Visão geral de um dispositivo comprometido no Workspace ONE

Produtos afetados:

• Workspace ONE

Os dispositivos móveis permitem a comunicação e o acesso constantes ao conteúdo corporativo em qualquer lugar. Embora os dispositivos móveis mantenham o fluxo de informações de negócios vitais, malware e conteúdo corrompido podem ser introduzidos em sua rede. Em razão dessas possíveis ameaças de segurança, sua estratégia de MDM (Mobile Device Management, Gerenciamento de Dispositivos Móveis) deve estar preparada para qualquer desafio. Um desses desafios de segurança é a presença de um dispositivo comprometido em sua frota móvel.

Não aplicável

Visão geral

Os dispositivos comprometidos incluem dispositivos iOS "desbloqueados" e Android "rastreados" que o usuário tenha alterado a partir das predefinições do fabricante. Esses dispositivos eliminam as configurações de segurança integrais e podem introduzir malware em sua rede e acessar os recursos da sua empresa. Em um ambiente MDM, a cadeia geral é tão forte quanto seu elo mais fraco. Um único dispositivo comprometido pode vazar informações confidenciais ou corromper seus servidores. Monitorar e detectar dispositivos comprometidos fica ainda mais complicado em um ambiente BYOD (Bring Your Own Device, Traga seu próprio dispositivo), com versões variadas de dispositivos e sistemas operacionais. Os dispositivos comprometidos são uma grande preocupação da empresa com a segurança e isso deve ser resolvido imediatamente.

Os dispositivos desbloqueados e rastreados burlam as proteções básicas e se tornam pontos de entrada vulneráveis para atividades indesejadas, como:

• Roubo de senha e identidade: Nomes de usuário e senhas não criptografados são coletados e usados para se aprofundar em áreas confidenciais ou assumir a identidade da empresa.
• Interceptação de dados: A comunicação enviada e recebida fica em visualização simples, desprotegida por medidas de segurança normais.
• Infiltração de vírus: Uma rede desprotegida é um alvo fácil de vírus e invasões de malware, que podem corromper os dados de sua empresa e torná-los irrecuperáveis.

O desafio da detecção

Os dispositivos em execução em diferentes plataformas respondem de forma diferente à detecção comprometida. Por exemplo, dispositivos iOS 7+ suportam verificações em segundo plano, mas podem ter limitações adicionais. Os dispositivos Android permitem que verificações em segundo plano ocorram sem restrições ou limitações. A solução do Workspace ONE (antigo AirWatch) para esse problema garante a detecção em vários dispositivos e sistemas operacionais.

Abordagem do Workspace ONE

Para lidar com essas variações, o Workspace ONE desenvolveu uma abordagem exclusiva de várias camadas para a detecção de dispositivos comprometidos. Consulte a tabela abaixo para entender as limitações e os recursos das plataformas iOS e Android.

Recursos da plataforma

Detecção de dispositivos comprometidos com o Workspace ONE

A solução Workspace ONE abrange toda a vida útil de um dispositivo inscrito, bloqueando dispositivos não convidados e rompendo vínculos com dispositivos comprometidos ou não compatíveis. Nossos algoritmos de detecção proprietários passam constantemente por testes de penetração, pesquisa e desenvolvimento com base em novos sistemas operacionais, garantindo os recursos de detecção mais avançados possíveis. Essa abordagem de detecção em várias camadas para dispositivos comprometidos consiste no seguinte:

Inscrição do agente

A primeira linha de defesa do Workspace ONE contra dispositivos indesejados começa na inscrição. Defina as configurações de conformidade e detecte dispositivos comprometidos antes de permitir a entrada em um dispositivo. Exija que todos os dispositivos estejam em conformidade com as configurações de segurança ou instale perfis para o usuário. A detecção de conformidade de segurança varia com base no tipo de inscrição:

• Baseado em agente — dispositivos iOS ou Android podem se inscrever no agente MDM do Workspace ONE baixado da iTunes app store ou da Google Play Store. Depois que o agente é instalado, ele verifica o status do dispositivo e, em seguida, envia as informações para o servidor de acordo com o intervalo de tempo definido no Workspace ONE Admin Console.
• Baseados na Web - os dispositivos iOS são os únicos dispositivos compatíveis com inscrição baseada na Web com o navegador da Web padrão no dispositivo usando a URL de inscrição. Para detectar o status desses dispositivos, qualquer um dos aplicativos incorporados do Workspace ONE SDK deve ser instalado no dispositivo, como o Agente MDM do Workspace ONE, Navegador do Workspace ONE, Workspace ONE Secure Content Locker ou um aplicativo empresarial habilitado para SDK.

Para obter mais informações sobre como comparar as várias abordagens de inscrição, consulte o guia da plataforma iOS.

