Workspace ONE – Přehled ohrožených zařízení
Summary: Tento článek pojednává o přehledu ohrožených zařízení platformy Workspace ONE.
Symptoms
Dotčené produkty:
- Workspace ONE
Mobilní zařízení umožňují nepřetržitou komunikaci a přístup k podnikovému obsahu i na cestách. Zatímco mobilní zařízení zajišťují nepřetržitý tok důležitých podnikových informací, do vaší sítě se může stejně snadno dostat malware a poškozený obsah. Vzhledem k těmto potenciálním bezpečnostním hrozbám by měla být vaše strategie správy mobilních zařízení (MDM) připravena na jakékoli překážky. Jedním z bezpečnostních problémů je přítomnost ohroženého zařízení mezi vašimi mobilními zařízeními.
Cause
Není k dispozici
Resolution
Přehled
Mezi ohrožená zařízení patří zařízení iOS s „jailbreakem“ nebo „rootnutá“ zařízení Android, která uživatel upravil oproti předvolbám výrobce. Tato zařízení odstraňují možnosti integrovaného zabezpečení a mohou do vaší sítě zavést malware a získat přístup k podnikovým zdrojům. V prostředí MDM je celý řetězec jen tak silný jako jeho nejslabší článek. Jediné ohrožené zařízení by mohlo způsobit únik citlivých informací nebo poškození vašich serverů. Sledování a rozpoznání ohrožených zařízení je v prostředí modelu Bring Your Own Device (BYOD) ještě obtížnější, z důvodu různých verzí zařízení a operačních systémů. Ohrožená zařízení jsou pro podnik velkým bezpečnostním problémem a je nutné je neprodleně řešit.
Zařízení s jailbreakem a rootem nemají k dispozici základní bezpečnostní prvky, takže jsou zranitelnými vstupními body pro nežádoucí aktivitu, jakou je např.:
- Krádež hesla a identity: Nešifrovaná uživatelská jména a hesla se shromažďují a používají k hlubšímu přístupu do citlivých oblastí nebo k převzetí identity společnosti.
- Zachycení dat: Odeslaná a přijatá komunikace není nijak kryta, není chráněná běžnými bezpečnostními opatřeními.
- Infiltrace virů: Nechráněná síť je snadný cíl pro viry a malware, které mohou potenciálně nenávratně poškodit data vaší společnosti.
Problematika detekce
Zařízení s různými platformami reagují na detekci ohrožení odlišně. Například zařízení se systémem iOS 7+ podporují kontroly na pozadí, ale mohou mít další omezení. Zařízení se systémem Android umožňují provádět kontroly na pozadí bez jakýchkoli omezení. Platformy Workspace ONE (dříve AirWatch) tento problém řeší detekcí mezi různými zařízeními a operačními systémy.
Přístup platformy Workspace ONE
Platforma Workspace ONE tento problém řeší jedinečným víceúrovňovým přístupem k rozpoznání ohroženého zařízení. Níže uvedená tabulka obsahuje informace o omezeních a možnostech platforem iOS a Android.
