Workspace ONE tunnistaa ja hallinnoi vaarantuneita laitteita
Summary: Miten Workspace ONE havaitsee ja hallinnoi vaarantuneita laitteita, kuten iOS:ää, jonka suojaus on murrettu, ja rootattua Androidia. Lue lisää monitasoisesta tunnistuksesta, vaatimustenmukaisuuden valvonnasta ja automatisoiduista suojaustoimista yrityksesi suojaamiseksi. ...
Instructions
Tuotteet, joita asia koskee:
- Workspace ONE
Mobiililaitteiden avulla voi olla jatkuvassa tietoliikenneyhteydessä, ja yrityssisältöä voi käyttää missä tahansa. Samalla kun mobiililaitteet vauhdittavat liiketoiminnan tärkeiden tietojen siirtämistä, verkkoon voi tunkeutua myös haittaohjelmia ja vioittunutta sisältöä. Näiden potentiaalisten tietoturvauhkien myötä mobiililaitteiden hallintastrategian (Mobile Device Management, MDM) on oltava kaikkien haasteiden varalta valmiina. Yksi turvallisuushaaste vaarantunut mobiililaite muiden yritysten laitteiden joukossa.
Yleiskuvaus
Vaarantuneita laitteita ovat "jailbroken" iOS ja "rootatut" Android-laitteet, joita käyttäjä on muuttanut valmistajan esiasetuksista. Tällaiset laitteet poistavat käytöstä tärkeitä suojausasetuksia, päästää haittaohjelmia yrityksen verkkoon ja päästä käsiksi yrityksen resursseja. MDM-ympäristössä kokonaisketju on yhtä vahva kuin sen heikoin lenkki. Yksittäinen vaarantunut laite voi vuotaa arkaluontoisia tietoja tai vioittaa palvelimia. Vaarantuneiden laitteiden valvonta ja havaitseminen käy entistä haastavammaksi BYOD (Bring Your Own Device) -ympäristössä, jossa on erilaisia laiteversioita ja käyttöjärjestelmiä. Vaarantuneet laitteet muodostavat yrityksille merkittävän turvallisuusongelman, johon on puututtava välittömästi.
Jailbreakatut ja rootatut laitteet luopuvat perussuojauksista ja tekevät laitteista haavoittuvaisia siten, että niiden kautta voidaan tehdä ei-toivottuja toimintoja, kuten:
- Salasana- ja identiteettivarkaudet: Salaamattomia käyttäjätunnuksia ja salasanoja kerätään ja käytetään menemään syvemmälle arkaluonteisille alueille tai olettamaan yrityksen identiteetti.
- Tiedon sieppaus: viestintä tapahtuu näkyvästi, ilman tavanomaisten suojausmenetelmien turvaa.
- Viruksen tunkeutuminen: vartioimaton verkko on helppo kohde virus- ja haittaohjelmahyökkäyksille, jotka voivat vioittaa yrityksen tietoja ja tehdä niistä palautuskelvottomia.
Havaitsemisen haasteet
Eri alustoilla toimivat laitteet reagoivat eri tavoin vaarantumisen tunnistamiseen. Esimerkiksi iOS 7 -laitteet ja uudemmat tukevat taustatarkistuksia, mutta niissä voi olla lisärajoituksia. Android-laitteet mahdollistavat taustatarkistukset ilman rajoituksia. Workspace ONE (aiemmin AirWatch) -palvelun ratkaisu tähän ongelmaan takaa tunnistuksen erilaisilla laitteilla ja käyttöjärjestelmillä.
Workspace ONE -lähestymistapa
Tällaisten vaihteluiden käsittelemiseksi Workspace ONE on kehittänyt ainutlaatuisen monitasoisen lähestymistavan vaarantuneiden laitteiden havaitsemiseen. Alla olevassa taulukossa on tietoja iOS- ja Android-alustojen rajoituksista ja ominaisuuksista.