Verificações em segundo plano

Depois que o dispositivo for inscrito, administre sua conformidade. O Agente MDM do Workspace ONE fornece verificações contínuas em segundo plano para conferir o status comprometido de todos os dispositivos Android e versões mais recentes do sistema operacional iOS (iOS 7+) com acesso a uma rede celular.

Disponível para dispositivos iOS 7; você pode aproveitar os recursos baseados no Agente do Workspace ONE, incluindo:

• Atualização de aplicativo em segundo plano - O Workspace ONE oferece um meio de definir a coleta baseada em intervalos e a transmissão de informações do dispositivo inteiramente por meio do agente do Workspace ONE. Nesse caso, você pode enviar um parâmetro de tempo para o dispositivo informando com que frequência o Agente do Workspace ONE deve ser iniciado, no mínimo. Ative essa configuração acessando Devices > Settings > Apple > Apple iOS > Agent Settings no Workspace ONE Admin Console. Nesta página, clique em Background App Refresh e configure as opções disponíveis. Defina o Intervalo mínimo de atualização e defina o Agent para verificar somente se o dispositivo está conectado a uma rede Wi-Fi. A configuração do intervalo mínimo de atualização indica que o dispositivo tenta enviar no máximo uma vez as informações do dispositivo para o servidor MDM no mínimo alocado.

Figura 1: (Somente em inglês) Definir configurações do agent
 

• Serviço de notificação por push silenciosa (APNs) da Apple - O Workspace ONE solicita automaticamente verificações em segundo plano usando APNs silenciosas regularmente. Nesse caso, o Workspace ONE Admin Console envia uma notificação ao dispositivo solicitando o status comprometido ao servidor do Workspace ONE. No dispositivo, as notificações por push devem estar ativadas para o Agente do Workspace ONE.

Figura 2: (Somente em inglês) Agente MDM do AirWatch

Você também pode executar manualmente uma consulta acessando a página Device Details (Detalhes do dispositivo) de um dispositivo específico e clicando em More > Query > Workspace ONE MDM Agent (Mais > Consulta > Agente MDM do Workspace ONE), conforme mostrado abaixo. Essa consulta só será exibida se a versão necessária do Agente do Workspace ONE estiver instalada no dispositivo.

Além disso, usando a funcionalidade de detecção comprometida no Workspace ONE SDK, você pode vincular essa lógica de segundo plano em seu aplicativo interno para realizar a detecção de desbloqueio em segundo plano.

Verificações iniciadas por aplicativo

Estabeleça pontos de verificação de detecção para informações corporativas e o uso dos recursos do Workspace ONE. Quando um dispositivo inicia o Workspace ONE Secure Content Locker, o Navegador do AirWatch ou o Agente MDM do AirWatch, o sistema de detecção verifica automaticamente o status de conformidade, adicionando outra camada de proteção às suas informações.

Ative no iOS e Android seus aplicativos encapsulados com proteção comprometida. Habilite a configuração na página Settings and Policies (Groups & Settings > All Settings > Apps > Settings and Policies > Security Policies) juntamente com outras configurações para seus aplicativos encapsulados e atribua o perfil ao aplicativo encapsulado. Para obter mais informações e instruções passo a passo, consulte o Guia de encapsulamento do aplicativo Workspace ONE.

Ative seus aplicativos de SDK para iOS com detecção comprometida. A partir do iOS SDK v.3.2, você pode verificar o status comprometido do dispositivo diretamente no seu aplicativo, esteja ele on-line ou off-line. Seu aplicativo só poderá usar essa função se o dispositivo tiver executado uma chamada de Sinal com êxito pelo menos uma vez anteriormente. Para ver mais informações e um código de exemplo, consulte o Guia SDK iOS do Workspace ONE.

Mecanismo de conformidade

Assim que o Workspace ONE detecta dispositivos comprometidos ou não compatíveis, o mecanismo de conformidade executa ações rapidamente nesses dispositivos com base na política de dispositivo definida pelo administrador no console. O Workspace ONE oferece flexibilidade ao administrador para exigir o status inicial do dispositivo e definir a frequência do intervalo de tempo do mecanismo de conformidade.

Detecção incorporada em aplicativos empresariais

Em vez de instalar o Agente do Workspace ONE para acessar o SDK, crie o Workspace ONE SDK em seus aplicativos internos. O SDK vem com os principais recursos do MDM (que são descritos em nosso Perfil SDK completo), incluindo detecção de desbloqueio e rastreamento que verifica constantemente a conformidade. Normalmente, execute aplicativos corporativos que são enviados para uma verificação de detecção de execução de dispositivos com mais frequência, para que você capture dispositivos comprometidos mais cedo.

