Workspace ONE detecteert en beheert gecompromitteerde apparaten

Betreffende producten:

• Workspace ONE

Mobiele apparaten bieden constante communicatie en toegang tot bedrijfscontent onderweg. Mobiele apparaten houden essentiële bedrijfsinformatie in beweging, maar malware en beschadigde inhoud kunnen uw netwerk binnendringen. Gezien deze mogelijke beveiligingsrisico's moet de strategie voor beheer van mobiele apparaten (Mobile Device Management, MDM) worden voorbereid op elke uitdaging. Een dergelijke beveiligingsvraag is de aanwezigheid van een gecompromitteerd apparaat in uw mobiele uitrusting.

Overzicht

Gecompromitteerde apparaten zijn onder meer "gejailbreakte" iOS- en "geroote" Android-apparaten die een gebruiker heeft gewijzigd op basis van voorinstellingen van de fabrikant. Deze apparaten maken inbreuk op integrale beveiligingsinstellingen en kunnen malware in uw netwerk introduceren en toegang krijgen tot uw bedrijfsmiddelen. In een MDM-omgeving is de gehele keten zo sterk als de zwakste schakel. Een enkel gecompromitteerd apparaat lekt gevoelige informatie of beschadigt uw servers. Het bewaken en detecteren van gecompromitteerde apparaten wordt zelfs nog lastiger in een omgeving waarin medewerkers hun privé-apparaten ook zakelijk gebruiken (Bring Your Own Device, BYOD) met verschillende versies van apparaten en besturingssystemen. Gecompromitteerde apparaten zijn een belangrijk beveiligingsprobleem voor een onderneming en moeten onmiddellijk worden aangepakt.

Gekraakte en geroote apparaten zorgen ervoor dat de basisbeveiliging het laat afweten, waardoor ze kwetsbare toegangspunten vormen voor ongewenste activiteiten, zoals:

• Diefstal van wachtwoorden en identiteit: Niet-versleutelde gebruikersnamen en wachtwoorden worden verzameld en gebruikt om dieper in te gaan op gevoelige gebieden of om de bedrijfsidentiteit aan te nemen.
• Onderschepping van gegevens: Verzonden en ontvangen communicatie is duidelijk zichtbaar, niet beschermd door normale beveiligingsmaatregelen.
• Virus infiltratie: Een onbewaakt netwerk is een doelwit voor het binnendringen van virussen en malware, waardoor de data van uw bedrijf beschadigd kunnen raken en onherstelbaar worden.

De uitdaging van detectie

Apparaten met verschillende platforms, reageren anders op detectie van gecompromitteerde situaties. IOS 7+ apparaten ondersteunen bijvoorbeeld achtergrondcontroles, maar kunnen extra beperkingen mee zich meebrengen. Android-apparaten maken antecedentenonderzoeken mogelijk zonder enige beperking of beperking. De oplossing van Workspace ONE's (voorheen AirWatch) voor dit probleem zorgt voor detectie op meerdere apparaten en besturingssystemen.

De benadering van Workspace ONE

Om met dergelijke variaties om te gaan, heeft Workspace ONE een unieke meerlaagse aanpak ontwikkeld voor de detectie van gecompromitteerde apparaten. Raadpleeg de onderstaande tabel voor meer informatie over de beperkingen en mogelijkheden van iOS- en Android-platforms.

