Detección y administración de dispositivos comprometidos con Workspace ONE
Summary: Cómo Workspace ONE detecta y administra los dispositivos afectados, como iOS con jailbreak y Android rooteado. Obtenga información sobre la detección de varios niveles, el monitoreo del cumplimiento y las acciones de seguridad automatizadas para proteger su empresa. ...
Instructions
Productos afectados:
- Workspace ONE
Los dispositivos móviles permiten la comunicación constante y el acceso a contenido empresarial en todo momento. Si bien los dispositivos móviles mantienen el flujo de información de negocios importante, tanto malware como contenido dañado pueden ingresar en la red. Dadas estas posibles amenazas de seguridad, su estrategia de administración de dispositivos móviles (MDM) debe estar preparada para cualquier desafío. Un desafío de seguridad es la presencia de un dispositivo en peligro en la flota móvil.
Descripción general
Los dispositivos comprometidos incluyen dispositivos iOS "con jailbreak" y dispositivos Android "rooteados" que un usuario ha modificado de los ajustes preestablecidos del fabricante. Estos dispositivos eliminan la configuración de seguridad integral y pueden introducir malware en su red y acceder a los recursos de su empresa. En un entorno de MDM, la cadena general depende de la solidez de su vínculo más débil. Un único dispositivo en peligro podría filtrar información confidencial o dañar los servidores. El monitoreo y la detección de dispositivos en peligro se tornan más complicados en un entorno de Bring Your Own Device (BYOD), con diferentes versiones de dispositivos y sistemas operativos. Los dispositivos en peligro son una preocupación importante en la seguridad de una empresa y se deben abordar inmediatamente.
Los dispositivos con jailbreak y rooteados pierden protecciones básicas, lo que hace que sean puntos de entrada vulnerables para la actividad no deseada, como:
- Robo de contraseña e identidad: Los nombres de usuario y las contraseñas sin cifrar se recopilan y utilizan para profundizar en áreas confidenciales o asumir la identidad de la empresa.
- Interceptación de datos: La comunicación enviada y recibida se puede ver a simple vista; no está protegida por medidas de seguridad normales.
- Infiltración de virus: Una red no protegida es un cartel de bienvenida a virus y malware, y puede dañar los datos de su empresa y hacer que sean irrecuperables.
El reto de la detección
Los dispositivos que se ejecutan en diferentes plataformas responden de manera diferente a la detección de riesgos. Por ejemplo, los dispositivos con iOS 7 o versiones posteriores son compatibles con las comprobaciones en segundo plano, pero pueden portar limitaciones adicionales. Los dispositivos Android permiten realizar verificaciones de antecedentes sin restricciones ni limitaciones. Si utiliza la solución de Workspace ONE (anteriormente AirWatch) para este problema, garantiza la detección en varios dispositivos y sistemas operativos.
Enfoque de Workspace ONE
Para hacer frente a estas variaciones, Workspace ONE ha desarrollado un enfoque único de varios niveles para la detección de dispositivos comprometidos. Consulte la siguiente tabla para comprender las limitaciones y funcionalidades de las plataformas iOS y Android.
