Workspace ONE: виявлення скомпрометованих пристроїв і керування ними

Продукти, на які вплинули:

• Робоче місце ОДНЕ

Мобільні пристрої забезпечують постійний зв'язок і доступ до корпоративного контенту на ходу. У той час як мобільні пристрої забезпечують обмін життєво важливою бізнес-інформацією, у вашу мережу можуть бути впроваджені шкідливі програми та пошкоджений контент. Враховуючи ці потенційні загрози безпеці, ваша стратегія керування мобільними пристроями (MDM) має бути готовою до будь-яких викликів. Однією з таких проблем безпеки є наявність скомпрометованого пристрою у вашому мобільному парку.

Огляд

Скомпрометовані пристрої включають «джейлбрейкнуті» iOS і «рутовані» пристрої Android, які користувач змінив за допомогою попередніх налаштувань виробника. Ці пристрої скасовують інтегральні налаштування безпеки та можуть впроваджувати шкідливе програмне забезпечення у вашу мережу та отримувати доступ до ресурсів вашого підприємства. У середовищі MDM загальний ланцюг настільки міцний, наскільки сильна його найслабша ланка. Один скомпрометований пристрій може призвести до витоку конфіденційної інформації або пошкодження ваших серверів. Моніторинг і виявлення скомпрометованих пристроїв стає ще складнішим у середовищі Bring Your Own Device (BYOD) з різними версіями пристроїв та операційних систем. Скомпрометовані пристрої є серйозною проблемою безпеки для підприємства, і їх слід негайно вирішувати.

Зламані та рутовані пристрої відмовляються від основних заходів безпеки, що робить їх вразливими точками входу для небажаної активності, наприклад:

• Крадіжка пароля та особистих даних: Незашифровані імена користувачів і паролі збираються та використовуються для глибшого проникнення в конфіденційні області або приховування особи компанії.
• Перехоплення даних: Відправлений і отриманий зв'язок знаходиться на видноті, не захищений звичайними заходами безпеки.
• Інфільтрація вірусу: Незахищена мережа – це надійний майданчик для вторгнення вірусів і шкідливого програмного забезпечення, яке потенційно може пошкодити дані вашої компанії та зробити їх неможливими для відновлення.

Складність виявлення

Пристрої, що працюють на різних платформах, по-різному реагують на виявлення компрометації. Наприклад, пристрої iOS 7+ підтримують перевірку репутації, але можуть мати додаткові обмеження. Пристрої Android дозволяють проводити перевірку репутації без будь-яких обмежень. Workspace ONEs (раніше AirWatch) вирішує цю проблему, забезпечуючи виявлення на кількох пристроях та операційних системах.

Робочий простір ОДИН підхід

Щоб впоратися з такими варіаціями, компанія Workspace ONE розробила унікальний багаторівневий підхід до виявлення скомпрометованих пристроїв. Зверніться до таблиці нижче, щоб зрозуміти обмеження та можливості платформ iOS та Android.

Можливості платформи

Виявлення скомпрометованих пристроїв за допомогою Workspace ONE

Рішення Workspace ONE охоплює весь термін служби зареєстрованого пристрою, блокуючи непрохані пристрої та розриваючи зв'язки з скомпрометованими або невідповідними пристроями. Наші фірмові алгоритми виявлення постійно проходять тестування на проникнення, дослідження та розробки на основі нових операційних систем, забезпечуючи найдосконаліші можливості виявлення. Цей багаторівневий підхід до виявлення скомпрометованих пристроїв складається з наведеного нижче.

Реєстрація агента

Перша лінія захисту Workspace ONE від небажаних пристроїв починається з моменту реєстрації. Налаштуйте параметри відповідності та виявляйте скомпрометовані пристрої, перш ніж дозволити вхід на пристрій. Вимагайте, щоб усі пристрої відповідали налаштуванням безпеки або інсталювали профілі для користувача. Виявлення відповідності вимогам безпеки залежить від типу реєстрації.

• На основі агента: пристрої iOS або Android можуть зареєструватися в Workspace ONE MDM Agent, завантаженому з iTunes App Store або Google Play. Після інсталяції агента агент перевіряє стан пристрою, після чого пристрій надсилає інформацію на сервер відповідно до інтервалу часу, встановленого на консолі адміністратора Workspace ONE.
• Веб-пристрої – це єдині пристрої, які підтримують веб-реєстрацію за допомогою веб-браузера на пристрої, який використовує URL-адресу реєстрації. Щоб визначити стан таких пристроїв, на пристрої має бути інстальовано будь-яку вбудовану програму Workspace ONE SDK, як-от агент Workspace ONE MDM, браузер Workspace ONE, блокувальник захищеного контенту Workspace ONE або корпоративну програму з підтримкою SDK.

