VIP phone
VIP phone

Jamf Mobile Forensics

Deteção forense de ataques avançados em dispositivos móveis

O Jamf Mobile Forensics é uma plataforma de análise forense para dispositivos móveis iOS e Android, concebida para detetar ataques sofisticados que escapam às ferramentas convencionais de segurança móvel. Destina-se a proteger os utilizadores de maior risco numa organização — aqueles que, pela função que exercem ou pela informação a que têm acesso, são alvos prioritários de campanhas de espionagem.

Ao contrário das soluções de MDM ou de mobile threat defence, que atuam ao nível da rede ou de ameaças conhecidas, o Jamf Mobile Forensics faz uma análise profunda de artefactos ao nível do sistema operativo. É essa profundidade que lhe permite identificar comprometimentos que não deixam rasto visível.

Cloud Opção recomendada pela Jamf para a generalidade das organizações. Vantagens em rapidez de instalação, facilidade de escala para implementações internacionais e acesso a capacidades adicionais.

On-premises Toda a informação recolhida nos dispositivos permanece dentro do ambiente do cliente (mantendo-se, ainda assim, sem PII do utilizador final). As atualizações de software do servidor são controladas pelo cliente.

Rede isolada (air-gapped) Para ambientes que exigem isolamento total da rede. À semelhança do modelo on-premises, a gestão e atualização do servidor ficam sob controlo do cliente.

Inspeção por cabo Realizada ligando o dispositivo móvel por USB a um computador Mac ou Windows com a aplicação de host da Jamf instalada. É o método que recolhe o conjunto de dados mais completo. Adequado a verificações pontuais, controlos pós-viagem e investigações forenses, sem necessidade de instalar qualquer aplicação no dispositivo alvo.

Inspeção pela aplicação móvel (Threat Protect) A aplicação Threat Protect é instalada no próprio dispositivo iOS, iPadOS ou Android e executa inspeções de forma remota e a intervalos definidos pela organização. Permite monitorização contínua sem cabo após a configuração inicial — fator relevante, dado que a eliminação de logs é uma prática habitual após um ataque, e a inspeção contínua aumenta a probabilidade de captar evidência antes de desaparecer. A aplicação pode ser distribuída em dispositivos corporativos ou BYOD, preferencialmente via MDM.

A deteção assenta na análise de artefactos técnicos do sistema, entre os quais:

  • Logs do sistema operativo, faltas e erros
  • Logs do kernel
  • Ficheiros de diagnóstico
  • Processos e outros dados ao nível do sistema operativo
  • Ficheiros e caminhos de ficheiros (filepaths)
  • Crash logs e ficheiros IPS
  • Aplicações instaladas
  • Logs do WiFi Manager e da App Store
  • Stackshots / spindumps
  • Certificados de desenvolvimento e perfis de configuração

A deteção combina Indicadores de Compromisso (IOC) próprios, propriedade da Jamf Threat Labs, com técnicas de deteção comportamental, permitindo identificar ataques zero-day, zero-click e one-click, APT e processos de espionagem de origem comercial ou estatal.

O Jamf Mobile Forensics foi construído especificamente para o tipo de ataque que evita os controlos de segurança habituais:

  • Mercenary spyware — Pegasus, Predator, Graphite e outras famílias de spyware comercial usadas em ataques dirigidos.
  • Ataques zero-click — comprometimentos que não exigem qualquer interação do utilizador.
  • Exploração de vulnerabilidades zero-day — falhas ainda desconhecidas, invisíveis a ferramentas baseadas em assinaturas.
  • Advanced Persistent Threats (APT) e ataques patrocinados por Estados.

Estes ataques são, por natureza, dispendiosos e direcionados. Tendem a concentrar-se em utilizadores e organizações de alto valor, e foi para esse cenário que a solução foi desenhada.

Para mais informação acerca das soluções de investigação forense, da Jamf Mobile Forensics ou dos restantes parceiros, entre em contacto connosco.