Descripción general de los dispositivos en peligro de Workspace ONE/VMware AirWatch

Los dispositivos móviles permiten la comunicación constante y el acceso a contenido empresarial en todo momento. Si bien los dispositivos móviles mantienen el flujo de información importante de negocios, tanto malware como contenido dañado se pueden introducir fácilmente en la red. Dadas estas posibles amenazas de seguridad, la estrategia de administración de dispositivos móviles (MDM) debe prepararse para afrontar cualquier desafío. Un desafío de seguridad es la presencia de un dispositivo en peligro en la flota móvil.

Productos afectados:

Workspace ONE
VMware AirWatch

Descripción general

Los dispositivos en peligro incluyen los dispositivos iOS con "jailbreak" y los dispositivos Android "rooteados" cuyos usuarios hayan alterado activamente la configuración del fabricante. Estos dispositivos anulan la configuración de seguridad integral y pueden introducir malware en la red, además de acceder a los recursos de la empresa. En un entorno de MDM, la cadena general depende de la solidez de su vínculo más débil. Un único dispositivo en peligro podría filtrar información confidencial o dañar los servidores. El monitoreo y la detección de dispositivos en peligro se tornan más complicados en un entorno de Bring Your Own Device (BYOD), con diferentes versiones de dispositivos y sistemas operativos. Los dispositivos en peligro son una preocupación importante en la seguridad de una empresa y se deben abordar inmediatamente.

Los dispositivos con jailbreak y rooteados pierden protecciones básicas, lo que hace que sean puntos de entrada vulnerables para la actividad no deseada, como:

• Robo de contraseña e identidad: los nombres de usuario y las contraseñas no cifrados se obtienen y se utilizan fácilmente para entrar con mayor profundidad en áreas confidenciales o asumir la identidad de la empresa.
• Intercepción de datos: la comunicación enviada y recibida se puede ver a simple vista; no está protegida por medidas de seguridad normales.
• Infiltración de virus: una red no protegida es un cartel de bienvenida a virus y malware, y puede dañar los datos de su empresa y hacer que sean irrecuperables.

El desafío de la detección

Los dispositivos que se ejecutan en diferentes plataformas responden de manera diferente a la detección de riesgos. Por ejemplo, los dispositivos con iOS 7 o versiones posteriores son compatibles con las comprobaciones en segundo plano, pero pueden portar limitaciones adicionales. Los dispositivos Android, por otro lado, permiten que las comprobaciones en segundo plano se realicen sin restricciones ni limitaciones. Si utiliza la solución Workspace ONE (anteriormente AirWatch) para este problema, garantiza la detección en varios dispositivos y sistemas operativos.

Enfoque de Workspace ONE

Para tratar estas variaciones, Workspace ONE ha desarrollado un enfoque único de múltiples niveles para la detección de dispositivos en peligro. Consulte la siguiente tabla para comprender las limitaciones y funcionalidades de las plataformas iOS y Android.

Funcionalidades de la plataforma

Nota: En el caso de los dispositivos que ejecutan iOS 6 y versiones anteriores que pueden acceder a una conexión celular, las comprobaciones en segundo plano estarán disponibles mediante el uso de Workspace ONE MDM Agent si el seguimiento por GPS está habilitado. En el caso de los dispositivos que ejecutan iOS 6 y versiones anteriores que solo pueden acceder a una conexión Wi-Fi, se pueden hacer comprobaciones en segundo plano si integra el SDK de Workspace ONE en las aplicaciones internas.

Detección de dispositivos en peligro con Workspace ONE

La solución Workspace ONE abarca toda la vida útil de un dispositivo inscrito, bloqueando los dispositivos no invitados, y cortando lazos con dispositivos en peligro o que no cumplen con las normas. Nuestros propios algoritmos de detección se someten constantemente a Penetration Testing, e investigación y desarrollo según los nuevos sistemas operativos, lo que garantiza las funcionalidades de detección más avanzadas posibles. Este enfoque de detección de múltiples niveles para los dispositivos en peligro se compone de lo siguiente:

Inscripción de agentes

La primera línea de defensa de Workspace ONE frente a los dispositivos no deseados comienza en la inscripción. Configure los ajustes de cumplimiento de normas y detecte los dispositivos en peligro antes de permitir la entrada a un dispositivo. Exija que todos los dispositivos cumplan con la configuración de seguridad o los perfiles de fácil instalación para el usuario. La detección del cumplimiento de normas de seguridad varía según el tipo de inscripción:

• Basada en agente: los dispositivos iOS y Android pueden inscribirse con Workspace ONE MDM Agent, que se puede descargar en la tienda de aplicaciones de iTunes o Google Play Store. Después de instalar el agente, este comprueba el estado del dispositivo y, a continuación, el dispositivo envía la información al servidor según el intervalo de tiempo establecido en la consola de administración de Workspace ONE.
• Basada en la Web: en la actualidad, los dispositivos iOS son los únicos que admiten la inscripción basada en la Web con el navegador web predeterminado en el dispositivo mediante la URL de inscripción. Para detectar el estado de estos dispositivos, estos deben tener instalada cualquiera de las aplicaciones integradas del SDK de Workspace ONE, como Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker o una aplicación empresarial con SDK habilitado.

Para obtener más información sobre los diversos enfoques de inscripción, consulte la guía de la plataforma iOS.

Comprobaciones en segundo plano

Después de inscribir el dispositivo, realice un seguimiento de su cumplimiento de normas. Workspace ONE MDM Agent proporciona comprobaciones en segundo plano constantes para detectar estados de peligro en todos los dispositivos Android y las versiones más recientes del sistema operativo iOS (iOS 7 y versiones posteriores) con acceso a la red de telefonía celular.

Está específicamente disponible para dispositivos iOS 7; puede aprovechar las funciones del agente Workspace One, incluidas las siguientes:

• Background App Refresh (Actualización de aplicación de segundo plano): Workspace ONE proporciona una manera de establecer la colección basada en intervalos y la transmisión de la información del dispositivo por completo a través del agente Workspace ONE. En este caso, puede enviar un parámetro de tiempo al dispositivo para determinar con qué frecuencia se debe iniciar el agente Workspace ONE, con un valor mínimo. Para habilitar esta configuración, vaya a Devices (Dispositivos) > Settings (Configuración) > Apple > Apple iOS > Agent Settings (Configuración del agente) en la consola de administración de Workspace ONE. En esta página, haga clic en Background App Refresh (Actualización de aplicación en segundo plano) y configure las opciones disponibles. Establezca Minimum Refresh Interval (Intervalo de actualización mínimo) y configure el agente para que solo verifique si el dispositivo está conectado a una red Wi-Fi. Establecer el intervalo de actualización mínimo significa que el dispositivo intentará enviar información del dispositivo al servidor de MDM no más de una vez en el mínimo asignado.

• Silent Apple Push Notification service (APNs) (Silenciar servicio de notificaciones de inserción de Apple [APN]): Workspace ONE solicita automáticamente las comprobaciones en segundo plano mediante APN silenciosas de manera habitual. En esta instancia, la consola de administración de Workspace ONE envía una notificación al dispositivo para solicitar el estado de peligro de vuelta al servidor de Workspace ONE. En el dispositivo, las notificaciones de inserción deben estar activadas para el agente Workspace ONE.

También puede ejecutar una consulta de forma manual, para cual debe ir a la página Device Details (Detalles del dispositivo) de un dispositivo específico y hacer clic en More (Más) > Query (Consulta) > Workspace ONE MDM Agent, como se muestra a continuación. Esta consulta solo aparecerá si está instalada la versión necesaria del agente Workspace ONE en el dispositivo.

Nota: Para usar estas funciones de comprobación en segundo plano específicas para iOS 7, debe tener la versión v4.9 del agente Workspace ONE o una superior. Además, el agente Workspace ONE no puede estar en un estado Inactive (inactivo). Su estado debe ser Active (activo), Suspended (suspendido) o Background (en segundo plano). Si la aplicación se cierra manualmente, las comprobaciones en segundo plano no se reanudarán hasta que el usuario vuelva a abrir la aplicación.