Platformmogelijkheden

Gecompromitteerde apparaten detecteren met Workspace ONE

De oplossing van Workspace ONE omvat de volledige levensduur van een ingeschreven apparaat, waarbij ongenode apparaten worden geblokkeerd en de banden met gecompromitteerde of niet-compatibele apparaten worden verbroken. Onze eigen detectiealgoritmen ondergaan voortdurend penetratietests, onderzoek en ontwikkeling op basis van nieuwe besturingssystemen, waardoor de meest geavanceerde detectiemogelijkheden mogelijk zijn. Deze detectiemethode met meerdere lagen voor gecompromitteerde apparaten bestaat uit het volgende:

Registratie via een Agent

De eerste verdedigingslinie van Workspace ONE tegen ongewenste apparaten begint bij de registratie. Configureer compliance-instellingen en spoor gecompromitteerde apparaten op voordat u deze toegang geeft tot andere apparaten. Alle apparaten moeten voldoen aan de beveiligingsinstellingen of profielen voor de gebruiker installeren. Detectie van beveiligingsvoorwaarden hangt af van het registratietype:

• Op agents gebaseerd: iOS- of Android-apparaten kunnen zich inschrijven met de Workspace ONE MDM Agent die kan worden gedownload in de iTunes App Store of de Google Play Store. Zodra de agent is geïnstalleerd, controleert de agent de status van het apparaat; het apparaat stuurt de informatie vervolgens naar de server conform het tijdsinterval dat is ingesteld in de Workspace ONE Admin Console.
• Webgebaseerd - iOS-apparaten zijn de enige apparaten die webgebaseerde inschrijving ondersteunen met de standaardwebbrowser op het apparaat dat de inschrijvings-URL gebruikt. Om de status van dergelijke apparaten te detecteren, moet een van app voorzien van Workspace ONE SDK op het apparaat worden geïnstalleerd, zoals de Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker of een bedrijfsapp waarin SDK ingeschakeld is.

Voor meer informatie over de verschillende benaderingen van registratie, zie de iOS platform-handleiding.

Controles op de achtergrond

Zodra het apparaat is ingeschreven, beheert u de naleving ervan. De Workspace ONE MDM Agent biedt doorlopende controles op de achtergrond voor alle Android-apparaten en nieuwere versies van het iOS-besturingssysteem (iOS 7+) met toegang tot een mobiel netwerk.

Beschikbaar voor iOS 7-apparaten, kunt u profiteren van Workspace ONE Agent-gebaseerde functies, waaronder:

• App vernieuwen op de achtergrond - Workspace ONE biedt een manier om op intervallen gebaseerde verzameling en overdracht van apparaatinformatie volledig in te stellen via de Workspace ONE Agent. In dit geval kunt u een tijdparameter verzenden naar het apparaat dat aangeeft hoe vaak de Workspace ONE Agent moet worden gestart, minimaal. Schakel deze instelling in door naar Apparaatinstellingen>>, Apple>Apple iOS>Agent-instellingen in de Workspace ONE Admin Console te gaan. Klik op deze pagina op Vernieuwen van apps op achtergrond en configureer de beschikbare opties. Stel het minimale vernieuwingsinterval in en stel de agent in om alleen in te checken als het apparaat is verbonden met een Wi-Fi-netwerk. Het instellen van het minimale vernieuwingsinterval betekent dat het apparaat niet vaker dan één keer in het toegewezen minimum probeert apparaatgegevens naar de MDM-server te sturen.
  
• Stille Apple Push Notification Service (APNs) - Workspace ONE vraagt automatisch regelmatig om antecedentenonderzoek met behulp van stille APN's. In dit geval stuurt de Workspace ONE Admin Console een melding naar het apparaat waarin het verzoekt de gecompromitteerde status terug te sturen naar de Workspace ONE-server. Op het apparaat moeten push-meldingen worden ingeschakeld voor de Workspace ONE Agent.
  

U kunt ook handmatig een query uitvoeren door voor een specifiek apparaat naar de pagina Apparaatgegevens te gaan en op More>Query>Workspace ONE MDM Agent te klikken, zoals hieronder te zien is. Deze query wordt alleen weergegeven als de vereiste versie van de Workspace ONE Agent op het apparaat is geïnstalleerd.

Met behulp van de gecompromitteerde detectiefunctionaliteit in de Workspace ONE SDK kunt u ook aansluiten op deze achtergrondlogica in uw interne applicatie om jailbreakdetectie op de achtergrond te bereiken.

