Обзор устройств Workspace ONE, помеченных как взломанные

Затронутые продукты:

• Workspace ONE

Мобильные устройства обеспечивают постоянную связь и доступ к общеорганизационным информационным ресурсам в пути. Хотя мобильные устройства поддерживают передачу важной деловой информации, так же в вашу сеть могут быть введены вредоносные программы и поврежденное содержимое. Учитывая эти потенциальные угрозы безопасности, стратегию управления мобильными устройствами (MDM) следует рассчитывать с учетом любых возможных проблем. Одной из таких проблем в области безопасности является наличие взломанного устройства в вашей группе мобильных устройств.

Неприменимо

Обзор

Взломанные устройства включают разблокированные устройства iOS и рутованные устройства Android, на которых пользователь внес изменения в предварительные настройки производителя. На этих устройствах удаляются встроенные настройки безопасности, после чего внедренные в вашу сеть вредоносные программы могут получать доступ к ресурсам предприятия. В среде MDM прочность всей цепи соответствует прочности самого слабого ее звена. Одно взломанное устройство может привести к утечке конфиденциальной информации или повреждению серверов. Мониторинг и обнаружение взломанных устройств становится еще более трудоемким в среде использования собственных устройств сотрудников (BYOD) с различными версиями устройств и операционных систем. Взломанные устройства являются основной проблемой безопасности предприятия и должны быть немедленно заблокированы.

Разблокированные и рутованные устройства перестают обеспечивать эффективные базовые средства защиты, что делает эти устройства уязвимыми точками входа для нежелательной деятельности, например:

• Кража пароля и идентификационных данных. Незашифрованные имена пользователей и пароли собираются и используются для более глубокого определения конфиденциальных областей или идентификации компании.
• Перехват данных. Отправленные и полученные сообщения отображаются в открытом виде и не защищены обычными мерами безопасности.
• Проникновение вирусов. Незащищенная сеть представляет собой легкую мишень для вредоносного ПО и вирусов, что может привести к повреждению и невозможности восстановления данных вашей компании.

Задача обнаружения

Устройства, работающие на разных платформах, по-разному реагируют на обнаружение несанкционированного доступа. Например, устройства с iOS версии 7 и выше поддерживают функции фоновой проверки, но могут иметь дополнительные ограничения. Устройства Android позволяют выполнять фоновую проверку без каких-либо ограничений. Представленное Workspace ONE (ранее AirWatch) решение данной проблемы обеспечивает функции обнаружения для нескольких устройств и операционных систем.

Подход Workspace ONE

Чтобы справиться с такими изменениями, в Workspace ONE разработан уникальный многоуровневый подход к обнаружению взломанных устройств. В приведенной ниже таблице описаны ограничения и возможности платформ iOS и Android.

Возможности платформы

Обнаружение взломанных устройств с помощью Workspace ONE

Решение Workspace ONE охватывает всю работу зарегистрированного устройства, блокируя устройства, не имеющие приглашений, и отделяя их от взломанных или несовместимых устройств. Наши проприетарные алгоритмы обнаружения постоянно проходят тестирование на проникновение, исследование и разработку на основе новых операционных систем, обеспечивая самые передовые возможности обнаружения. Этот многоуровневый подход к обнаружению взломанных устройств включает в себя следующее:

Регистрация агента

Первая линия защиты Workspace ONE от нежелательных устройств начинается при регистрации. Настройка параметров соответствия и обнаружение взломанных устройств, прежде чем разрешить вход в устройство. Все устройства должны соответствовать параметрам безопасности или устанавливать соответствующие профили для пользователя. Обнаружение соответствия требованиям безопасности зависит от типа регистрации:

• На основе агента — устройства iOS или Android могут регистрироваться с помощью агента MDM Workspace ONE, скачанного из магазина приложений iTunes или Google Play. После установки агент проверяет состояние устройства, а затем отправляет информацию на сервер в соответствии с интервалом времени, заданным в консоли администрирования Workspace ONE.
• На основе веб-интерфейса. Устройства iOS — это единственные устройства, которые поддерживают веб-регистрацию с помощью веб-браузера по умолчанию на устройстве с использованием URL-адреса регистрации. Для определения состояния таких устройств на устройстве должны быть установлены любые приложения со встроенным пакетом SDK Workspace ONE, такие как агент MDM Workspace ONE, браузер Workspace ONE, блокировщик контроля безопасности контента Workspace ONE или корпоративное приложение с пакетом SDK.

Дополнительные сведения о сравнении различных подходов к регистрации см. в руководстве по платформе iOS.