Además, mediante el uso de la funcionalidad de detección de peligro en el SDK de Workspace ONE, puede vincular esta lógica de comprobación en segundo plano en la aplicación interna para detectar el jailbreak en segundo plano.

Comprobaciones iniciadas por la aplicación

Establezca puntos de control de detección para la información empresarial y el uso de funciones de Workspace ONE. Cuando un dispositivo inicia Workspace ONE Secure Content Locker, AirWatch Browser o el agente AirWatch MDM, el sistema de detección verifica automáticamente el estado del cumplimiento de normas, lo que agrega una pared adicional de protección a la información.

Habilite sus aplicaciones envueltas para iOS y Android con protección frente a dispositivos en peligro. Simplemente habilite la configuración en la página de configuración y políticas (Groups & Settings [Grupos y configuraciones] > All Settings [Todas las configuraciones] > Apps [Aplicaciones] > Settings and Policies [Configuraciones y políticas] > Security Policies [Políticas de seguridad]) junto con otras configuraciones para las aplicaciones envueltas, y asigne el perfil a una de estas. Para obtener más información e instrucciones paso a paso, consulte la Guía de envoltura de aplicaciones de Workspace ONE.

Habilite las aplicaciones de SDK para iOS con detección de dispositivos en peligro. A partir de iOS SDK v.3.2, puede comprobar el estado de peligro del dispositivo directamente en la aplicación, independientemente de si el dispositivo está en línea o sin conexión. La aplicación solo puede usar esta función si el dispositivo ha ejecutado una llamada de baliza correctamente al menos una vez en el pasado. Para obtener más información y un código de ejemplo, consulte la Guía del SDK iOS de Workspace ONE.

Motor de cumplimiento de normas

Cuando Workspace ONE detecta dispositivos en peligro o que no cumplen con las normas, el motor de cumplimiento rápidamente toma acciones sobre estos de acuerdo con la política establecida por el administrador en la consola. Workspace ONE proporciona flexibilidad para que el administrador exija el estado inicial del dispositivo, además de establecer la frecuencia del intervalo de tiempo del motor de cumplimiento de normas.

Detección integrada en las aplicaciones empresariales

En lugar de instalar el agente Workspace ONE para acceder al SDK, integre el SDK de Workspace ONE en las aplicaciones internas. El SDK incluye las funciones clave de MDM (que se describen en nuestro perfil de SDK completo), que incluyen la detección de jailbreak y rooteo, a través del monitoreo constante del cumplimiento de normas. Generalmente, las aplicaciones empresariales que se insertan en un dispositivo ejecutan análisis de detección con mayor frecuencia, de modo que se detectan más rápido los dispositivos en peligro.

A continuación, un administrador puede especificar las acciones que se tomarán para una aplicación instalada en el dispositivo en peligro, en la consola de administración. Por ejemplo, si un dispositivo se encuentra en peligro, el administrador puede tomar las siguientes acciones:

• Enviar un mensaje de advertencia al usuario
• Bloquear el usuario del dispositivo
• Borrar los datos empresariales y de aplicaciones
• Restringir el acceso

Supervisión y monitoreo de dispositivos en peligro

Aplique directivas de cumplimiento de normas para monitorear el estado de peligro de los dispositivos iOS y Android. La consola de administración de Workspace ONE cuenta con herramientas para que el administrador mantenga el sistema alerta y protegido.

Nota: No es necesaria la detección de dispositivos en peligro en los dispositivos telefónicos con Windows, ya que no se conoce de jailbreak o rooteos, lo que se debe a la UEFI y los procesos de arranque seguros del sistema operativo.

Motor de cumplimiento de normas

El motor de cumplimiento de normas funciona como un punto de control de seguridad, por lo que se bloquea automáticamente, o lleva a cabo una acción adicional en los dispositivos o usuarios. Según las reglas de cumplimiento de normas establecidas por el administrador para un dispositivo, el motor de cumplimiento de normas puede detectar si un dispositivo no cumple con estas y realizar acciones definidas sobre él. Estas reglas y acciones se pueden definir en la consola de administración de Workspace ONE.

