Workspace ONE – översikt över komprometterade enheter

Berörda produkter:

• Workspace ONE

Mobila enheter möjliggör ständigt direkt kommunikation och åtkomst till företagsinnehåll. Även om mobila enheter får viktig affärsinformation att flöda kan skadlig programvara och skadat innehåll införas i nätverket. Med tanke på dessa potentiella säkerhetshot bör din strategi för hantering av mobila enheter (MDM) vara förberedd på alla utmaningar. En sådan säkerhetsutmaning är förekomsten av en komprometterad enhet i din mobila enhetspark.

Gäller ej

Översikt

Komprometterade enheter inkluderar "jailbrorade" iOS- och "rotade" Android-enheter som en användare har ändrat från tillverkarens förinställningar. Dessa enheter skalar bort viktiga säkerhetsinställningar och kan införa skadliga program i nätverket och kan komma åt dina företagsresurser. I en MDM-miljö är kedjan endast så stark som den svagaste länken. En enda komprometterad enhet kan läcka känslig information eller skada dina servrar. Övervakning och identifiering av komprometterade enheter blir ännu knepigare i en BYOD-miljö (ta med din egen enhet) där det finns olika versioner av enheter och operativsystem. Komprometterade enheter är ett stort säkerhetsproblem för ett företag och bör omedelbart åtgärdas.

Jailbokade och rotade enheter saknar grundläggande säkerhetsmekanismer, vilket innebär att de är sårbara för oönskade aktiviteter, som till exempel:

• Lösenords- och identitetsstöld: Okrypterade användarnamn och lösenord samlas in och används för att gå djupare in i känsliga områden eller anta företagets identitet.
• Dataavlyssning: Skickad och mottagen kommunikation är oskyddad av vanliga säkerhetsåtgärder.
• Virusinfiltration: Ett oskyddat nätverk är ett vik för virus- och malware-intrång, vilket kan skada ditt företags data och göra dem oåterkalleliga.

Utmaningen med identifiering

Enheter som körs på olika plattformar har olika svar när de identifierar komprometterade enheter. Till exempel stöder iOS 7+-enheter bakgrundskontroller, men kan begränsa dessa. Med Android-enheter kan bakgrundskontroller utföras utan några begränsningar. Workspace ONEs(tidigare AirWatch) lösning på det här problemet säkerställer identifiering över flera enheter och operativsystem.

Workspace ONE:s tillvägagångssätt

Workspace ONE hanterar sådana variationer genom sitt unika tillvägagångssätt i flera lager som det använder för att identifiera komprometterade enheter. Se nedanstående tabell för att förstå begränsningarna och kapaciteten hos iOS- och Android-plattformar.

Plattformsfunktioner

Identifiera komprometterade enheter med Workspace ONE

Workspace ONE:s lösning omfattar hela den registrerade enhetens livslängd, vilket låser ute oinbjudna enheter och klipper banden till komprometterade eller icke-kompatibla enheter. Våra algoritmer för patentskyddad identifiering genomgår ständiga genomslagstester, forskning och utveckling baserat på nya operativsystem, vilket säkerställer de mest avancerade identifieringsfunktionerna. Den här metoden för identifiering i flera lager för komprometterade enheter består av följande:

Agentregistrering

Workspace ONE:s första försvarslinje mot oönskade enheter börjar vid registreringen. Konfigurera inställningar för efterlevnad och identifiera komprometterade enheter innan du ger en enhet åtkomst. Kräv att alla enheter följer säkerhetsinställningarna eller installationsprofilerna för användaren. Identifiering av säkerhetskompatibilitet varierar beroende på typ av registrering:

• Agentbaserad – iOS- eller Android-enheter kan registrera med Workspace ONE MDM-agenten som hämtas från iTunes App Store eller Google Play-butiken. När agenten har installerats kontrolleras enhetens status, och enheten skickar sedan information till servern i enlighet med det tidsintervall som ställts in i Workspace One-administratörskonsolen.
• Webbaserade – iOS-enheter är de enda enheter som stöder webbaserad registrering med enhetens standardwebbläsare med registrerings-URL. Om statusen för sådana enheter ska identifieras måste någon av de integrerade ONE SDK-apparna installeras på enheten, som till exempel en Workspace ONE MDM-agent, Workspace ONE-webbläsare, Workspace ONE säker plats för innehåll eller en SDK-aktiverad företagsapp.

Mer information om hur du jämför olika registreringsmetoder finns i iOS-plattformsmanualen.

