Workspace ONE-Übersicht über infizierte Geräte
Summary: In diesem Artikel wird die Übersicht über kompromittierte Geräte von Workspace ONE erläutert.
Symptoms
Betroffene Produkte:
- Workspace ONE
Mobilgeräte ermöglichen unterwegs eine konstante Kommunikation und Zugriff auf Unternehmensinhalte. Während Mobilgeräte den Austausch wichtiger Unternehmensinformationen ermöglichen, können durch sie ebenso Malware und beschädigte Inhalte in Ihr Netzwerk eingeschleust werden. Angesichts dieser potenziellen Sicherheitsbedrohungen sollte die Strategie für die mobile Geräteverwaltung (MDM) auf jede Herausforderung vorbereitet sein. Eine solche Sicherheitsherausforderung ist das Vorhandensein eines kompromittierten Geräts in Ihrem Inventar von Mobilgeräten.
Cause
Nicht zutreffend
Resolution
Übersicht
Zu den infizierten Geräten gehören iOS-Geräte mit „Jailbreak“ und Android-Geräte mit Rootzugriff, die ein Nutzer in Abweichung von den Herstellervoreinstellungen verändert hat. Diese Geräte entfernen wesentliche Sicherheitseinstellungen, können Malware in Ihr Netzwerk einschleppen und auf Ihre Unternehmensressourcen zugreifen. In einer MDM-Umgebung ist die gesamte Kette nur so stark wie ihr schwächstes Glied. Ein einzelnes kompromittiertes Gerät könnte vertrauliche Informationen preisgeben oder Ihre Server infizieren. Das Überwachen und Erkennen kompromittierter Geräte wird in einer BYOD-Umgebung (Bring Your Own Device) mit unterschiedlichen Versionen von Geräten und Betriebssystemen noch komplizierter. Kompromittierte Geräte sind ein großes Sicherheitsproblem für ein Unternehmen und sollten sofort in Angriff genommen werden.
Geräte mit Jailbreak oder Rootzugriff verzichten auf grundlegende Sicherheitsvorkehrungen, sodass anfällig und zum Einstiegspunkt für unerwünschte Aktivitäten werden, z. B.:
- Kennwort- und Identitätsdiebstahl: Unverschlüsselte Benutzernamen und Passwörter werden erfasst und verwendet, um sensible Bereiche zu vertiefen oder unternehmenseigene Identitäten zu übernehmen.
- Abfangen von Daten: Gesendete und empfangene Kommunikation kann unverschlüsselt angezeigt werden und ist nicht durch normale Sicherheitsmaßnahmen geschützt.
- Virusinfiltration: Ein ungeschütztes Netzwerk ist ein leichtes Ziel für Viren- und Malware-Angriffe, wodurch die Daten Ihres Unternehmens möglicherweise unwiederbringlich beschädigt werden können.
Die Herausforderung der Gefahrenerkennung
Geräte mit verschiedenen Plattformen reagieren unterschiedlich auf die Erkennung von Gefährdungen. Zum Beispiel unterstützen iOS 7+-Geräte Hintergrundprüfungen, können jedoch zusätzliche Einschränkungen haben. Auf Android-Geräten ist es möglich, dass Hintergrundprüfungen ohne Begrenzungen oder Einschränkungen durchgeführt werden. Die Lösung von Workspace ONE (ehemals AirWatch) für dieses Problem ermöglicht die Erkennung über mehrere Geräte und Betriebssysteme hinweg.
Lösung von Workspace ONE
Um solche Variationen zu bewältigen, hat Workspace ONE einen einzigartigen mehrstufigen Ansatz für die Erkennung kompromittierter Geräte entwickelt. In der folgenden Tabelle finden Sie Informationen zu den Einschränkungen und Funktionen von iOS- und Android-Plattformen.
