Workspace ONE. Обнаружение скомпрометированных устройств и управление ими
Summary: Как Workspace ONE обнаруживает скомпрометированные устройства, такие как взломанная iOS и рутированная Android, и управляет ими. Узнайте о многоуровневом обнаружении, мониторинге соответствия требованиям и автоматизированных действиях по обеспечению безопасности для защиты вашего предприятия. ...
Instructions
Затронутые продукты:
- Workspace ONE
Мобильные устройства обеспечивают постоянную связь и доступ к общеорганизационным информационным ресурсам в пути. Хотя мобильные устройства поддерживают передачу важной деловой информации, так же в вашу сеть могут быть введены вредоносные программы и поврежденное содержимое. Учитывая эти потенциальные угрозы безопасности, стратегию управления мобильными устройствами (MDM) следует рассчитывать с учетом любых возможных проблем. Одной из таких проблем в области безопасности является наличие взломанного устройства в вашей группе мобильных устройств.
Обзор
К скомпрометированным устройствам относятся «взломанные» устройства iOS и «рутированные» устройства Android, которые пользователь изменил по сравнению с предустановками производителя. На этих устройствах удаляются встроенные настройки безопасности, после чего внедренные в вашу сеть вредоносные программы могут получать доступ к ресурсам предприятия. В среде MDM прочность всей цепи соответствует прочности самого слабого ее звена. Одно взломанное устройство может привести к утечке конфиденциальной информации или повреждению серверов. Мониторинг и обнаружение взломанных устройств становится еще более трудоемким в среде использования собственных устройств сотрудников (BYOD) с различными версиями устройств и операционных систем. Взломанные устройства являются основной проблемой безопасности предприятия и должны быть немедленно заблокированы.
Разблокированные и рутованные устройства перестают обеспечивать эффективные базовые средства защиты, что делает эти устройства уязвимыми точками входа для нежелательной деятельности, например:
- Кража пароля и личных данных: Незашифрованные имена пользователей и пароли собираются и используются для более глубокого проникновения в конфиденциальные области или идентификации компании.
- Перехват данных. Отправленные и полученные сообщения отображаются в открытом виде и не защищены обычными мерами безопасности.
- Проникновение вирусов. Незащищенная сеть представляет собой легкую мишень для вредоносного ПО и вирусов, что может привести к повреждению и невозможности восстановления данных вашей компании.
Задача обнаружения
Устройства, работающие на разных платформах, по-разному реагируют на обнаружение несанкционированного доступа. Например, устройства с iOS версии 7 и выше поддерживают функции фоновой проверки, но могут иметь дополнительные ограничения. Устройства Android позволяют проводить проверку биографических данных без каких-либо ограничений. Представленное Workspace ONE (ранее AirWatch) решение данной проблемы обеспечивает функции обнаружения для нескольких устройств и операционных систем.
Подход Workspace ONE
Чтобы справиться с такими вариациями, Workspace ONE разработала уникальный многоуровневый подход к обнаружению скомпрометированных устройств. Сведения об ограничениях и возможностях платформ iOS и Android см. в таблице ниже.
Возможности платформы
| Возможности | iOS | Android |
|---|---|---|
| Регистрация агента | Во время регистрации обнаружен взлом устройства | Во время регистрации обнаружен взлом устройства |
| Фоновая проверка | Для устройств под управлением iOS 7 и более поздних версий проверка биографических данных доступна с помощью агента Workspace ONE MDM. | Разрешено обнаружение в фоновом режиме |
| Проверки по запросу | Доступно при использовании запланированных сообщений службы push-уведомлений Apple (APNs):
|
Доступно с использованием сообщений GCM:
|
| Механизм обеспечения соответствия | Автоматизированные действия по исправлению при обнаружении скомпрометированного устройства или его устаревшем состоянии. | Автоматизированные действия по исправлению при обнаружении скомпрометированного устройства или его устаревшем состоянии. |
| Функции обнаружения, встроенные в корпоративные приложения | Workspace ONE App Wrapping доступен для принудительного обнаружения взломанных устройств в приложениях с оболочками | Workspace ONE App Wrapping доступен для принудительного обнаружения взломанных устройств в приложениях с оболочками |
Обнаружение взломанных устройств с помощью Workspace ONE
Решение Workspace ONE охватывает всю работу зарегистрированного устройства, блокируя устройства, не имеющие приглашений, и отделяя их от взломанных или несовместимых устройств. Наши запатентованные алгоритмы обнаружения постоянно проходят тестирование на проникновение, исследования и разработки на основе новых операционных систем, обеспечивая самые передовые возможности обнаружения. Этот многоуровневый подход к обнаружению взломанных устройств включает в себя следующее:
Регистрация агента
Первая линия защиты Workspace ONE от нежелательных устройств начинается при регистрации. Настройка параметров соответствия и обнаружение взломанных устройств, прежде чем разрешить вход в устройство. Требовать, чтобы все устройства соответствовали параметрам безопасности или устанавливались профили для пользователя. Обнаружение соответствия требованиям безопасности зависит от типа регистрации:
- На основе агента — устройства iOS или Android могут регистрироваться с помощью агента MDM Workspace ONE, скачанного из магазина приложений iTunes или Google Play. После установки агент проверяет состояние устройства, а затем отправляет информацию на сервер в соответствии с интервалом времени, заданным в консоли администрирования Workspace ONE.