Možnosti platformy
| Funkce | iOS | Android |
|---|---|---|
| Registrace agenta | Stav ohrožení byl zjištěn během registrace | Stav ohrožení byl zjištěn během registrace |
| Kontrola na pozadí | U zařízení se systémem iOS 7 a vyšším jsou k dispozici kontroly na pozadí v nástroji Workspace ONE MDM Agent | Umožňuje detekci na pozadí |
| Kontroly na vyžádání | Dostupné prostřednictvím plánovaného odesílání zpráv služby Apple Push Notification service (APNs):
|
Dostupné prostřednictvím zasílání zpráv GCM:
|
| Modul souladu | Automatizované nápravné akce, pokud bylo zjištěno ohrožené zařízení nebo je stav neaktuální | Automatizované nápravné akce, pokud bylo zjištěno ohrožené zařízení nebo je stav neaktuální |
| Detekce integrovaná v podnikových aplikacích | Možnost zabalení aplikací Workspace ONE umožňuje vynutit detekci ohrožení v zabalených aplikacích | Možnost zabalení aplikací Workspace ONE umožňuje vynutit detekci ohrožení v zabalených aplikacích |
Zjištění ohrožení bezpečnosti zařízení pomocí platformy Workspace ONE
Řešení platformy Workspace ONE pokrývá celý životní cyklus zaregistrovaného zařízení, kdy zablokuje nevyžádaná zařízení a ukončí spojení s ohroženými či nevyhovujícími zařízeními. Naše proprietární algoritmy detekce neustále podstupují testování průniku, výzkum a vývoj na základě nových operačních systémů a zajišťují tak nejpokročilejší možnosti detekce. Tento přístup k víceúrovňovému zjišťování pro ohrožená zařízení se skládá z následujících částí:
Registrace agenta
První obranná linie platformy Workspace ONE proti nežádoucím zařízením začíná při registraci. Před povolením vstupu do zařízení nakonfigurujte nastavení souladu a rozpoznejte ohrožená zařízení. Vyžadujte, aby všechna zařízení dodržovala nastavení zabezpečení, nebo nainstalujte profily pro uživatele. Detekce souladu se zabezpečením se liší podle typu registrace:
- Na bázi agenta – Zařízení se systémem iOS nebo Android se může zaregistrovat do aplikace Workspace ONE MDM Agent stažené z obchodu iTunes App Store nebo Google Play. Agent po instalaci zkontroluje stav zařízení, zařízení pak odešle informace na server podle časového intervalu nastaveného v konzoli správce Workspace ONE.
- Webové – zařízení iOS jsou jediná zařízení, která podporují registraci na webu pomocí výchozího webového prohlížeče v zařízení pomocí registrační adresy URL. Chcete-li zjistit stav těchto zařízení, je třeba na zařízení nainstalovat některou z aplikací s integrovanou sadou SDK Workspace ONE, jako je například Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker nebo podniková aplikace s podporou sady SDK.
Další informace o porovnání různých přístupů k registraci naleznete v průvodci platformou iOS.
Kontroly na pozadí
Jakmile je zařízení zaregistrováno, můžete spravovat jeho soulad. Nástroj Workspace ONE MDM Agent poskytuje průběžné kontroly stavu na pozadí pro všechna zařízení Android a zařízení s novější verzí operačního systému iOS (iOS 7+) s přístupem k mobilní síti.
U zařízení se systémem iOS 7 můžete využívat funkce aplikace Workspace ONE Agent, mezi které patří:
- Obnovení aplikací na pozadí – Platforma Workspace ONE nabízí způsob, jak nastavit shromažďování na základě intervalu a přenos informací o zařízení výhradně prostřednictvím aplikace Workspace ONE Agent. V takovém případě můžete do zařízení odeslat parametr času s označením, jak často má být aplikace Workspace ONE Agena spuštěna. Toto nastavení povolte v části Devices > Settings > Apple > Apple iOS > Agent Settings v konzoli správce Workspace ONE. Na této stránce klikněte na možnost Background App Refresh a nakonfigurujte dostupné možnosti. Nastavte hodnotu Minimum Refresh Interval a nastavte agenta tak, aby se zaškrtl pouze v případě, že je zařízení připojeno k síti Wi-Fi. Nastavením hodnoty Minimum Refresh se zařízení pokusí odeslat informace o zařízení na server MDM pouze jednou ve vyhrazeném minimálním limitu.
Obrázek 1: (Pouze v angličtině) Konfigurace nastavení agenta
- Tichá služba Apple Push Notification service (APNs) – Platforma Workspace ONE automaticky vyžaduje kontroly na pozadí při pravidelném používání tiché služby APNs. V takovém případě odešle konzole správce Workspace ONE oznámení do zařízení, které vyžaduje stav ohrožení, zpět na server Workspace ONE. V zařízení musí být povolena nabízená oznámení pro aplikaci Workspace ONE Agent.