Después de establecer las reglas y acciones, el motor de cumplimiento de normas se encarga del resto. La corrección está automatizada. Si un análisis descubre un dispositivo en peligro, al ejecutar el sistema, se muestran advertencias predeterminadas y se solicitan acciones. No se obliga a los administradores a abordar cada instancia que encuentran.

Sin embargo, la consola de administración habilita el autoservicio para el protocolo de cumplimiento de normas. Los administradores pueden borrar un dispositivo, y enviar un correo electrónico o un mensaje SMS al usuario para explicarle cómo y por qué el dispositivo no está cumpliendo las normas, sin que el usuario tenga que comunicarse con ellos.

Con el tiempo ahorrado por los dispositivos de administración del motor de cumplimiento de normas, los administradores pueden revisar los informes de cumplimiento semanales o mensuales para descubrir a los infractores repetitivos.

Cumplimiento de normas Last Compromised Scan

El cumplimiento de normas Last Compromised Scan (Último escaneo de peligro) permite al administrador establecer el intervalo de tiempo dentro del cual el agente debe ejecutar el escaneo de dispositivos. Esto garantiza que si AirWatch no ha recibido un estado de cumplimiento de normas del dispositivo durante un período determinado, se pueden tomar medidas preventivas.

Cumplimiento de normas Compromised Status

La regla de cumplimiento de normas Compromised Status (Estado de peligro) permite al administrador configurar acciones para un dispositivo en peligro.

Para las dos reglas de cumplimiento de normas anteriores, se pueden aplicar las siguientes acciones:

• Notify (Notificar): notificar al usuario por correo electrónico, SMS y notificaciones de inserción.
• Application (Aplicación): bloquear o eliminar algunas o todas las aplicaciones administradas.
• Command (Comando): realizar un borrado empresarial o solicitar que un dispositivo se presente.
• Profile (Perfil): bloquear o eliminar todos los perfiles o un tipo de perfil determinado, o un perfil específico.

Panel de control de dispositivos

Los administradores pueden ver el resumen de los dispositivos inscritos. El resumen incluye los detalles de seguridad que informan al administrador si se ha realizado una detección de peligro en el dispositivo o no. Si el dispositivo no está en peligro, se muestra la marca de verificación verde.

Visualización del cumplimiento de normas del dispositivo

El panel cuenta con una representación gráfica del porcentaje de dispositivos en peligro inscritos en un grupo de organizaciones. Esto proporciona al administrador una visualización de alto nivel de los dispositivos en peligro y ayuda a mantener un seguimiento de estos dispositivos.

Ejecutar informes de cumplimiento de normas programados o según demanda

La consola de administración de Workspace ONE también incluye más de 100 informes estándar, incluida una lista de informes de cumplimiento de normas que se pueden ejecutar automáticamente a intervalos programados o según demanda. Vea rápidamente los dispositivos que no cumplen con las normas en toda la flota o en grupos de organizaciones específicos. Aísle los dispositivos que no cumplen con respecto a aplicaciones en lista negra, configuración débil de código de acceso y cumplimiento de la seguridad general. Los informes de cumplimiento de normas permiten una vista general de los dispositivos en peligro o que no cumplen con las normas de su sistema.

Conclusión

Tener una MDM protegida es una necesidad siempre en aumento y, por lo tanto, Workspace ONE da un paso adelante en esa dirección, ya que ofrece una solución sin precedentes que le posibilita detectar amenazas de seguridad, como los dispositivos en peligro. La solución única de detección de múltiples niveles Workspace ONE se diseñó para ser eficaz en todas las plataformas de dispositivos y también proporciona flexibilidad para tomar las acciones necesarias en los dispositivos detectados. Todos los ingredientes anteriores de la solución de detección hacen que Workspace ONE sea una solución eficaz para mantener la empresa protegida, tranquila y sin obstáculos.

Para obtener soporte, los clientes en EE. UU. pueden llamar a Dell Data Security ProSupport al 877.459.7304, opción 1, ext. 4310039, o a través del Chat Portal (Portal de chat). Para obtener soporte fuera de EE. UU. consulte ProSupport’s International Contact Numbers (Números de contacto internacional de ProSupport). Para obtener ideas y recursos adicionales, visite el Dell Security Community Forum (Foro de la comunidad de seguridad de Dell).