Plattformfunktionen
| Funktion | iOS | Android |
|---|---|---|
| Agent-Registrierung | Kompromittierter Status während der Registrierung erkannt | Kompromittierter Status während der Registrierung erkannt |
| Hintergrundprüfung | Für Geräte, die iOS 7 oder höher ausführen, sind Hintergrundprüfungen unter Verwendung des Workspace ONE MDM Agent verfügbar. | Ermöglicht die Hintergrunderkennung |
| Prüfungen nach Bedarf | Verfügbar unter Verwendung des APN-Messaging-Diensts (Apple Push Notification Service):
|
Verfügbar mithilfe von GCM-Messaging:
|
| Compliance-Engine | Automatisierte Korrekturmaßnahmen, wenn ein infiziertes Gerät erkannt wird oder der Status veraltet ist | Automatisierte Korrekturmaßnahmen, wenn ein infiziertes Gerät erkannt wird oder der Status veraltet ist |
| In Unternehmensanwendungen integrierte Erkennung | Workspace ONE App Wrapping ist verfügbar, um die Erkennung kompromittierter Geräte in ihren Wrapping-Apps zu erzwingen | Workspace ONE App Wrapping ist verfügbar, um die Erkennung kompromittierter Geräte in ihren Wrapping-Apps zu erzwingen |
Erkennen von kompromittierten Geräten mit Workspace ONE
Die Lösung von Workspace ONE umfasst die gesamte Lebensdauer eines registrierten Geräts, das Sperren von nicht eingeladenen Geräten und das Trennen von Verbindungen zu infizierten oder nicht konformen Geräten. Unsere proprietären Erkennungsalgorithmen durchlaufen ständig Durchdringungstests, Forschung und Entwicklung basierend auf neuen Betriebssystemen, um die fortschrittlichsten Erkennungsfunktionen zu gewährleisten. Dieser mehrstufige Erkennungsansatz für kompromittierte Geräte umfasst Folgendes:
Agent-Registrierung
Die erste Verteidigungslinie von Workspace ONE gegenüber unerwünschten Geräten beginnt bei der Registrierung. Konfigurieren Sie Compliance-Einstellungen und erkennen Sie infizierte Geräte, bevor Sie einem Gerät Zugriff gewähren. Zwingen Sie alle Geräte, die Sicherheitseinstellungen einzuhalten oder installieren Sie Profile für den Nutzer. Die Erkennung der Sicherheitskonformität variiert je nach Typ der Registrierung:
- Agent-basierte iOS- oder Android-Geräte können sich beim Workspace ONE MDM Agent registrieren, der vom iTunes App Store oder im Google Play Store heruntergeladen wurde. Sobald der Agent installiert ist, prüft der Agent den Status des Geräts. Das Gerät sendet dann die Informationen gemäß dem in der Workspace ONE Admin-Konsole festgelegten Zeitintervall an den Server.
- Webbasierte – iOS-Geräte sind die einzigen Geräte, die webbasierte Registrierungen mit dem Standard-Webbrowser auf dem Gerät unter Verwendung der Registrierungs-URL unterstützen. Um den Status solcher Geräte zu ermitteln, müssen in das Workspace ONE SDK integrierte Apps auf dem Gerät installiert werden, z. B. der Workspace ONE MDM-Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker oder eine SDK-fähige Unternehmens-App.
Weitere Informationen zum Vergleich der verschiedenen Registrierungsansätze finden Sie im iOS-Plattformhandbuch.
Hintergrundprüfungen
Nachdem das Gerät registriert wurde, können Sie seine Compliance managen. Der Workspace ONE MDM-Agent bietet fortlaufende Hintergrundprüfungen auf einen kompromittierten Status hin für alle Android-Geräte und neuere Versionen des iOS-Betriebssystems (iOS 7+) mit Zugriff auf ein Mobilfunknetz.
Speziell für iOS 7-Geräte verfügbar sind Workspace ONE Agent-basierte Funktionen, einschließlich:
- Hintergrund-App-Aktualisierung – Workspace ONE bietet eine Möglichkeit, die intervallbasierte Erfassung und Übertragung von Geräteinformationen vollständig über den Workspace ONE-Agent festzulegen. In diesem Fall können Sie einen Zeitparameter an das Gerät senden, in dem Sie mindestens festlegen, wie oft der Workspace ONE Agent gestartet werden soll. Aktivieren Sie diese Einstellung, indem Sie geräte >Einstellungen > Apple > Apple iOS > Agent-Einstellungen in der Workspace ONE Admin-Konsole aufrufen. Klicken Sie auf dieser Seite auf Hintergrund-App aktualisieren und konfigurieren Sie die verfügbaren Optionen. Legen Sie das minimale Aktualisierungsintervall fest und legen Sie fest, dass der Agent nur dann eincheckt, wenn das Gerät mit einem WLAN-Netzwerk verbunden ist. Das Festlegen des minimalen Aktualisierungsintervalls bedeutet, dass das Gerät versucht, Geräteinformationen nicht mehr als einmal innerhalb des zugewiesenen Minimums an den MDM-Server zu senden.