Door de app geïnitieerde controles

Stel detectiecontrolepunten in voor bedrijfsinformatie en het gebruik van de Workspace ONE functie. Wanneer een apparaat de Workspace ONE Secure Content Locker, de AirWatch Browser of de AirWatch MDM Agent activeert, verifieert het detectiesysteem automatisch de nalevingsstatus en werpt een extra beschermende muur op rond uw informatie.

Voorzie uw verpakte apps voor iOS en Android met beveiliging tegen compromitteren. Schakel de instelling in op de pagina Instellingen en beleid (Groepen en instellingen>, alle instellingen>, apps,>instellingen en beleid,>beveiligingsbeleid), samen met andere instellingen voor uw ingepakte apps en wijs het profiel toe aan uw ingepakte app. Zie voor meer informatie en stapsgewijze instructies de Workspace ONE App Wrapping Guide.

Voorzie uw SDK-apps voor iOS met detectie van gecompromitteerde situaties. Vanaf de iOS SDK v.3.2 kunt u de status van het apparaat direct controleren in de applicatie, of het apparaat online of offline is. Uw applicatie kan deze functie alleen gebruiken als het apparaat minimaal eenmaal een Beacon-aanroep met succes heeft uitgevoerd. Zie voor meer informatie en voorbeeldcodes de Workspace ONE iOS SDK-handleiding.

Compliance Engine

Zodra Workspace ONE gecompromitteerde of niet-compatibele apparaten detecteert, handelt de compliance-engine snel op deze apparaten op basis van het apparaatbeleid dat door de beheerder op de console is ingesteld. Workspace ONE biedt de beheerder de flexibiliteit om de initiële apparaatstatus op te vragen en de frequentie van het tijdsinterval van de compliance-engine in te stellen.

Ingebouwde detectie in bedrijfsapps

In plaats van de Workspace ONE te installeren om toegang te krijgen tot de SDK, kunt u de Workspace ONE SDK inbouwen in uw interne apps. De SDK bevat de belangrijkste functies van MDM (die worden beschreven in ons complete SDK-profiel), inclusief jailbreak en rootdetectie die voortdurend naar compromitterende situaties zoeken. Vaak worden Enterprise Apps uitgevoerd die naar een apparaat worden gepusht om vaker scans uit te voeren, zodat u gecompromitteerde apparaten eerder kunt ontdekken.

Een beheerder kan vervolgens in de Admin Console aangeven welke acties moeten worden ondernomen voor een app die op het gecompromitteerde apparaat is geïnstalleerd. Als een apparaat bijvoorbeeld gecompromitteerd is, kan de beheerder de volgende acties toepassen:

• Verzend een waarschuwingsbericht voor een gebruiker.
• Vergrendel de gebruiker van het apparaat.
• Wis applicatie- en bedrijfsdata.
• De toegang beperken

De hand houden aan gecompromitteerde apparaten en bewaken

Nalevingsbeleid forceren om de gecompromitteerde status van iOS- en Android-apparaten te bewaken. De Workspace ONE Admin Console biedt de beheerder tools om de computer alert en beveiligd te houden.

Compliance Engine

De Compliance Engine fungeert als beveiligingscontrolepunt, waar apparaten of gebruikers automatisch vergrendeld kunnen worden en eventueel aanvullende acties ondernomen kunnen worden. Op basis van de nalevingsregels die door de beheerder voor een apparaat zijn ingesteld, kan de nalevingsengine detecteren of een apparaat niet-klachtvrij is en er gedefinieerde acties op ondernemen. Deze regels en acties kunnen worden gedefinieerd in de Workspace ONE Admin Console.

Zodra de regels en acties zijn vastgesteld, zorgt de compliance-engine voor de rest. Herstelmaatregelen zijn geautomatiseerd. Als een scan een gecompromitteerd apparaat aan het licht brengt, doorloopt de computer vooraf ingestelde waarschuwingen en geëscaleerde acties. Beheerders worden niet gedwongen om elke instantie aan te pakken zodra ze worden gevonden.