Bakgrundskontroller

När enheten har registrerats hanterar du dess efterlevnad. Workspace ONE MDM-agenten tillhandahåller kontinuerliga bakgrundskontroller för att identifiera komprometterad status hos alla Android-enheter och nyare versioner av iOS-operativsystemet (iOS 7 +) med åtkomst till ett mobilt nätverk.

Du kan använda Workspace ONE-agentbaserade funktioner som:

• Uppdatering av bakgrundsapp – Workspace ONE gör det möjligt att ställa in intervallbaserad insamling och överföring av enhetsinformation helt via Workspace ONE-agenten. Det gör att du kan skicka en tidsparameter till enheten som anger hur ofta Workspace ONE-agenten ska startas som minst. Aktivera den här inställningen genom att gå till Devices > Settings > Apple > Apple iOS > Agent Settings i Workspace ONE-administrationskonsolen. På den här sidan klickar du på Background App Refresh (uppdatera bakgrundsapp) och konfigurerar de tillgängliga alternativen. Ställ in Minimum Refresh Interval (minsta uppdateringsintervall) och ställ in agenten på att endast kontrollera om enheten är ansluten till ett Wi-Fi-nätverk. Om du ställer in minsta uppdateringsintervallet försöker enheten skicka enhetsinformation till MDM-servern högst en gång i det tilldelade minimumvärdet.

Bild 1: (Endast på engelska) Konfigurera agentinställningar
 

• Silent Apple Push Notification Service (APNs) – Workspace ONE begär automatiskt bakgrundskontroller med hjälp av tysta APN:er regelbundet. I det här fallet skickar Workspace ONE-administratörskonsolen ett meddelande till den enhet som begär komprometterad status tillbaka till Workspace ONE-servern. Push-meddelanden måste vara aktiverat på enheten för Workspace ONE-agenten.

Bild 2: (Endast på engelska) AirWatch MDM-agent

Du kan även köra en fråga manuellt genom att gå till sidan Enhetsinformation för en specifik enhet och klicka på More > Query > Workspace ONE MDM-agent enligt nedan. Den här frågan visas endast om den version av Workspace ONE-agenten som krävs är installerad på enheten.

Du kan även använda funktionen för att identifiera komprometterade enheter i Workspace ONE SDK och använda den här bakgrundslogiken i ditt interna program för att identifiera jailbroka i bakgrunden.

App-initierade kontroller

Etablera kontrollpunkter för identifiering av företagsinformation och användning av Workspace ONE-funktioner. När en enhet startar säker plats för innehåll i Workspace ONE, AirWatch-webbläsaren eller AirWatch MDM-agenten, verifierar identifieringssystemet automatiskt efterlevnad och lägger till ytterligare en skyddsvägg för din information.

Aktivera dina hanterade appar för iOS och Android med komprometteringsskydd. Aktivera inställningen från sidan Inställningar och policyer (Groups &Settings > All Settings > Apps > Settings and Policies > Security Policies) tillsammans med andra inställningar för dina hanterade appar och tilldela profilen till din hanterade app. Mer information och steg-för-steg-anvisningar finns i Workspace ONE-guiden för inslutna appar.

Aktivera dina SDK-appar för iOS med identifiering av komprometterade enheter. Från iOS SDK v.3.2 kan du kontrollera om enheter är komprometterade direkt i programmet, oavsett om enheten är online eller offline. Programmet kan bara använda den här funktionen om enheten har kört ett lyckat Beacon-anrop minst en gång tidigare. Mer information och exempelkoder finns i Workspace ONE iOS SDK-guiden.

Motor för efterlevnad

När Workspace ONE upptäcker komprometterade eller icke-kompatibla enheter kan efterlevnadsmotorn snabbt vidta åtgärder på dessa enheter baserat på den enhetspolicy som administratören har angett på konsolen. Workspace ONE ger administratören möjlighet att kräva initial enhetsstatus och ställa in efterlevnadsmotorns tidsintervallfrekvens.

Inbyggd identifiering i företagsprogram

I stället för att installera Workspace ONE-agenten för att komma åt SDK kan du integrera Workspace ONE SDK i dina interna appar. SDK levereras med viktiga MDM-funktioner (som beskrivs i vår kompletta SDK-profil), däribland identifiering av jailbrokade och rotade enheter som kontinuerligt undersöker efterlevnad. Företagsappar som vanligtvis körs och som skickas till enhetskörningssökningar oftare, så att du upptäcker komprometterade enheter tidigare.