Abbildung 1: (Nur in englischer Sprache) Konfigurieren von Agent-Einstellungen
- Silent Apple Push Notification Service (APNs) – Workspace ONE fordert automatisch Hintergrundprüfungen mithilfe automatischer APNs an. In diesem Fall sendet die Admin-Konsole von Workspace ONE eine Benachrichtigung an das Gerät, in der der Gefährdungsstatus als Rückmeldung an den Workspace ONE-Server angefordert wird. Auf dem Gerät müssen Push-Benachrichtigungen für den Workspace ONE Agent eingeschaltet werden.
Abbildung 2: (Nur in englischer Sprache) AirWatch MDM-Agent
Sie können eine Abfrage auch manuell ausführen, indem Sie die Seite Gerätedetails für ein bestimmtes Gerät aufrufen und auf More > Query > Workspace ONE MDM Agent klicken, wie unten gezeigt. Diese Abfrage wird nur angezeigt, wenn die erforderliche Version des Workspace ONE Agent auf dem Gerät installiert ist.
Mithilfe der Funktion zur Gefährdungserkennung im Workspace ONE SDK können Sie diese Hintergrundlogik in Ihre interne Anwendung integrieren, um die Jailbreak-Erkennung im Hintergrund durchzuführen.
Anwendungsinitiierte Prüfungen
Erstellen von Erkennungsprüfpunkten für Unternehmensinformationen und die Nutzung von Workspace ONE-Funktionen Wenn ein Gerät den Workspace ONE Secure Content Locker, den AirWatch-Browser oder den AirWatch MDM-Agent startet, verifiziert das Erkennungssystem automatisch den Compliance-Status und legt so eine zusätzliche Schutzschicht um Ihre Daten.
Aktivieren Sie für Ihre Wrapping-Apps für iOS und Android den Gefährdungsschutz. Aktivieren Sie die Einstellung auf der Seite Einstellungen und Richtlinien (Gruppen > Einstellungen > Alle Einstellungen > Apps > Einstellungen und Richtlinien > Sicherheitsrichtlinien) zusammen mit anderen Einstellungen für Ihre gewrappten Apps und weisen Sie das Profil Ihrer gewappten App zu. Weitere Informationen und Schritt-für-Schritt-Anleitungen finden Sie im Benutzerhandbuch zum App-Wrapping in Workspace ONE.
Aktivieren Sie die Gefährdungserkennung in Ihren SDK-Apps für iOS. Beginnend mit iOS SDK Version 3.2 können Sie den Gefährdungsstatus des Geräts direkt in Ihrer Anwendung überprüfen, unabhängig davon, ob das Gerät online oder offline ist. Ihre Anwendung kann diese Funktion nur dann verwenden, wenn das Gerät einen Beacon-Aufruf mindestens einmal erfolgreich ausgeführt hat. Weitere Informationen und Beispielcodes finden Sie im Handbuch zum Workspace ONE iOS-SDK.
Compliance-Engine
Sobald Workspace ONE infizierte oder nicht konforme Geräte erkennt, führt die Compliance Engine basierend auf der vom Administrator in der Konsole festgelegten Geräte-Policy schnell Maßnahmen auf diesen Geräten durch. Workspace ONE bietet dem Administrator die Flexibilität, den anfänglichen Gerätestatus anzufordern und die Zeitintervallfrequenz der Compliance Engine festzulegen.
