет. Использовать рутированные устройства для удалённого доступа к корпоративным данным нельзя.
Посмотрел тесты
Согласен, Google Protect на фоне других антивирусных решений пока выглядит неубедительно.
Ключевое — мы не пытаемся убедить в том, что антивирус или VPN не нужны. Просто для обеспечения защиты мобильных устройств их недостаточно.
для обеспечения защиты мобильных устройств их недостаточно
Тут никто спорить не будет. Стопроцентной защиты не бывает
Взлом (root) устройства — это всегда большее зло, чем троян в системной области
Не факт. Та же Триада весьма мощный троян. Но про опасность рута согласен
Инструменты взлома никто на трояны и прочее malware не проверяет.
За всех сказать не могу, но проверяют, но по умолчанию на них не реагируют, так как программы двойного назначения и могут использоваться легально
Вчера было нельзя, а сегодня нужно: как начать работать удаленно и не стать причиной утечки?