Em seguida, um administrador pode especificar as ações a serem tomadas para um aplicativo instalado no dispositivo comprometido no Console de administração. Por exemplo, se um dispositivo estiver comprometido, o administrador pode aplicar as seguintes ações:

• Enviar mensagem de aviso ao usuário.
• Bloquear o usuário fora do dispositivo.
• Apagar dados empresariais e de aplicativos.
• Restringir acesso

Aplicação e monitoramento de dispositivos comprometidos

Aplique políticas de conformidade para monitorar o status comprometido de dispositivos iOS e Android. O Workspace ONE Admin Console fornece ao administrador ferramentas para manter o alerta do sistema e a segurança.

Mecanismo de conformidade

O Mecanismo de conformidade serve de ponto de verificação de segurança, bloqueando ou tomando medidas adicionais em dispositivos ou usuários automaticamente. Com base nas regras de conformidade definidas pelo administrador para um dispositivo, o mecanismo de conformidade pode detectar se um dispositivo não é compatível e tomar ações definidas sobre ele. Essas regras e ações podem ser definidas no Workspace ONE Admin Console.

Assim que as regras e ações forem estabelecidas, o Mecanismo de conformidade cuida do resto. A correção é automatizada. Se uma verificação descobrir um dispositivo comprometido, o computador executará avisos predefinidos e ações escalonadas. Os administradores não são forçados a lidar com cada instância à medida que são encontrados.

No entanto, o Admin Console não permite o autoatendimento para o protocolo de conformidade. Os administradores podem limpar um dispositivo e enviar um e-mail ou mensagem SMS para o usuário explicando como e por que seu dispositivo está fora de conformidade, sem que o usuário precise entrar em contato com o administrador.

Com o tempo economizado pelo Mecanismo de conformidade gerenciando dispositivos, os administradores podem analisar relatórios de conformidade semanais ou mensais para entender os infratores repetidos.

Última conformidade de verificação comprometida

A conformidade Last Compromised Scan (Última verificação comprometida) permite que o administrador defina o intervalo de tempo dentro do qual o agente deve executar a verificação do dispositivo. Isso garante que, se o AirWatch não tiver recebido um status de conformidade do dispositivo por determinado período, medidas preventivas poderão ser tomadas.

Conformidade de status comprometido

A regra de conformidade Compromised Status (Status comprometido) permite que o administrador configure ações para um dispositivo comprometido.

Para as duas regras de conformidade acima, as seguintes ações podem ser aplicadas:

• Notify: Notificar o usuário enviando SMS, e-mail e notificações por push.
• Application: Bloquear ou remover alguns ou todos os aplicativos gerenciados.
• Comando: Realizar a remoção de dados empresariais ou solicitar um check-in do dispositivo.
• Profile: Bloquear ou remover todos os perfis ou determinado tipo de perfil ou perfil específico.

Painel de controle do dispositivo

Os administradores podem visualizar o resumo dos dispositivos inscritos. O resumo inclui os detalhes de segurança que informam ao administrador se a detecção comprometida foi feita no ou não dispositivo. Se o dispositivo não estiver comprometido, a marca de seleção verde aparecerá.

Figura 3: (Somente em inglês) Painel de controle do dispositivo

Visualizar a conformidade do dispositivo

Seu Painel de indicadores mostra uma representação gráfica da porcentagem de dispositivos comprometidos inscritos em um grupo organizacional. Isso oferece ao administrador uma visualização de alto nível dos dispositivos comprometidos e ajuda no rastreamento desses dispositivos.

Figura 4: (Somente em inglês) Painel

Executar relatórios de conformidade programados ou sob demanda

O Workspace ONE Admin Console também vem com mais de 100 relatórios padrão, incluindo uma lista de relatórios de conformidade que podem ser executados automaticamente em intervalos programados ou gerados sob demanda. Visualize rapidamente qualquer dispositivo fora de conformidade em toda a sua frota ou em grupos organizacionais específicos. Isole dispositivos proibidos para aplicativos na lista bloqueada, configurações de passcode fracas e conformidade de segurança geral. Os relatórios de conformidade permitem uma visão panorâmica de dispositivos comprometidos ou fora de conformidade em seu sistema.

Figura 5: (Somente em inglês) Todos os relatórios

Conclusão

O MDM protegido é uma necessidade em constante crescimento e, portanto, o Workspace ONE avança nessa direção, oferecendo uma solução inigualável que fornece e prepara você para detectar ameaças à segurança, como dispositivos comprometidos. A solução exclusiva de detecção de vários níveis do Workspace ONE foi projetada para ser eficiente em todas as plataformas de dispositivos e também oferece flexibilidade para executar as ações necessárias nos dispositivos detectados. Todos os ingredientes acima da solução de detecção tornam o Workspace ONE uma solução eficaz para manter sua empresa protegida.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.