Alustan ominaisuudet
| Ominaisuus | iOS | Android |
|---|---|---|
| Agentin rekisteröinti | Vaarantunut tila havaitaan rekisteröinnin aikana | Vaarantunut tila havaitaan rekisteröinnin aikana |
| Taustatarkistus | Laitteissa, joissa on iOS 7 tai uudempi, taustatarkistukset ovat käytettävissä Workspace ONE MDM Agentilla. | Sallii taustatarkistuksen |
| Tarkistukset tarvittaessa | Käytettävissä ajoitettujen Apple Push -ilmoituspalvelun (APN) viestien kautta:
|
Käytettävissä GCM-viestien kautta:
|
| Compliance Engine -automaattityökalu | Automaattiset korjaustoimenpiteet, kun vaarantunut laite havaitaan tai tila on vanhentunut. | Automaattiset korjaustoimenpiteet, kun vaarantunut laite havaitaan tai tila on vanhentunut. |
| Yrityssovelluksiin sisäänrakennettu tunnistus | Workspace ONE App Wrapping -toiminnolla voidaan toteuttaa paketoitujen sovellusten vaarantumisen tunnistus | Workspace ONE App Wrapping -toiminnolla voidaan toteuttaa paketoitujen sovellusten vaarantumisen tunnistus |
Vaarantuneiden laitteiden tunnistaminen Workspace ONE -palvelulla
Workspace ONE -palvelun ratkaisu kattaa rekisteröityjen laitteiden koko käyttöiän. Se sulkee kutsumattomat laitteet ulos ja katkaisee yhteydet vaarantuneisiin tai poikkeaviin laitteisiin. Patentoidut tunnistusalgoritmimme käyvät jatkuvasti läpi tunkeutumistestejä, tutkimusta ja kehitystä, jotka perustuvat uusiin käyttöjärjestelmiin, mikä takaa edistyneimmät mahdolliset tunnistusominaisuudet. Tämä monitasoinen vaarantuneiden laitteiden tunnistustapa koostuu seuraavista osista:
Agentin rekisteröinti
Workspace ONE -järjestelmän ensimmäinen puolustuskeino ei-toivottuja laitteita vastaan alkaa jo rekisteröintivaiheessa. Määritä yhteensopivuusasetukset ja tunnista vaarantuneet laitteet ennen kuin sallit pääsyn laitteeseen. Vaadi, että kaikki laitteet noudattavat suojausasetuksia tai asentavat profiileja käyttäjälle. Tietoturvavaatimusten täyttymisen havainnointi vaihtelee rekisteröintityypin mukaan:
- Agent-pohjainen: iOS- tai Android-laitteet voivat rekisteröityä iTunes App Storesta tai Google Play Kaupasta ladatulla Workspace ONE MDM Agent -sovelluksella. Kun Agent on asennettu, se tarkistaa laitteen tilan ja laite lähettää tiedot palvelimeen Workspace ONE Admin Console -käyttöliittymässä määritetyn aikavälin mukaisesti.
- Verkkopohjainen – iOS-laitteet ovat ainoat laitteet, jotka tukevat verkkopohjaista rekisteröintiä laitteen oletusselaimella rekisteröinti-URL-osoitteen avulla. Tällaisten laitteiden tilan tunnistamista varten laitteeseen on asennettava jokin Workspace ONE SDK:n upotetuista sovelluksista, kuten Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker tai SDK-yhteensopiva yrityssovellus.
Lisätietoja eri rekisteröitymisvaihtoehtojen vertailusta on iOS-alustan oppaassa.
Taustatarkistukset
Kun laite on rekisteröity, hallitse sen vaatimustenmukaisuutta. Workspace ONE MDM Agent tarkistaa taustalla jatkuvasti kaikkien matkapuhelinverkkoa käyttävien Android-laitteiden ja iOS-käyttöjärjestelmän uudempien versioiden (iOS 7 ja uudemmat) vaarantumisen tilaa.
iOS 7 -laitteille on saatavilla Workspace ONE Agent -pohjaisia ominaisuuksia, esimerkiksi:
- Sovellusten päivitys taustalla – Workspace ONE tarjoaa keinon määrittää aikavälipohjaisen laitetietojen keräämisen ja lähettämisen kokonaan Workspace ONE Agentin kautta. Tällöin voit lähettää laitteeseen aikaparametrin, joka määrittää, kuinka usein Workspace ONE Agent vähintään käynnistetään. Ota tämä asetus käyttöön valitsemalla Workspace ONE Admin Consolessa Laiteasetukset>>, Apple > Apple iOS> Agent -asetukset. Valitse tällä sivulla Sovellusten päivitys taustalla ja määritä käytettävissä olevat vaihtoehdot. Määritä vähimmäispäivitysväli ja määritä asiakaspalvelija kirjautumaan sisään vain, jos laite on yhdistetty Wi-Fi-verkkoon. Minimum Refresh Interval -asetus määrittää, että laite ei yritä lähettää laitetietoja MDM-palvelimeen useammin kuin on määritetty.
- Hiljainen Apple Push Notification -palvelu (APNs) – Workspace ONE pyytää automaattisesti taustatarkistuksia käyttämällä hiljaisia APN:eja säännöllisesti. Tässä tapauksessa Workspace ONE Admin Console lähettää laitteeseen ilmoituksen, jossa pyydetään vaarantunutta tilaa takaisin Workspace ONE -palvelimeen. Laitteen Push-ilmoitusten on oltava käytössä työtilan Workspace ONE Agentin kohdalla.