En administratör kan sedan ange vilka åtgärder som ska vidtas för en app som är installerad på den komprometterade enheten i administrationskonsolen. Administratören kan göra följande om en enhet identifieras som komprometterad:

• Skicka varningsmeddelande till användaren.
• Lås användaren ur enheten.
• Rensa program- och företagsdata.
• Begränsa åtkomst

Verkställa och övervaka komprometterade enheter

Använda efterlevnadspolicyer för att övervaka komprometterade iOS- och Android-enheter. Workspace ONE-administratörskonsolen ger administratören de verktyg som krävs för att hålla systemet säkert och uppdaterat.

Motor för efterlevnad

Efterlevnadsmotorn fungerar som en säkerhetskontrollpunkt, som automatiskt spärrar eller vidtar åtgärder för enheter eller användare. Baserat på de efterlevnadsregler som har angetts av administratören för en enhet kan efterlevnadsmotorn identifiera om en enhet inte är kompatibel och vidta definierade åtgärder på den. Dessa regler och åtgärder kan definieras i Workspace ONE-administratörskonsolen.

När reglerna och åtgärderna har etablerats sköter efterlevnadsmotorn resten. Reparationer automatiseras. Om en komprometterad enhet identifieras under en genomsökning körs datorn med förinställda varningar och eskalerade åtgärder. Administratörer tvingas inte att hantera varje instans som de hittas.

Administratörskonsolen aktiverar däremot självbetjäning för efterlevnadsprotokoll. Administratörer kan rensa en enhet och skicka ett e-post eller SMS-meddelande till användaren som förklarar hur och varför deras enheter är inkompatibla, utan att användaren behöver kontakta administratören.

Med tiden som sparas av efterlevnadsmotorn kan administratörer granska veckovisa eller månadsvisa efterlevnadsrapporter för att förstå upprepade överträdelser.

Senaste sökning efter komprometterade enheter

Med efterlevnadsregeln senaste sökningen efter komprometterade enheter kan administratören ställa in det tidsintervall inom vilket agenten ska utföra enhetssökningen. Detta säkerställer att försiktighetsåtgärder kan vidtas om inte AirWatch har mottagit en efterlevnadsstatus från enheten inom en viss tid.

Efterlevnad av komprometterad status

Med efterlevnadsregeln komprometterad status kan administratören konfigurera åtgärder för en komprometterad enhet.

Följande åtgärder kan tillämpas för de två ovannämnda reglerna:

• Meddela: Meddela användaren genom att skicka SMS-, e-post- och push-meddelanden.
• Program: Blockerar eller tar bort några av eller alla hanterade appar.
• Kommando: Utföra Enterprise Wipe eller begära en enhetskontroll.
• Profil: Blockera eller ta bort alla profiler eller vissa profiltyper eller en viss profil.

Kontrollpanel för enheter

Administratörer kan visa en sammanfattning av de enheter som har registrerats. Sammanfattningen innehåller säkerhetsinformation som informerar administratören om huruvida identifiering av komprometterade enheter har utförts på enheten eller inte. Om enheten inte är komprometterad visas en grön bock.

Bild 3: (Endast på engelska) Kontrollpanel för enheter

Visualisera enhetens kompatibilitet

Instrumentpanelen ger en grafisk representation av den procentandel av komprometterade enheter som är registrerade i en organisationsgrupp. Det ger administratören en överblick på hög nivå av de komprometterade enheterna och hjälper till att spåra sådana enheter.

Bild 4: (Endast på engelska) Instrumentpanelen

Kör schemalagda rapporter eller efterlevnadsrapporter vid behov

Workspace ONE-administratörskonsolen har även mer än 100 standardrapporter, däribland en lista över efterlevnadsrapporter som kan köras automatiskt vid schemalagda tidsintervall eller genereras på begäran. Visa snabbt alla icke-kompatibla enheter i hela enhetsparken eller i specifika organisationsgrupper. Isolera enheter för blockerade appar, inställningar för svaga lösenord och övergripande säkerhetskompatibilitet. Efterlevnadsrapporter ger en överblick över komprometterade eller icke-kompatibla enheter i systemet.

Bild 5: (Endast på engelska) Alla rapporter

Slutsats

Säker MDM är ett växande behov och Workspace ONE hjälper dig genom att erbjuda en oöverträffad lösning som identifierar säkerhetshot, som till exempel komprometterade enheter. Workspace ONE:s unika identifieringslösning i flera lager har utformats för att vara effektiv på alla enhetsplattformar och ger även flexibilitet att vidta nödvändiga åtgärder på de identifierade enheterna. Alla ovanstående komponenter i identifieringslösningen gör Workspace ONE till en effektiv lösning för att skydda ditt företag.

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.