Workspace ONE – detekce a správa kompromitovaných zařízení

Dotčené produkty:

• Workspace ONE

Mobilní zařízení umožňují nepřetržitou komunikaci a přístup k podnikovému obsahu i na cestách. Zatímco mobilní zařízení zajišťují nepřetržitý tok důležitých podnikových informací, do vaší sítě se může stejně snadno dostat malware a poškozený obsah. Vzhledem k těmto potenciálním bezpečnostním hrozbám by měla být vaše strategie správy mobilních zařízení (MDM) připravena na jakékoli překážky. Jedním z bezpečnostních problémů je přítomnost ohroženého zařízení mezi vašimi mobilními zařízeními.

Přehled

Mezi kompromitovaná zařízení patří "jailbreaknutá" zařízení iOS a "rootovaná" zařízení Android, která uživatel změnil z předvoleb výrobce. Tato zařízení odstraňují možnosti integrovaného zabezpečení a mohou do vaší sítě zavést malware a získat přístup k podnikovým zdrojům. V prostředí MDM je celý řetězec jen tak silný jako jeho nejslabší článek. Jediné ohrožené zařízení by mohlo způsobit únik citlivých informací nebo poškození vašich serverů. Sledování a rozpoznání ohrožených zařízení je v prostředí modelu Bring Your Own Device (BYOD) ještě obtížnější, z důvodu různých verzí zařízení a operačních systémů. Ohrožená zařízení jsou pro podnik velkým bezpečnostním problémem a je nutné je neprodleně řešit.

Zařízení s jailbreakem a rootem nemají k dispozici základní bezpečnostní prvky, takže jsou zranitelnými vstupními body pro nežádoucí aktivitu, jakou je např.:

• Krádež hesla a identity: Nešifrovaná uživatelská jména a hesla se shromažďují a používají k hlubšímu proniknutí do citlivých oblastí nebo k převzetí identity společnosti.
• Zachycení dat: Odeslaná a přijatá komunikace není nijak kryta, není chráněná běžnými bezpečnostními opatřeními.
• Infiltrace virů: Nechráněná síť je snadný cíl pro viry a malware, které mohou potenciálně nenávratně poškodit data vaší společnosti.

Problematika detekce

Zařízení s různými platformami reagují na detekci ohrožení odlišně. Například zařízení se systémem iOS 7+ podporují kontroly na pozadí, ale mohou mít další omezení. Zařízení Android umožňují provádět kontroly na pozadí bez jakýchkoli omezení nebo omezení. Platformy Workspace ONE (dříve AirWatch) tento problém řeší detekcí mezi různými zařízeními a operačními systémy.

Přístup platformy Workspace ONE

Aby bylo možné se s takovými variacemi vypořádat, vyvinula platforma Workspace ONE jedinečný víceúrovňový přístup k detekci kompromitovaných zařízení. Informace o omezeních a možnostech platforem iOS a Android najdete v níže uvedené tabulce.

Možnosti platformy

Zjištění ohrožení bezpečnosti zařízení pomocí platformy Workspace ONE

Řešení platformy Workspace ONE pokrývá celý životní cyklus zaregistrovaného zařízení, kdy zablokuje nevyžádaná zařízení a ukončí spojení s ohroženými či nevyhovujícími zařízeními. Naše vlastní detekční algoritmy neustále procházejí penetračním testováním, výzkumem a vývojem založeným na nových operačních systémech, což zajišťuje nejpokročilejší možné detekční schopnosti. Tento přístup k víceúrovňovému zjišťování pro ohrožená zařízení se skládá z následujících částí:

Registrace agenta

První obranná linie platformy Workspace ONE proti nežádoucím zařízením začíná při registraci. Před povolením vstupu do zařízení nakonfigurujte nastavení souladu a rozpoznejte ohrožená zařízení. Vyžadovat, aby všechna zařízení splňovala nastavení zabezpečení nebo instalovat profily pro uživatele. Detekce souladu se zabezpečením se liší podle typu registrace:

• Na bázi agenta – Zařízení se systémem iOS nebo Android se může zaregistrovat do aplikace Workspace ONE MDM Agent stažené z obchodu iTunes App Store nebo Google Play. Agent po instalaci zkontroluje stav zařízení, zařízení pak odešle informace na server podle časového intervalu nastaveného v konzoli správce Workspace ONE.
• Webové – zařízení s iOSem jsou jedinými zařízeními, která podporují webovou registraci s výchozím webovým prohlížečem na zařízení pomocí adresy URL registrace. Chcete-li zjistit stav těchto zařízení, je třeba na zařízení nainstalovat některou z aplikací s integrovanou sadou SDK Workspace ONE, jako je například Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker nebo podniková aplikace s podporou sady SDK.