Фоновые проверки

После регистрации устройства следите за соответствием данного устройства. Агент MDM Workspace ONE обеспечивает постоянную фоновую проверку на наличие состояний взлома для всех устройств Android, а также устройств с более новыми версиями операционной системы iOS (iOS 7 и более поздних версий) с доступом к сотовой сети.

Вы можете воспользоваться следующими функциями на базе агента Workspace ONE, доступными для устройств с iOS 7:

• Фоновое обновление приложений . Workspace ONE предоставляет средства для сбора и передачи информации об устройствах с учетом интервалов с помощью агента Workspace ONE. В этом случае на устройство можно отправить параметр времени, определяющий минимальный интервал, через который должен запускаться агент Workspace ONE. Включите этот параметр, перейдя в раздел «Устройства >Параметры > Apple > Apple iOS > Agent Settings» в консоли администрирования Workspace ONE. На этой странице нажмите Фоновое обновление приложений и настройте доступные параметры. Установите минимальный интервал обновления и установите для агента флажок только в том случае, если устройство подключено к сети Wi-Fi. Установка минимального интервала обновления означает, что устройство пытается отправить информацию на сервер MDM не более одного раза за отведенный минимальный интервал.

Рис. 1. (только на английском языке) Настройка параметров агента
 

• Служба бесшумных push-уведомлений Apple (APNs) — Workspace ONE автоматически запрашивает фоновые проверки с использованием автоматических APNs. В этом случае консоль администрирования Workspace ONE отправляет уведомление устройству, запрашивающему статус «взломан», обратно на сервер Workspace ONE. На устройстве должны быть включены push-уведомления для агента Workspace ONE.

Рис. 2. (только на английском языке) Агент AirWatch MDM

Можно также вручную выполнить запрос, перейдя на страницу Сведения об устройстве для конкретного устройства и нажав More >Query > Workspace ONE MDM Agent, как показано ниже. Этот запрос отображается только в том случае, если на устройстве установлена требуемая версия агента Workspace ONE.

Кроме того, с помощью функций обнаружения взлома в пакете SDK Workspace ONE можно связать логику фонового выполнения вашего внутреннего приложения для выполнения обнаружения взлома ПО.

Проверки, инициированные приложениями

Установите контрольные точки обнаружения для корпоративной информации и использования функции Workspace ONE. Когда устройство запускает блокировщик контроля безопасности контента Workspace ONE, браузер AirWatch или агент MDM AirWatch, система обнаружения автоматически проверяет статус соответствия, добавляя дополнительную защиту вашей информации.

Включите приложения с оболочками для iOS и Android с защитой от несанкционированного доступа. Включите параметр на странице Настройки и политики (Группы и параметры > Все параметры > Приложения> Параметры и политики >Политики безопасности) вместе с другими настройками для приложений с оболочками и назначьте профиль для приложения с оболочками. Для получения дополнительной информации и пошаговых инструкций см. «Руководство по оболочке приложений Workspace ONE».

Включите приложения SDK для iOS с функцией обнаружения несанкционированного доступа. Начиная с пакета SDK iOS версии 3.2 можно проверить, находится ли устройство в состоянии взлома непосредственно в приложении, как в сети, так и в автономном режиме. Приложение может использовать эту функцию только в том случае, если на устройстве хотя бы раз ранее был успешно выполнен сигнальный вызов. Для получения дополнительной информации и примера кода см. «Руководство по пакету SDK Workspace ONE iOS».

Механизм обеспечения соответствия

После того как Workspace ONE обнаружит взломанные или несоответствующие устройства, механизм обеспечения соответствия незамедлительно предпринимает на этих устройствах необходимые действия в соответствии с политикой устройства, заданной на консоли администратором. Workspace ONE обеспечивает администратору гибкость, необходимую для получения начального состояния устройства, а также для установки интервала времени механизма обеспечения соответствия.

Функции обнаружения, встроенные в корпоративные приложения

Вместо установки агента Workspace ONE для доступа к пакету SDK внедрите пакет SDK Workspace ONE во внутренние приложения. Пакет SDK имеет ключевые функции MDM (которые описаны в нашем полном профиле SDK), включая обнаружение взлома и рутирования, которые постоянно проверяют соответствие устройства. Как правило, корпоративные приложения, оттесненные на обнаружение запуска устройства, сканирует чаще, что позволяет быстрее выявлять взломаемые устройства.