Voit myös suorittaa kyselyn manuaalisesti siirtymällä tietyn laitteen Device Details -sivulle ja valitsemalla More>Query>Workspace ONE MDM Agent alla kuvatulla tavalla. Tämä näkymä tulee näkyviin vain, jos laitteeseen on asennettu Workspace ONE Agent -sovelluksen vaadittu versio.
Käyttämällä lisäksi Workspace ONE SDK:n vaarantumisentunnistustoimintoa voit ottaa käyttöön jailbreak-tunnistuksen kytkeytymällä tähän sisäisen sovelluksen taustalogiikkaan.
Sovellusten käynnistämät tarkistukset
Määritä tunnistuskohdat yritystietoja ja Workspace ONE -ominaisuuksien käyttöä varten. Kun laite käynnistää Workspace ONE Secure Content Lockerin, AirWatch Browserin tai AirWatch MDM Agent -agentin, tunnistusjärjestelmä varmistaa automaattisesti vaatimustenmukaisuuden ja lisää näin uuden tietojasi suojaavan muurin.
Ota paketoidut sovellukset käyttöön iOS- ja Android-käyttöjärjestelmissä vaarantumissuojauksella. Ota asetus käyttöön Asetukset ja käytännöt -sivulla (Ryhmät ja asetukset>: Kaikki asetukset>, sovellukset>, asetukset ja käytännöt>, suojauskäytännöt) sekä muut paketoitujen sovellusten asetukset ja määritä profiili paketoituun sovellukseen. Lisätietoja ja vaiheittaisia ohjeita on Workspace ONE App Wrapping Guide -oppaassa.
Ota SDK-sovellukset käyttöön iOS-käyttöjärjestelmissä vaarantumissuojauksella. iOS SDK 3.2:ssa ja sitä uudemmissa versiossa voi tarkistaa laitteen vaarantumistilan suoraan sovelluksesta riippumatta siitä, onko laite online- vai offline-tilassa. Sovellus voi käyttää tätä toimintoa vain, jos laite on suorittanut Beacon-kutsun onnistuneesti vähintään kerran aikaisemmin. Lisätietoja ja esimerkkikoodi ovat Workspace ONE iOS SDK -oppaassa.
Compliance Engine -automaattityökalu
Kun Workspace ONE havaitsee vaarantuneita tai yhteensopimattomia laitteita, vaatimustenmukaisuusmoduuli reagoi nopeasti kyseisiin laitteisiin järjestelmänvalvojan konsoliin määrittämän laitekäytännön perusteella. Workspace ONE -järjestelmänvalvoja voi vaatia laitteen alkuperäistä tilaa joustavasti ja määrittää Compliance Engine -työkalun aikavälin.
Yrityssovelluksiin sisäänrakennettu tunnistus
Sen sijaan, että asentaisit Workspace ONE Agentin, jotta pääset SDK:hon, voit sisällyttää Workspace ONE SDK:n sisäisiin sovelluksiisi. SDK:ssa on MDM:n keskeiset ominaisuudet (jotka kuvataan tarkemmin SDK Profile -oppaassa), mukaan lukien jatkuvasti käynnissä oleva jailbreak- ja root-tunnistus. Laitteisiin pusketut ja usein käytettävät yrityssovellukset suorittavat tunnistusskannauksia useammin, joten havaitset vaarantuneet laitteet aiemmin.
Tämän jälkeen järjestelmänvalvoja voi määrittää Admin Console -käyttöliittymässä toimenpiteet, jotka suoritetaan vaarantuneeseen laitteeseen asennetun sovelluksen kohdalla. Jos esimerkiksi havaitaan, että laite on vaarantunut, järjestelmänvalvoja voi käyttää seuraavia toimintoja:
- Lähetä käyttäjälle varoitusviesti.
- Lukitse käyttäjä ulos laitteesta.
- Hävitä sovellus- ja yritystiedot.
- Rajoita käyttöoikeuksia
Vaarantuneiden laitteiden valvonta ja toimeenpano
Valvo iOS- ja Android-laitteiden vaarantumistilaa ottamalla käyttöön säädöstenmukaisuuskäytännöt. Workspace ONE Admin Console tarjoaa järjestelmänvalvojalle työkalut, joiden avulla tietokone pysyy valppaana ja suojattuna.
Compliance Engine -automaattityökalu
Compliance Engine toimii suojauksen tarkistuspisteenä. Se voi automaattisesti sulkea ulos laitteita ja käyttäjiä tai tehdä niiden kohdalla muita toimenpiteitä. Järjestelmänvalvojan määrittämien säädöstenmukaisuuskäytäntöjen perusteella Compliance Engine tunnistaa, onko laite säännösten mukainen, ja tekee sen mukaan määritetyt toiminnot. Nämä säännöt ja toiminnot voidaan määrittää Workspace ONE Admin Console -käyttöliittymässä.