- На основе веб-интерфейса — единственные устройства iOS, поддерживающие веб-регистрацию с использованием браузера по умолчанию на устройстве, использующего URL-адрес регистрации. Для определения состояния таких устройств на устройстве должны быть установлены любые приложения со встроенным пакетом SDK Workspace ONE, такие как агент MDM Workspace ONE, браузер Workspace ONE, блокировщик контроля безопасности контента Workspace ONE или корпоративное приложение с пакетом SDK.
Дополнительные сведения о сравнении различных подходов к регистрации см. в руководстве по платформе iOS.
Фоновые проверки
После регистрации устройства следите за соответствием данного устройства. Агент MDM Workspace ONE обеспечивает постоянную фоновую проверку на наличие состояний взлома для всех устройств Android, а также устройств с более новыми версиями операционной системы iOS (iOS 7 и более поздних версий) с доступом к сотовой сети.
Вы можете воспользоваться следующими функциями на базе агента Workspace ONE, доступными для устройств с iOS 7:
- Фоновое обновление приложений — Workspace ONE предоставляет средства для настройки интервального сбора и передачи информации об устройстве полностью через агент Workspace ONE. В этом случае на устройство можно отправить параметр времени, определяющий минимальный интервал, через который должен запускаться агент Workspace ONE. Включите этот параметр, перейдя в раздел Настройки>устройств>Apple>Apple iOS>Настройки агента в Workspace ONE Admin Console. На этой странице нажмите Обновление фонового приложения и настройте доступные параметры. Задайте минимальный интервал обновления и настройте агента на регистрацию только в том случае, если устройство подключено к сети Wi-Fi. Установка минимального интервала обновления означает, что устройство пытается отправить информацию на сервер MDM не более одного раза за отведенный минимальный интервал.
- Служба автоматических push-уведомлений Apple (APN) — Workspace ONE регулярно автоматически запрашивает проверку биографических данных, используя автоматические APN. В этом случае консоль администрирования Workspace ONE отправляет уведомление устройству, запрашивающему статус «взломан», обратно на сервер Workspace ONE. На устройстве должны быть включены push-уведомления для агента Workspace ONE.
Вы также можете вручную выполнить запрос, перейдя на страницу Device Details для конкретного устройства и нажав More>Query>Workspace ONE MDM Agent, как показано ниже. Этот запрос отображается только в том случае, если на устройстве установлена требуемая версия агента Workspace ONE.
Кроме того, с помощью функций обнаружения взлома в пакете SDK Workspace ONE можно связать логику фонового выполнения вашего внутреннего приложения для выполнения обнаружения взлома ПО.
Проверки, инициированные приложениями
Установите контрольные точки обнаружения для корпоративной информации и использования функции Workspace ONE. Когда устройство запускает блокировщик контроля безопасности контента Workspace ONE, браузер AirWatch или агент MDM AirWatch, система обнаружения автоматически проверяет статус соответствия, добавляя дополнительную защиту вашей информации.
Включите приложения с оболочками для iOS и Android с защитой от несанкционированного доступа. Включите этот параметр на странице «Настройки и политики» («Группы и настройки>», «Все настройки>», «Приложения>», «Параметры и политики», «Политики> безопасности»), а также другие параметры для приложений с оболочкой и назначьте профиль приложению-оболочке. Для получения дополнительной информации и пошаговых инструкций см. «Руководство по оболочке приложений Workspace ONE».
Включите приложения SDK для iOS с функцией обнаружения несанкционированного доступа. Начиная с пакета SDK iOS версии 3.2 можно проверить, находится ли устройство в состоянии взлома непосредственно в приложении, как в сети, так и в автономном режиме. Приложение может использовать эту функцию только в том случае, если на устройстве хотя бы раз ранее был успешно выполнен сигнальный вызов. Для получения дополнительной информации и примера кода см. «Руководство по пакету SDK Workspace ONE iOS».
Механизм обеспечения соответствия
Как только Workspace ONE обнаруживает скомпрометированные или не соответствующие устройства, модуль соответствия требованиям быстро реагирует на эти устройства на основе политики устройств, установленной администратором консоли. Workspace ONE обеспечивает администратору гибкость, необходимую для получения начального состояния устройства, а также для установки интервала времени механизма обеспечения соответствия.