Obrázek 2: (Pouze v angličtině) AirWatch MDM Agent
Dotaz můžete také ručně spustit přechodem na stránku Podrobnosti o zařízení konkrétního zařízení a kliknutím na možnost Další > Dotaz > Workspace ONE MDM Agent, jak je uvedeno níže. Tento dotaz se zobrazí v případě, že je v zařízení nainstalována požadovaná verze aplikace Workspace ONE Agent.
Pomocí funkce detekce narušení v rozhraní Workspace ONE SDK se můžete také připojit k této logice na pozadí ve své interní aplikaci, a provést tak detekci jailbreaku na pozadí.
Kontroly vyvolané aplikací
Stanovte kontrolní body detekce pro podnikové informace a použití platformy Workspace ONE. Když zařízení spustí aplikaci Workspace ONE Secure Content Locker, AirWatch Browser nebo AirWatch MDM Agent, systém detekce automaticky ověří stav souladu a přidá vašim informacím další ochranu.
Povolte své zabalené aplikace pro systémy iOS a Android s ohroženou ochranou. Povolte nastavení na stránce Settings and Policies (Groups &Settings > All Settings > Apps > Settings and Policies > Security Policies) spolu s dalšími nastaveními zabalené aplikace a přiřaďte profil zabalené aplikaci. Další informace a podrobné pokyny najdete v příručce k nástroji Workspace ONE App Wrapping.
Povolte své aplikace SDK pro systém iOS s ohroženou detekcí. Počínaje verzí iOS SDK v.3.2 můžete zkontrolovat stav ohrožení zařízení přímo ve vaší aplikaci, ať už je zařízení online nebo offline. Tato funkce je k dispozici pouze v případě, že zařízení v minulosti alespoň jednou úspěšně aktivovalo hovor majáku. Další informace a vzorový kód najdete v příručce k rozhraní Workspace ONE SDK pro systém iOS.
Modul souladu
Jakmile platforma Workspace ONE zjistí ohrožená či nevyhovující zařízení, modul pro zajištění souladu na těchto zařízeních rychle zareaguje na základě zásad zařízení nastavených správcem na konzoli. Platforma Workspace ONE poskytuje správci flexibilitu k vyžadování počátečního stavu zařízení a také nastavení frekvence časového intervalu modulu pro zajištění souladu.
Detekce integrovaná v podnikových aplikacích
Namísto instalace aplikace Workspace ONE Agent pro přístup k sadě SDK můžete integrovat sadu SDK Workspace ONE do svých interních aplikací. Sada SDK obsahuje klíčové funkce správy mobilních zařízení (které jsou popsány v našem kompletním profilu SDK), včetně detekce jailbreaku a rootu, které nepřetržitě sledují soulad zařízení. Běžně spouštěné podnikové aplikace, které jsou přesměrovány na zjišťování spuštěného zařízení, spouští častěji, takže rychleji zachytíte ohrožená zařízení.
Správce poté může v konzoli pro správu určit akce, které mají být provedeny pro aplikaci nainstalovanou v ohroženém zařízení. Pokud je například nalezeno ohrožené zařízení, může správce použít následující akce:
- Odeslat uživateli varovné hlášení
- Uzamknout zařízení
- Vymazat data aplikací a podniková data
- Omezit přístup
Vynucení a monitorování ohrožených zařízení
Vynuťte zásady souladu a sledujte stav ohrožených zařízení iOS a Android. Konzole správce Workspace ONE poskytuje správci nástroje, se kterými bude systém zabezpečen a v pohotovosti.
Modul souladu
Modul souladu slouží jako bezpečnostní kontrolní bod, který automaticky uzamyká nebo přijímá další opatření u zařízení nebo uživatelů. Na základě pravidel souladu stanovených správcem zařízení může modul pro zajištění souladu zjistit, zda zařízení splňuje požadavky, a provést u něj definované akce. Tato pravidla a akce lze definovat v konzoli správce Workspace ONE.