Kun säännöt ja toimenpiteet on määritetty, Compliance Engine huolehtii lopusta. Korjaaminen on automatisoitu. Jos tarkistuksessa havaitaan vaarantunut laite, tietokone suorittaa valmiit varoitukset ja eskaloidut toimet. Järjestelmänvalvojien ei tarvitse käsitellä jokaista esiintymää, kun niitä löytyy.
Admin Console mahdollistaa kuitenkin vaatimustenmukaisuusprotokollan itsepalvelun. Järjestelmänvalvojat voivat tyhjentää laitteen ja lähettää käyttäjälle sähköposti- tai tekstiviestin, jossa kerrotaan, miten ja miksi laite ei ole vaatimusten mukainen, ilman käyttäjän yhteydenottoa järjestelmänvalvojaan.
Vaatimustenmukaisuusmoduulin laitteiden hallinnan säästämän ajan avulla järjestelmänvalvojat voivat tarkastella viikoittaisia tai kuukausittaisia vaatimustenmukaisuusraportteja ymmärtääkseen toistuvia rikkomuksia.
Last Compromised Scan -vaatimustenmukaisuus
Last Compromised Scan -vaatimustenmukaisuusasetuksella järjestelmänvalvoja voi asettaa aikavälin, jonka puitteissa Agentin on suoritettava laitteen skannaus. Näin varmistetaan, että jos AirWatch ei ole vastaanottanut laitteen vaatimustenmukaisuustilaa tietyn ajan sisällä, voidaan ryhtyä varotoimenpiteisiin.
Compromised Status -vaatimustenmukaisuus
Compromised Status -säännöllä järjestelmänvalvoja voi määrittää toimenpiteet, joita suoritetaan vaarantuneen laitteen kohdalla.
Yllä kuvailtujen sääntöjen osalta voidaan käyttää seuraavia toimintoja:
- Notify: käyttäjälle tehdään ilmoitus lähettämällä tekstiviesti, sähköposti tai push-ilmoituksia.
- Application: muutaman tai kaikkien hallittujen sovelluksien estäminen tai poistaminen.
- Komento: laitteesta poistetaan yrityksen tiedot tai vaaditaan laitteen ilmoittautumista.
- Profile: kaikkien profiilien, tietyn profiilityypin tai tietyn profiilin estäminen tai poistaminen.
Laitteen ohjauspaneeli
Järjestelmänvalvojat voivat tarkastella rekisteröityjen laitteiden yhteenvetoa. Yhteenvedossa on suojaustiedot, jotka kertovat järjestelmänvalvojalle, onko laitteen vaarantumisen tunnistusta tehty. Jos laite ei ole vaarantunut, vihreä valintamerkki tulee näkyviin.
Visualisoi laitteiden vaatimustenmukaisuus
Koontinäytössä näkyy graafisessa muodossa vaarantuneiden laitteiden osuus organisaatioryhmään rekisteröidyistä laitteista. Tämä antaa järjestelmänvalvojalle korkean tason näkymän vaarantuneista laitteista ja auttaa tällaisten laitteiden seurannassa.
Aikataulun mukaisten tai tarvittaessa suoritettavien vaatimustenmukaisuusraporttien laatiminen
Workspace ONE Admin Console -käyttöliittymässä on yli 100 vakioraporttia, joihin sisältyy myös vaatimustenmukaisuusraportteja, jotka voidaan suorittaa automaattisesti tietyin aikavälein tai luoda tarpeen mukaan. Voit tarkastella nopeasti kaikkia säädösten vastaisia laitteita koko valikoimassa tai tietyissä organisaatioryhmissä. Eristä laitteet, jotka käyttävät kiellettyjä sovelluksia, joiden salasanat ovat heikkoja tai jotka ovat muuten säädösten vastaisia. Raporteista näkee yhdellä katsauksella järjestelmässä olevat vaarantuneet ja säädösten vastaiset laitteet.
Johtopäätös
Turvallisen mobiililaitteiden hallinnan tarve kasvaa jatkuvasti, ja siksi Workspace ONE on askel oikeaan suuntaan. Se tarjoaa ennennäkemättömän ratkaisun, jonka avulla voit tunnistaa turvallisuusuhkia, kuten vaarantuneita laitteita. Workspace ONEn ainutlaatuinen monitasoinen tunnistusratkaisu on suunniteltu tehokkaaksi kaikilla laitealustoilla ja tarjoaa myös joustavuutta vaadittujen toimintojen suorittamiseen havaituille laitteille. Kaikki edellä mainitut tunnistusratkaisun ainesosat tekevät Workspace ONEsta tehokkaan ratkaisun, joka pitää yrityksesi suojattuna.
Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.