Další informace o porovnání různých přístupů k registraci naleznete v průvodci platformou iOS.

Kontroly na pozadí

Jakmile je zařízení zaregistrováno, můžete spravovat jeho soulad. Nástroj Workspace ONE MDM Agent poskytuje průběžné kontroly stavu na pozadí pro všechna zařízení Android a zařízení s novější verzí operačního systému iOS (iOS 7+) s přístupem k mobilní síti.

U zařízení se systémem iOS 7 můžete využívat funkce aplikace Workspace ONE Agent, mezi které patří:

• Aktualizace aplikací na pozadí – Workspace ONE poskytuje prostředky pro nastavení intervalového shromažďování a přenosu informací o zařízení výhradně prostřednictvím agenta Workspace ONE. V takovém případě můžete do zařízení odeslat parametr času s označením, jak často má být aplikace Workspace ONE Agena spuštěna. Toto nastavení povolte v konzoli> Workspace ONE Admin Console v části Devices Settings>> a Apple Apple iOS>Agent Settings. Na této stránce klikněte na Aktualizovat aplikace na pozadí a nakonfigurujte dostupné možnosti. Nastavte minimální interval aktualizace a agenta tak, aby se přihlásil pouze v případě, že je zařízení připojeno k síti Wi-Fi. Nastavením hodnoty Minimum Refresh se zařízení pokusí odeslat informace o zařízení na server MDM pouze jednou ve vyhrazeném minimálním limitu.
  
• Tichá služba Apple Push Notification Service (APNs) – Workspace ONE pravidelně automaticky požaduje kontroly na pozadí pomocí tichých APN. V takovém případě odešle konzole správce Workspace ONE oznámení do zařízení, které vyžaduje stav ohrožení, zpět na server Workspace ONE. V zařízení musí být povolena nabízená oznámení pro aplikaci Workspace ONE Agent.
  

Dotaz můžete také spustit ručně tak, že přejdete na stránku Podrobnosti zařízení pro konkrétní zařízení a kliknete na možnost More>Query Workspace>ONE MDM Agent, jak je uvedeno níže. Tento dotaz se zobrazí v případě, že je v zařízení nainstalována požadovaná verze aplikace Workspace ONE Agent.

Pomocí funkce detekce narušení v rozhraní Workspace ONE SDK se můžete také připojit k této logice na pozadí ve své interní aplikaci, a provést tak detekci jailbreaku na pozadí.

Kontroly vyvolané aplikací

Stanovte kontrolní body detekce pro podnikové informace a použití platformy Workspace ONE. Když zařízení spustí aplikaci Workspace ONE Secure Content Locker, AirWatch Browser nebo AirWatch MDM Agent, systém detekce automaticky ověří stav souladu a přidá vašim informacím další ochranu.

Povolte své zabalené aplikace pro systémy iOS a Android s ohroženou ochranou. Povolte nastavení na stránce Nastavení a zásady (Skupiny a nastavení>, Všechna nastavení>, Aplikace>, Nastavení a zásady>, Zásady zabezpečení) spolu s dalšími nastaveními pro zabalené aplikace a přiřaďte profil k zabalené aplikaci. Další informace a podrobné pokyny najdete v příručce k nástroji Workspace ONE App Wrapping.

Povolte své aplikace SDK pro systém iOS s ohroženou detekcí. Počínaje verzí iOS SDK v.3.2 můžete zkontrolovat stav ohrožení zařízení přímo ve vaší aplikaci, ať už je zařízení online nebo offline. Tato funkce je k dispozici pouze v případě, že zařízení v minulosti alespoň jednou úspěšně aktivovalo hovor majáku. Další informace a vzorový kód najdete v příručce k rozhraní Workspace ONE SDK pro systém iOS.

Modul souladu

Jakmile Workspace ONE zjistí kompromitovaná nebo nevyhovující zařízení, modul pro dodržování předpisů na těchto zařízeních rychle zareaguje na základě zásad zařízení nastavených správcem v konzoli. Platforma Workspace ONE poskytuje správci flexibilitu k vyžadování počátečního stavu zařízení a také nastavení frekvence časového intervalu modulu pro zajištění souladu.

Detekce integrovaná v podnikových aplikacích

Namísto instalace aplikace Workspace ONE Agent pro přístup k sadě SDK můžete integrovat sadu SDK Workspace ONE do svých interních aplikací. Sada SDK obsahuje klíčové funkce správy mobilních zařízení (které jsou popsány v našem kompletním profilu SDK), včetně detekce jailbreaku a rootu, které nepřetržitě sledují soulad zařízení. Běžně spouštěné podnikové aplikace, které se odesílají do zařízení, spustí vyhledávání problémů častěji, takže rychleji zachytíte ohrožená zařízení.