Докладнішу інформацію про порівняння різних підходів до реєстрації можна знайти в посібнику з платформи iOS.

Перевірка репутації

Після реєстрації пристрою керуйте його відповідністю. Агент Workspace ONE MDM забезпечує поточну перевірку репутації на стан компрометації для всіх пристроїв Android і новіших версій операційної системи iOS (iOS 7+) із доступом до стільникової мережі.

Доступні для пристроїв iOS 7, ви можете скористатися перевагами функцій на основі агента Workspace ONE, включаючи:

• Фонове оновлення програм – Workspace ONE надає засоби для встановлення збору та передачі інформації про пристрій на основі інтервалів повністю через агент Workspace ONE. У цьому випадку ви можете відправити на пристрій параметр time, що визначає, як часто повинен запускатися агент Workspace ONE, як мінімум. Увімкніть цей параметр, перейшовши в Налаштування>пристроїв>Apple>Apple>iOS Agent Settings в Workspace ONE Admin Console. На цій сторінці натисніть «Фонове оновлення програми » та налаштуйте доступні параметри. Встановіть мінімальний інтервал оновлення та встановіть агента на реєстрацію лише в тому випадку, якщо пристрій підключено до мережі Wi-Fi. Налаштування мінімального інтервалу оновлення означає, що пристрій намагається надіслати інформацію про пристрій на сервер MDM не більше одного разу в межах відведеного мінімуму.
  
• Silent Apple Push Notification Service (APNs) – Workspace ONE регулярно автоматично запитує перевірку біографічних даних за допомогою тихих точок доступу. У цьому випадку консоль адміністратора Workspace ONE надсилає на пристрій сповіщення із запитом скомпрометованого статусу назад на сервер Workspace ONE. На пристрої мають бути ввімкнені push-сповіщення для агента Workspace ONE.
  

Ви також можете виконати запит вручну, перейшовши на сторінку «Відомості про пристрій» для певного пристрою та клацнувши «Більше>агента MDM Workspace Query> Workspace», як показано нижче. Цей запит з'являється лише в тому випадку, якщо на пристрої встановлено потрібну версію агента Workspace ONE.

Крім того, використовуючи функцію виявлення скомпрометованих у Workspace ONE SDK, ви можете підключитися до цієї фонової логіки у вашому внутрішньому додатку, щоб виконати виявлення джейлбрейка у фоновому режимі.

Перевірки, ініційовані програмами

Встановіть контрольні точки виявлення для корпоративної інформації та використовуйте функцію Workspace ONE. Коли пристрій запускає Workspace ONE Secure Content Locker, браузер AirWatch або агент AirWatch MDM, система виявлення автоматично перевіряє статус відповідності, додаючи додаткову стіну захисту до вашої інформації.

Увімкніть обгорнуті додатки для iOS та Android із загрозою захисту. Увімкніть цей параметр на сторінці «Налаштування та політики» («Групи та налаштування>», «Усі налаштування», «> Параметри >та політики»> «Політики безпеки») разом з іншими налаштуваннями для обгорнутих програм і призначте профіль обгорнутій програмі. Щоб отримати додаткову інформацію та покрокові інструкції, перегляньте Посібник з обгортання програм Workspace ONE.

Увімкніть свої SDK-додатки для iOS із виявленням компрометації. Починаючи з iOS SDK v.3.2, ви можете перевіряти скомпрометований стан пристрою безпосередньо у вашій програмі, незалежно від того, чи підключений пристрій до мережі чи офлайн. Ваша програма може використовувати цю функцію лише в тому випадку, якщо пристрій хоча б раз у минулому успішно запустив дзвінок Beacon. Щоб отримати додаткову інформацію та зразок коду, перегляньте Посібник із пакета SDK для iOS ONE.

Механізм відповідності

Коли Workspace ONE виявляє скомпрометовані або несумісні пристрої, механізм відповідності швидко діє на цих пристроях на основі політики пристрою, встановленої адміністратором на консолі. Workspace ONE надає адміністратору можливість вимагати початковий статус пристрою та встановлювати частоту часових інтервалів движка відповідності.

Виявлені об'єкти, вбудовані в корпоративні програми

Замість того, щоб інсталювати агент Workspace ONE для доступу до SDK, вбудуйте пакет Workspace ONE SDK у свої внутрішні програми. SDK поставляється з ключовими функціями MDM (які описані в нашому повному профілі SDK), включаючи джейлбрейк і виявлення root, яке постійно сканується на відповідність. Зазвичай корпоративні програми, які надсилаються на пристрій, запускають сканування з виявленням частіше, тому ви швидше виявлятимете скомпрометовані пристрої.