Funcionalidades de la plataforma
| Capacidad | iOS | Android |
|---|---|---|
| Inscripción de agentes | Se detectó un estado de peligro durante la inscripción | Se detectó un estado de peligro durante la inscripción |
| Comprobación en segundo plano | Para los dispositivos que ejecutan iOS 7 y versiones posteriores, las comprobaciones de antecedentes están disponibles mediante el agente MDM de Workspace ONE. | Permite la detección de fondo |
| Comprobaciones a demanda | Disponible a través de la mensajería programada del servicio de notificaciones de inserción de Apple (APN):
|
Disponible mediante mensajería de GCM:
|
| Motor de cumplimiento de normas | Acciones de corrección automatizadas cuando se detecta un dispositivo comprometido o el estado es desactualizado. | Acciones de corrección automatizadas cuando se detecta un dispositivo comprometido o el estado es desactualizado. |
| Detección incorporada en las aplicaciones empresariales | Está disponible Workspace ONE App Wrapping para ejecutar la detección de peligros en las aplicaciones envueltas | Está disponible Workspace ONE App Wrapping para ejecutar la detección de peligros en las aplicaciones envueltas |
Detección de dispositivos en peligro con Workspace ONE
La solución Workspace ONE abarca toda la vida útil de un dispositivo inscrito, bloqueando los dispositivos no invitados, y cortando lazos con dispositivos en peligro o que no cumplen con las normas. Nuestros algoritmos de detección patentados se someten constantemente a pruebas de penetración, investigación y desarrollo basados en nuevos sistemas operativos, lo que garantiza las capacidades de detección más avanzadas posibles. Este enfoque de detección de varios niveles para los dispositivos afectados consta de lo siguiente:
Inscripción de agentes
La primera línea de defensa de Workspace ONE frente a los dispositivos no deseados comienza en la inscripción. Configure los ajustes de cumplimiento de normas y detecte los dispositivos en peligro antes de permitir la entrada a un dispositivo. Exigir a todos los dispositivos que cumplan con la configuración de seguridad o instalar perfiles para el usuario. La detección del cumplimiento de normas de seguridad varía según el tipo de inscripción:
- Basada en agente: los dispositivos iOS y Android pueden inscribirse con Workspace ONE MDM Agent, que se puede descargar en la tienda de aplicaciones de iTunes o Google Play Store. Una vez instalado el agente, este comprueba el estado del dispositivo y el dispositivo envía la información al servidor según el intervalo de tiempo establecido en Workspace ONE Admin Console.
- Basado en la Web: los dispositivos iOS son los únicos que admiten la inscripción basada en la Web con el navegador web predeterminado en el dispositivo mediante la URL de inscripción. Para detectar el estado de estos dispositivos, estos deben tener instalada cualquiera de las aplicaciones integradas del SDK de Workspace ONE, como Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker o una aplicación empresarial con SDK habilitado.
Para obtener más información sobre los diversos enfoques de inscripción, consulte la guía de la plataforma iOS.
Comprobaciones en segundo plano
Después de inscribir el dispositivo, administre su cumplimiento de normas. El agente MDM de Workspace ONE proporciona comprobaciones en segundo plano continuas para el estado en peligro para todos los dispositivos Android y las versiones más recientes del sistema operativo iOS (iOS 7+) con acceso a una red celular.
Disponible para dispositivos iOS 7; puede aprovechar las funciones del agente Workspace One, incluidas las siguientes:
- Actualización de aplicaciones en segundo plano: Workspace ONE proporciona un medio para establecer la recopilación y la transmisión basadas en intervalos de información del dispositivo completamente a través del agente de Workspace ONE. En este caso, puede enviar un parámetro de tiempo al dispositivo para determinar con qué frecuencia se debe iniciar el agente Workspace ONE, con un valor mínimo. Para habilitar esta configuración, vaya a Configuración de>dispositivos>Apple>Apple iOS>Configuración del agente en la consola de administración de Workspace ONE. En esta página, haga clic en Background App Refresh y configure las opciones disponibles. Establezca el Intervalo mínimo de actualización y configure el agente para que solo se registre si el dispositivo está conectado a una red Wi-Fi. Establecer el intervalo de actualización mínimo significa que el dispositivo intenta enviar información del dispositivo al servidor de MDM no más de una vez en el mínimo asignado.
- Servicio silencioso de notificaciones push de Apple (APNs): Workspace ONE solicita automáticamente comprobaciones de antecedentes mediante APN silenciosos con regularidad. En esta instancia, la consola de administración de Workspace ONE envía una notificación al dispositivo solicitando que el estado comprometido regrese al servidor de Workspace ONE. En el dispositivo, las notificaciones de inserción deben estar activadas para el agente Workspace ONE.