После этого в консоли администрирования администратор может указать действия, которые необходимо выполнить для приложения, установленного на взломанном устройстве. Например, при обнаружении взломанного устройства администратор может выполнить следующие действия:

• Отправить предупреждающее сообщение пользователю.
• Заблокировать возможность использования устройства пользователем.
• Удалить приложение и корпоративные данные.
• Ограничить доступ.

Принудительное управление взломанными устройствами и их мониторинг

Примените политики соответствия для отслеживания состояния взлома устройств iOS и Android. Консоль администрирования Workspace ONE предоставляет администратору инструменты для защиты и оповещения системы.

Механизм обеспечения соответствия

Механизм обеспечения соответствия служит контрольной точкой безопасности, автоматически блокируя или выполняя дополнительные действия с устройствами или пользователями. На основе установленных администратором устройства правил соответствия механизм обеспечения соответствия может определить, является ли устройство соответствующим, и предпринять определенные действия. Эти правила и действия можно определить в консоли администрирования Workspace ONE.

После того как правила и действия будут установлены, механизм обеспечения соответствия позаботится об остальном. Восстановление выполняется автоматически. Если при сканации будет обнаружено взломанные устройства, компьютер будет выполнять предустановленные предупреждения и эскалировать действия. Администраторам не требуется обращаться к каждому экземпляру по мере обнаружения.

Тем не менее консоль администрирования поддерживает самообслуживание для протокола проверки соответствия. Администраторы могут стереть данные с устройства и отправить пользователю сообщение электронной почты или SMS с объяснением того, как и по каким причинам устройство не соответствует требованиям, при этом пользователю нет необходимости обращаться к администратору.

Сэкономленное модулем комплаенса время, сэкономленное на управлении устройствами, позволяет администраторам рассматривать еженедельные или ежемесячные отчеты о соответствии, чтобы понять повторяемые ошибки.

Соответствие на момент последнего сканирования на состояние взлома

Функция соответствия на момент последнего сканирования на состояние взлома позволяет администратору установить временной интервал, в течение которого агент должен выполнять сканирование устройства. Это гарантирует, что, если AirWatch не получил статус соответствия от устройства в течение определенного периода времени, можно принять меры предосторожности.

Соответствие состоянию взлома

Правило соответствия состоянию взлома позволяет администратору настроить действия для взломанного устройства.

Для двух указанных выше правил соответствия можно применить следующие действия:

• Уведомление. Уведомление пользователя посредством отправки SMS, сообщения электронной почты и push-уведомлений.
• Application. Блокировка или удаление нескольких или всех управляемых приложений.
• Команда: Выполнение удаления данных с корпоративных устройств или запрос на регистрацию устройства.
• Profile. Блокировка или удаление всех профилей, определенного типа профиля или определенного профиля.

Панель управления устройством

Администраторы могут просматривать сводную информацию о зарегистрированных устройствах. В сводной информации содержатся сведения о безопасности, информирующие администратора о том, был ли обнаружен взлом на устройстве. Если устройство не взломано, отображается зеленая галочка.

Рис. 3. (только на английском языке) Панель управления устройства

Визуализация соответствия устройства

Панель управления обеспечивает графическое представление процента взломанных устройств, зарегистрированных в группе организации. Это дает администратору общий обзор взломаемых устройств и помогает отслеживать такие устройства.

Рис. 4. (только на английском языке) Панели мониторинга

Запуск отчетов о соответствии по расписанию или по требованию

Консоль администрирования Workspace ONE поставляется с более чем 100 стандартными отчетами, включая список отчетов о соответствии, которые могут выполняться автоматически через заданные интервалы времени или по требованию. Быстро просматривайте все несоответствующие устройства во всем парке или в определенных группах организаций. Изолируйте представляющие угрозу приложения из заблокированного списка, слабые пароли и проверяйте общее соответствие требованиям безопасности. Отчеты о соответствии позволяют наблюдать за взломанными или несоответствующими устройствами в системе.

Рис. 5. (только на английском языке) Все отчеты

Заключение

Защита MDM — постоянно растущая потребность, и поэтому Workspace ONE делает шаг вперед в этом направлении, предлагая беспрецедентное решение, которое позволяет обнаруживать угрозы безопасности, в частности, взломанные устройства. Уникальная многоуровневая система обнаружения Workspace ONE была разработана для эффективной работы на всех платформах устройств, также она обеспечивает гибкость при выполнении необходимых действий на обнаруженных устройствах. Все указанные выше компоненты решения для обнаружения делают Workspace ONE эффективным решением для поддержания безопасности предприятия.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.