Після цього адміністратор може вказати дії, які потрібно виконати для програми, інстальованої на скомпрометованому пристрої, у Консолі адміністратора. Наприклад, якщо виявиться, що пристрій зламано, адміністратор може застосувати такі дії:

• Надішліть попереджувальне повідомлення користувачеві.
• Заблокуйте доступ користувача до пристрою.
• Видаліть дані програм і корпоративних даних.
• Обмежити доступ

Застосування та моніторинг скомпрометованих пристроїв

Дотримуйтесь політик відповідності, щоб відстежувати скомпрометований стан пристроїв iOS і Android. Консоль адміністратора Workspace ONE надає адміністратору інструменти для забезпечення пильності та захисту комп'ютера.

Механізм відповідності

Механізм відповідності виконує функцію контрольної точки безпеки, автоматично блокуючи пристрої чи користувачів або вживаючи додаткових заходів до них. Ґрунтуючись на правилах відповідності, встановлених адміністратором для пристрою, механізм відповідності може виявляти, чи не є пристрій скаргою, і вживати до нього визначені дії. Ці правила та дії можна визначити в Консолі адміністратора Workspace ONE.

Після того, як правила та дії встановлені, Compliance Engine подбає про все інше. Виправлення відбувається автоматично. Якщо сканування виявляє скомпрометований пристрій, комп'ютер виконує попередньо встановлені попередження та підвищені дії. Адміністратори не зобов'язані звертатися до кожного екземпляра в міру його виявлення.

Однак Консоль адміністратора забезпечує самообслуговування для протоколу відповідності. Адміністратори можуть стерти дані з пристрою та надіслати користувачу електронний лист або SMS-повідомлення з поясненням, як і чому його пристрій не відповідає вимогам, не звертаючись до адміністратора.

Завдяки часу, заощадженому пристроями керування Engine Compliance Engine, адміністратори можуть переглядати щотижневі або щомісячні звіти про відповідність, щоб зрозуміти рецидивістів.

Відповідність останньому скомпрометованому скануванню

Відповідність функції «Останнє скомпрометоване сканування» дає змогу адміністратору встановити проміжок часу, протягом якого агент має виконувати сканування пристрою. Це гарантує, що якщо AirWatch не отримував статусу відповідності від пристрою протягом певного часу, можна вжити запобіжних заходів.

Відповідність статусу компрометації

Правило відповідності «Скомпрометований статус» дає змогу адміністратору налаштовувати дії для скомпрометованого пристрою.

Для вищезазначених двох правил відповідності можуть бути застосовані такі дії:

• Повідомити: Оповіщення користувача за допомогою надсилання SMS, Email та Push сповіщень.
• Застосування: Блокування або видалення кількох або всіх керованих додатків.
• Команда: Виконання корпоративного стирання або запит на реєстрацію пристрою.
• Профіль: Блокування або видалення всіх профілів або певного типу профілів або певного профілю.

Панель управління пристроєм

Адміністратори можуть переглядати підсумок зареєстрованих пристроїв. Підсумок містить відомості про безпеку, які інформують адміністратора про те, чи було виявлено компрометацію на пристрої чи ні. Якщо пристрій не скомпрометовано, відображається зелена позначка.

Візуалізація відповідності пристрою

Приладна дошка надає графічне представлення відсотка скомпрометованих пристроїв, зареєстрованих у групі організації. Це дає адміністратору можливість високого рівня бачити скомпрометовані пристрої та допомагає у відстеженні таких пристроїв.

Створюйте заплановані звіти про відповідність або звіти на вимогу

Консоль адміністратора Workspace ONE також містить понад 100 стандартних звітів, включно зі списком звітів про відповідність, які можуть виконуватися автоматично через заплановані проміжки часу або генеруватися на вимогу. Швидко переглядайте будь-які пристрої, що не відповідають вимогам, у всьому вашому автопарку або в окремих групах організації. Ізолюйте пристрої-порушники для заблокованих додатків, слабких налаштувань пароля та загальної відповідності вимогам безпеки. Звіти про відповідність дають змогу побачити скомпрометовані або несумісні пристрої у вашій системі з висоти пташиного польоту.

Висновок

Потреба в захищеному MDM постійно зростає, тому Workspace ONE робить крок уперед у цьому напрямку, пропонуючи неперевершене рішення, яке надає та озброює вас для виявлення загроз безпеці, як-от скомпрометованих пристроїв. Унікальне багаторівневе рішення для виявлення Workspace One було розроблено таким чином, щоб бути ефективним на всіх платформах пристроїв, а також забезпечує гнучкість у виконанні необхідних дій на виявлених пристроях. Усі перераховані вище складові рішення для виявлення роблять Workspace ONE ефективним рішенням для забезпечення безпеки вашого підприємства.

Щоб зв'язатися зі службою підтримки, зверніться до номерів телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову статистику та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.