Функции обнаружения, встроенные в корпоративные приложения
Вместо установки агента Workspace ONE для доступа к пакету SDK внедрите пакет SDK Workspace ONE во внутренние приложения. Пакет SDK имеет ключевые функции MDM (которые описаны в нашем полном профиле SDK), включая обнаружение взлома и рутирования, которые постоянно проверяют соответствие устройства. Как правило, корпоративные приложения, отправляемые на устройство, чаще выполняют сканирование для обнаружения взлома, что позволяет быстрее обнаружить взломанные устройства.
После этого в консоли администрирования администратор может указать действия, которые необходимо выполнить для приложения, установленного на взломанном устройстве. Например, при обнаружении взломанного устройства администратор может выполнить следующие действия:
- Отправка предупреждения пользователю.
- Заблокируйте доступ пользователя к устройству.
- Удалить приложение и корпоративные данные.
- Ограничить доступ.
Принудительное управление взломанными устройствами и их мониторинг
Примените политики соответствия для отслеживания состояния взлома устройств iOS и Android. Консоль администрирования Workspace ONE предоставляет администратору инструменты для поддержания работоспособности и безопасности компьютера.
Механизм обеспечения соответствия
Механизм обеспечения соответствия служит контрольной точкой безопасности, автоматически блокируя или выполняя дополнительные действия с устройствами или пользователями. На основе установленных администратором устройства правил соответствия механизм обеспечения соответствия может определить, является ли устройство соответствующим, и предпринять определенные действия. Эти правила и действия можно определить в консоли администрирования Workspace ONE.
После того как правила и действия будут установлены, механизм обеспечения соответствия позаботится об остальном. Восстановление выполняется автоматически. Если при сканировании обнаруживается скомпрометированное устройство, компьютер выполняет предустановленные предупреждения и эскалационные действия. Администраторам не требуется обращаться к каждому экземпляру по мере обнаружения.
Тем не менее консоль администрирования поддерживает самообслуживание для протокола проверки соответствия. Администраторы могут стереть данные с устройства и отправить пользователю сообщение электронной почты или SMS с объяснением того, как и по каким причинам устройство не соответствует требованиям, при этом пользователю нет необходимости обращаться к администратору.
Благодаря времени, сэкономленному за счет управления устройствами модуля соответствия требованиям, администраторы могут просматривать еженедельные или ежемесячные отчеты о соответствии требованиям, чтобы понять список повторных нарушений.
Соответствие на момент последнего сканирования на состояние взлома
Функция соответствия на момент последнего сканирования на состояние взлома позволяет администратору установить временной интервал, в течение которого агент должен выполнять сканирование устройства. Это гарантирует, что, если AirWatch не получил статус соответствия от устройства в течение определенного периода времени, можно принять меры предосторожности.
Соответствие состоянию взлома
Правило соответствия состоянию взлома позволяет администратору настроить действия для взломанного устройства.
Для двух указанных выше правил соответствия можно применить следующие действия:
- Уведомление. Уведомление пользователя посредством отправки SMS, сообщения электронной почты и push-уведомлений.
- Application. Блокировка или удаление нескольких или всех управляемых приложений.
- Команда. Выполнение удаления данных с корпоративных устройств или запрос на регистрацию устройства.
- Profile. Блокировка или удаление всех профилей, определенного типа профиля или определенного профиля.
Панель управления устройством
Администраторы могут просматривать сводную информацию о зарегистрированных устройствах. В сводной информации содержатся сведения о безопасности, информирующие администратора о том, был ли обнаружен взлом на устройстве. Если устройство не скомпрометировано, отображается зеленая галочка.
Визуализация соответствия устройства
Панель управления обеспечивает графическое представление процента взломанных устройств, зарегистрированных в группе организации. Это дает администратору высокоуровневое представление о скомпрометированных устройствах и помогает в отслеживании таких устройств.
Запуск отчетов о соответствии по расписанию или по требованию
Консоль администрирования Workspace ONE поставляется с более чем 100 стандартными отчетами, включая список отчетов о соответствии, которые могут выполняться автоматически через заданные интервалы времени или по требованию. Быстро просматривайте все несоответствующие устройства во всем парке или в определенных группах организаций. Изолируйте представляющие угрозу приложения из заблокированного списка, слабые пароли и проверяйте общее соответствие требованиям безопасности. Отчеты о соответствии позволяют наблюдать за взломанными или несоответствующими устройствами в системе.
Заключение
Защита MDM — постоянно растущая потребность, и поэтому Workspace ONE делает шаг вперед в этом направлении, предлагая беспрецедентное решение, которое позволяет обнаруживать угрозы безопасности, в частности, взломанные устройства. Уникальное многоуровневое решение Workspace ONE для обнаружения эффективно работает на всех платформах устройств, а также обеспечивает гибкость для выполнения необходимых действий с обнаруженными устройствами. Все вышеперечисленные составляющие решения для обнаружения делают Workspace ONE эффективным решением для обеспечения безопасности вашего предприятия.
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.