De Admin Console schakelt echter zelfservice voor het nalevingsprotocol in. Beheerders kunnen een apparaat wissen en een e-mail of SMS-bericht sturen naar de gebruiker waarin wordt uitgelegd hoe en waarom hun apparaat niet aan de vereisten voldoet, zonder dat de gebruiker contact hoeft op te nemen met de beheerder.

Met de tijd die wordt bespaard door de Compliance Engine die apparaten beheert, kunnen beheerders wekelijkse of maandelijkse nalevingsrapporten bekijken om inzicht te krijgen in recidivisten.

Last Compromised Scan compliance

De Last Compromised Scan compliance stelt de beheerder in staat het tijdsinterval in te stellen waarbinnen de agent de scan van het apparaat moet uitvoeren. Dit zorgt ervoor dat als AirWatch gedurende een bepaalde tijd geen compliance-status van het apparaat heeft ontvangen, voorzorgsmaatregelen kunnen worden getroffen.

Compromised Status compliance

De regel voor Compromised Status compliance stelt de beheerder in staat om acties in te stellen voor een gecompromitteerd apparaat.

Voor de bovenstaande twee compliance-regels kunnen de volgende acties worden toegepast:

• Aankondigen: De gebruiker op de hoogte stellen door sms-, e-mail- en pushmeldingen te verzenden.
• Toepassing: Het blokkeren of verwijderen van enkele of alle beheerde apps.
• Opdracht: Enterprise Wipe uitvoeren of een verzoek indienen voor een apparaat inchecken.
• Profiel: Het blokkeren of verwijderen van alle profielen of een bepaald profieltype of een bepaald profiel.

Bedieningspaneel voor apparaten

Beheerders kunnen een samenvatting van de geregistreerde apparaten weergeven. Het overzicht bevat de beveiligingsgegevens die de beheerder informeren of er al dan niet een gecompromitteerde detectie op het apparaat is uitgevoerd. Als het apparaat niet is gecompromitteerd, wordt een groen vinkje weergegeven.

Compliance van apparaten visualiseren

Uw dashboard biedt een grafische weergave van het percentage gecompromitteerde apparaten dat is ingeschreven in een organisatiegroep. Dit geeft de beheerder een overzicht op hoog niveau van de gecompromitteerde apparaten en helpt bij het volgen van dergelijke apparaten.

Voer geplande of willekeurige nalevingscontroles uit

De Workspace ONE Admin Console is ook beschikbaar met meer dan 100 standaardrapporten, inclusief een lijst met nalevingsrapporten die automatisch kunnen worden uitgevoerd op geplande tijdstippen of op aanvraag worden gegenereerd. Bekijk snel alle niet-compatibele apparaten in uw gehele vloot of in specifieke organisatiegroepen. Isoleer apparaten die in overtreding zijn voor apps die op de blokkeerlijst staan, zwakke toegangscode-instellingen en naleving van de algehele beveiligingsvoorschriften. Nalevingsrapporten bieden een samenvatting van de gecompromitteerde of niet-compatibele apparaten in uw systeem.

Conclusie

De behoefte aan beveiligde MDM groeit steeds meer, en daarom neemt Workspace ONE een stap vooruit in die richting door een ongeëvenaarde oplossing aan te bieden, waarmee u beveiligingsrisico's zoals gecompromitteerde apparaten kunt detecteren. De unieke multi-tier detectieoplossing van Workspace ONE is ontworpen om effectief te zijn op alle apparaatplatforms en biedt ook flexibiliteit om de vereiste acties uit te voeren op de gedetecteerde apparaten. Alle bovenstaande ingrediënten van de detectieoplossing maken Workspace ONE tot een effectieve oplossing om uw onderneming beveiligd te houden.

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.