Po vytvoření pravidel a opatření se modul souladu postará o zbytek. Náprava je automatizovaná. Pokud kontrola odhalí ohrožené zařízení, počítač provede přednastavená varování a eskalované akce. Správci nejsou nuceni řešit každou nalezenou instanci.
Konzola pro správu však umožňuje samoobslužný přístup k protokolu o souladu. Správci mohou zařízení vymazat a odeslat e-mail nebo zprávu SMS s vysvětlením, jak a proč zařízení nevyhovuje, aniž by uživatel musel kontaktovat správce.
S časem ušetřeným modulem pro správu zařízení dodržování předpisů mohou správci kontrolovat týdenní nebo měsíční hlášení o dodržování předpisů, aby vyrozuměli opakovaně rušiví.
Soulad poslední ohrožené kontroly
Tato funkce umožňuje správci nastavit časový interval, v rámci kterého má agent provést kontrolu zařízení. Tím je zajištěno, že pokud aplikace AirWatch neobdrží od zařízení do určité doby stav souladu, lze přijmout preventivní opatření.
Soulad stavu ohrožení
Pravidlo souladu stavu ohrožení umožňuje správci nastavit akce pro ohrožené zařízení.
Pro dvě výše uvedená pravidla souladu lze použít následující akce:
- Notify: Upozornění uživatele odesláním zprávy SMS, e-mailu a oznámení.
- Application: Blokování nebo odstranění několika nebo všech spravovaných aplikací.
- Příkaz: Vymazání na úrovni podniku nebo odeslání žádosti o kontrolu zařízení.
- Profile: Blokování nebo odstranění všech profilů, konkrétního typu profilů či konkrétního profilu.
Ovládací panel zařízení
Správci si mohou zobrazit přehled zaregistrovaných zařízení. Přehled obsahuje informace o zabezpečení, které informují správce, zda bylo na zařízení zjištěno ohrožení, či nikoliv. Pokud zařízení není ohroženo, zobrazí se zelený symbol zaškrtnutí.
Obrázek 3: (Pouze v angličtině) Ovládací panel zařízení
Zobrazení souladu zařízení
Na řídicím panelu si můžete zobrazit grafické znázornění procenta ohrožených zařízení zaregistrovaných v organizační skupině. Správce tak získá přehled o ohrožených zařízeních na vysoké úrovni a pomůže se s těmito zařízeními sledovat.
Obrázek 4: (Pouze v angličtině) Řídicího panelu
Spuštění plánovaných nebo vyžádaných hlášení o kompatibilitě
Konzole správce Workspace ONE je také dodávána s více než 100 standardních hlášení, včetně seznamu hlášení o shodě, která lze spustit automaticky v plánovaných intervalech nebo generovat na vyžádání. Můžete si rychle zobrazit všechna nevyhovující zařízení v celé společnosti nebo ve specifických organizačních skupinách. Izolujte problematická zařízení pro zakázané aplikace, nastavení slabého hesla a celkový soulad se zabezpečením. Hlášení o souladu přináší kompletní přehled o ohrožených nebo nevyhovujících zařízeních ve vašem systému.
Obrázek 5: (Pouze v angličtině) Všechny zprávy
Závěr
Zabezpečená správa mobilních zařízení je stále důležitější, a proto platforma Workspace ONE v tomto směru nabízí bezkonkurenční řešení, které poskytuje nástroje pro detekci bezpečnostních hrozeb, jakými jsou například ohrožená zařízení. Jedinečné víceúrovňové řešení pro detekci Workspace ONE bylo navrženo tak, aby bylo účinné na všech platformách a nabízelo flexibilitu při provádění požadovaných akcí na zjištěných zařízeních. Díky všem výše uvedeným funkcím řešení pro detekci je platforma Workspace ONE účinným řešením, které zajistí zabezpečení vaší firmy.
Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.