También puede ejecutar manualmente una consulta yendo a la página Detalles del dispositivo para un dispositivo específico y haciendo clic en Más>consulta>Agente MDM de Workspace ONE, como se muestra a continuación. Esta consulta solo aparece si está instalada la versión necesaria del agente Workspace ONE en el dispositivo.
Además, mediante el uso de la funcionalidad de detección de peligro en el SDK de Workspace ONE, puede vincular esta lógica de comprobación en segundo plano en la aplicación interna para detectar el jailbreak en segundo plano.
Comprobaciones iniciadas por la aplicación
Establezca puntos de control de detección para la información empresarial y el uso de funciones de Workspace ONE. Cuando un dispositivo inicia Workspace ONE Secure Content Locker, AirWatch Browser o el agente AirWatch MDM, el sistema de detección verifica automáticamente el estado del cumplimiento de normas, lo que agrega una pared adicional de protección a la información.
Habilite sus aplicaciones envueltas para iOS y Android con protección frente a dispositivos en peligro. Habilite la configuración en la página Configuración y políticas (Grupos y configuración>, Todos los ajustes>, Aplicaciones>, Configuración y políticas>, Políticas de seguridad) junto con otras configuraciones para las aplicaciones empaquetadas y asigne el perfil a la aplicación envuelta. Para obtener más información e instrucciones paso a paso, consulte la Guía de envoltura de aplicaciones de Workspace ONE.
Habilite sus aplicaciones de SDK para iOS con detección de vulneración. A partir de iOS SDK v.3.2, puede comprobar el estado de peligro del dispositivo directamente en la aplicación, independientemente de si el dispositivo está en línea o sin conexión. La aplicación solo puede usar esta función si el dispositivo ha ejecutado una llamada de baliza correctamente al menos una vez en el pasado. Para obtener más información y un código de ejemplo, consulte la Guía del SDK iOS de Workspace ONE.
Motor de cumplimiento de normas
Una vez que Workspace ONE detecta dispositivos comprometidos o que no cumplen con las normas, el motor de cumplimiento actúa rápidamente en esos dispositivos según la política de dispositivos establecida por el administrador en la consola. Workspace ONE proporciona flexibilidad para que el administrador exija el estado inicial del dispositivo y establezca la frecuencia del intervalo de tiempo del motor de cumplimiento de normas.
Detección incorporada en las aplicaciones empresariales
En lugar de instalar el agente Workspace ONE para acceder al SDK, integre el SDK de Workspace ONE en las aplicaciones internas. El SDK incluye las funciones clave de MDM (que se describen en nuestro perfil de SDK completo), que incluyen la detección de jailbreak y rooteo, a través del monitoreo constante del cumplimiento de normas. Generalmente, las aplicaciones empresariales que se insertan en un dispositivo ejecutan análisis de detección con mayor frecuencia, de modo que se detectan más rápido los dispositivos en peligro.
A continuación, un administrador puede especificar las acciones que se tomarán para una aplicación que está instalada en el dispositivo en peligro, en la consola de administración. Por ejemplo, si se detecta que un dispositivo está en peligro, el administrador puede aplicar las siguientes acciones:
- Envía un mensaje de advertencia al usuario.
- Bloquee al usuario del dispositivo.
- Borrar los datos empresariales y de aplicaciones.
- Restringir el acceso
Supervisión y monitoreo de dispositivos en peligro
Aplique directivas de cumplimiento de normas para monitorear el estado de peligro de los dispositivos iOS y Android. La consola de administración de Workspace ONE proporciona al administrador herramientas para mantener la computadora alerta y protegida.
Motor de cumplimiento de normas
El motor de cumplimiento de normas funciona como un punto de control de seguridad, por lo que se bloquea automáticamente, o lleva a cabo una acción adicional en los dispositivos o usuarios. Según las reglas de cumplimiento de normas establecidas por el administrador para un dispositivo, el motor de cumplimiento de normas puede detectar si un dispositivo no cumple con estas y realizar acciones definidas sobre él. Estas reglas y acciones se pueden definir en Workspace ONE Admin Console.