Správce poté může v konzoli pro správu určit akce, které mají být provedeny pro aplikaci nainstalovanou v ohroženém zařízení. Pokud je například nalezeno ohrožené zařízení, může správce použít následující akce:

• Odeslání varovné zprávy uživateli
• Uzamkněte přístup uživatele k zařízení.
• Vymazat data aplikací a podniková data
• Omezit přístup

Vynucení a monitorování ohrožených zařízení

Vynuťte zásady souladu a sledujte stav ohrožených zařízení iOS a Android. Konzole Workspace ONE Admin Console poskytuje správci nástroje pro udržování výstrahy a zabezpečení počítače.

Modul souladu

Modul souladu slouží jako bezpečnostní kontrolní bod, který automaticky uzamyká nebo přijímá další opatření u zařízení nebo uživatelů. Na základě pravidel souladu stanovených správcem zařízení může modul pro zajištění souladu zjistit, zda zařízení splňuje požadavky, a provést u něj definované akce. Tato pravidla a akce lze definovat v konzoli správce Workspace ONE.

Po vytvoření pravidel a opatření se modul souladu postará o zbytek. Náprava je automatizovaná. Pokud kontrola odhalí kompromitované zařízení, počítač provede přednastavená varování a eskalované akce. Správci nejsou nuceni řešit každou nalezenou instanci.

Konzola pro správu však umožňuje samoobslužný přístup k protokolu o souladu. Správci mohou zařízení vymazat a odeslat e-mail nebo zprávu SMS s vysvětlením, jak a proč zařízení nevyhovuje, aniž by uživatel musel kontaktovat správce.

Díky času, který modul pro dodržování předpisů ušetří při správě zařízení, můžou správci kontrolovat týdenní nebo měsíční zprávy o dodržování předpisů, aby porozuměli opakovaným porušovatelům.

Soulad poslední ohrožené kontroly

Tato funkce umožňuje správci nastavit časový interval, v rámci kterého má agent provést kontrolu zařízení. Tím je zajištěno, že pokud aplikace AirWatch neobdrží od zařízení do určité doby stav souladu, lze přijmout preventivní opatření.

Soulad stavu ohrožení

Pravidlo souladu stavu ohrožení umožňuje správci nastavit akce pro ohrožené zařízení.

Pro dvě výše uvedená pravidla souladu lze použít následující akce:

• Notify: Upozornění uživatele odesláním zprávy SMS, e-mailu a oznámení.
• Application: Blokování nebo odstranění několika nebo všech spravovaných aplikací.
• Příkaz: Vymazání na úrovni podniku nebo odeslání žádosti o kontrolu zařízení.
• Profile: Blokování nebo odstranění všech profilů, konkrétního typu profilů či konkrétního profilu.

Ovládací panel zařízení

Správci si mohou zobrazit přehled zaregistrovaných zařízení. Přehled obsahuje informace o zabezpečení, které informují správce, zda bylo na zařízení zjištěno ohrožení, či nikoliv. Pokud zařízení není ohroženo, zobrazí se zelené zatržítko.

Zobrazení souladu zařízení

Na řídicím panelu si můžete zobrazit grafické znázornění procenta ohrožených zařízení zaregistrovaných v organizační skupině. To poskytuje správci přehled o napadených zařízeních na vysoké úrovni a pomáhá při sledování těchto zařízení.

Spuštění plánovaných nebo vyžádaných hlášení o kompatibilitě

Konzole správce Workspace ONE je také dodávána s více než 100 standardních hlášení, včetně seznamu hlášení o shodě, která lze spustit automaticky v plánovaných intervalech nebo generovat na vyžádání. Můžete si rychle zobrazit všechna nevyhovující zařízení v celé společnosti nebo ve specifických organizačních skupinách. Izolujte problematická zařízení pro zakázané aplikace, nastavení slabého hesla a celkový soulad se zabezpečením. Hlášení o souladu přináší kompletní přehled o ohrožených nebo nevyhovujících zařízeních ve vašem systému.

Závěr

Zabezpečená správa mobilních zařízení je stále důležitější, a proto platforma Workspace ONE v tomto směru nabízí bezkonkurenční řešení, které poskytuje nástroje pro detekci bezpečnostních hrozeb, jakými jsou například ohrožená zařízení. Jedinečné víceúrovňové řešení detekce Workspace ONE bylo navrženo tak, aby bylo efektivní na všech platformách a zároveň poskytovalo flexibilitu při provádění požadovaných akcí na detekovaných zařízeních. Všechny výše uvedené složky detekčního řešení dělají z Workspace ONE efektivní řešení pro zajištění bezpečnosti vaší firmy.

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.