Después de establecer las reglas y acciones, el motor de cumplimiento de normas se encarga del resto. La corrección está automatizada. Si un análisis descubre un dispositivo comprometido, la computadora ejecuta advertencias preestablecidas y acciones escaladas. No se obliga a los administradores a abordar cada instancia que encuentran.
Sin embargo, la consola de administración habilita el autoservicio para el protocolo de cumplimiento. Los administradores pueden borrar un dispositivo, y enviar un correo electrónico o un mensaje SMS al usuario para explicarle cómo y por qué el dispositivo no está cumpliendo las normas, sin que el usuario tenga que comunicarse con ellos.
Con el tiempo que ahorra el motor de cumplimiento que administra los dispositivos, los administradores pueden revisar los informes de cumplimiento semanales o mensuales para comprender a los infractores reincidentes.
Cumplimiento del último análisis comprometido
El cumplimiento de normas Last Compromised Scan (Último escaneo de peligro) permite al administrador establecer el intervalo de tiempo dentro del cual el agente debe ejecutar el escaneo de dispositivos. Esto garantiza que si AirWatch no ha recibido un estado de cumplimiento de normas del dispositivo durante un período determinado, se pueden tomar medidas preventivas.
Cumplimiento de normas Compromised Status
La regla de cumplimiento de normas Compromised Status (Estado de peligro) permite al administrador configurar acciones para un dispositivo en peligro.
Para las dos reglas de cumplimiento de normas anteriores, se pueden aplicar las siguientes acciones:
- Notificar: notificar al usuario por correo electrónico, SMS y notificaciones de inserción.
- Aplicación: bloquear o eliminar algunas o todas las aplicaciones administradas.
- Comando: realizar un borrado empresarial o solicitar que un dispositivo se presente.
- Perfil: bloquear o eliminar todos los perfiles o un tipo de perfil determinado, o un perfil específico.
Panel de control de dispositivos
Los administradores pueden ver el resumen de los dispositivos inscritos. El resumen incluye los detalles de seguridad que informan al administrador si se realizó una detección de peligro en el dispositivo o no. Si el dispositivo no está comprometido, se muestra una marca de verificación verde.
Visualizar el cumplimiento de los dispositivos
El Dashboard cuenta con una representación gráfica del porcentaje de dispositivos en peligro que están inscritos en un grupo de la empresa. Esto le brinda al administrador una vista general de los dispositivos comprometidos y ayuda en el seguimiento de dichos dispositivos.
Ejecutar informes de cumplimiento programados o según demanda
La consola de administración de Workspace ONE también incluye más de 100 informes estándar, incluida una lista de informes de cumplimiento de normas que se pueden ejecutar automáticamente a intervalos programados o según demanda. Vea rápidamente los dispositivos que no cumplen con las normas en toda la flota o en grupos de empresas específicos. Aísle los dispositivos que no cumplan con los atributos de las aplicaciones en lista de bloqueo, ajustes débiles de código de acceso y cumplimiento de normas de seguridad general. Los informes de cumplimiento de normas permiten una vista general de los dispositivos en peligro o que no cumplen con las normas de su sistema.
Conclusión
Tener una MDM protegida es una necesidad siempre en aumento y, por lo tanto, Workspace ONE da un paso adelante en esa dirección, ya que ofrece una solución sin precedentes que le posibilita detectar amenazas de seguridad, como los dispositivos en peligro. La solución de detección de múltiples niveles única de Workspace ONE se diseñó para ser eficaz en todas las plataformas de dispositivos y también proporciona flexibilidad para tomar las medidas necesarias en los dispositivos detectados. Todos los ingredientes anteriores de la solución de detección hacen de Workspace ONE una solución eficaz para mantener su empresa segura.
Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.