In Unternehmensanwendungen integrierte Erkennung
Anstatt den Workspace ONE-Agent für den Zugriff auf das SDK zu installieren, integrieren Sie das Workspace ONE SDK in Ihre internen Apps. Das SDK enthält die wichtigsten Funktionen der MDM, die in unserem kompletten SDK-Profil beschrieben sind, einschließlich der Jailbreak- und Rootzugriffserkennung, die kontinuierlich auf Compliance überprüft. Häufig ausgeführte Unternehmensanwendungen, die auf ein Gerät übertragen werden, führen Erkennungsscans häufiger durch, sodass Sie kompromittierte Geräte schneller erkennen können.
Ein Administrator kann dann in der Admin-Konsole die Maßnahmen festlegen, die für eine auf dem infizierten Gerät installierte App durchgeführt werden sollen. Wenn z. B. ein Gerät als kompromittiert erkannt wird, kann der Administrator die folgenden Aktionen anwenden:
- Warnmeldung an Nutzer senden
- Nutzer auf Gerät blockieren
- Anwendungs- und Unternehmensdaten löschen
- Zugriff einschränken
Richtlinien erzwingen und kompromittierte Geräte überwachen
Erzwingen vom Compliance-Richtlinien, um den Status "Kompromittiert" von iOS- und Android-Geräten zu überwachen. Die Admin-Konsole für Workspace ONE bietet dem Administrator Tools, mit denen das System wachsam und geschützt bleibt.
Compliance-Engine
Die Compliance-Engine dient als Sicherheitskontrollpunkt und sperrt automatisch Geräte oder Benutzer bzw. nimmt zusätzliche Maßnahmen vor. Basierend auf den vom Administrator festgelegten Compliance-Regeln für ein Gerät kann die Compliance-Engine erkennen, ob ein Gerät nicht konform arbeitet und dafür festgelegte Maßnahmen ergreifen. Diese Regeln und Aktionen können in der Workspace ONE Admin-Konsole definiert werden.
Sobald die Regeln und Aktionen eingerichtet sind, kümmert sich die Compliance-Engine um den Rest. Korrekturen sind automatisiert. Wenn ein Scan ein kompromittiertes Gerät erkennt, führt der Computer voreingestellte Warnungen und eskalierte Aktionen aus. Administratoren sind nicht gezwungen, sich mit jeder Instanz zu befassen, die gefunden wurde.
Allerdings ermöglicht die Admin-Konsole einen Selfservice für das Compliance-Protokoll. Administratoren können ein Gerät löschen und eine E-Mail oder eine SMS-Nachricht an den Benutzer senden, in der erläutert wird, wie und warum sein Gerät nicht konform ist, ohne dass der Benutzer den Administrator kontaktieren muss.
Mit der Zeit, die von der Compliance Engine für die Verwaltung von Geräten gespart wurde, können Administratoren wöchentliche oder monatliche Complianceberichte überprüfen, um Wiederholungstäter zu verstehen.
Last Compromised Scan Compliance
Mit der Last Compromised Scan Compliance kann der Administrator das Zeitintervall festlegen, in dem der Agent die Geräteüberprüfung durchführen soll. Auf diese Weise wird sichergestellt, dass, wenn für eine bestimmte Zeit lang kein Compliance-Status vom Gerät empfangen wurde, Vorsichtsmaßnahmen ergriffen werden können.
Compromised Status Compliance
Die Regel "Compromised Status Compliance" ermöglicht es dem Administrator, Aktionen für ein kompromittiertes Gerät einzurichten.
Für die oben genannten zwei Compliance-Regeln können die folgenden Aktionen angewendet werden:
- Benachrichtigen: Benachrichtigen des Nutzers durch Senden von SMS, E-Mail und Push-Benachrichtigungen
- Anwendung: Blockieren oder Entfernen von einigen oder allen gemanagten Anwendungen
- Befehl: Durchführen einer unternehmensseitigen Löschung (Enterprise Wipe) oder Anfordern einer Geräteüberprüfung
- Profil: Blockieren oder Entfernen aller Profile oder bestimmter Profiltypen oder eines bestimmtes Profils
Gerätesystemsteuerung
Administratoren können die Zusammenfassung der registrierten Geräte anzeigen. Die Zusammenfassung enthält die Sicherheitsdetails, die den Administrator darüber informieren, ob eine Gefährdungserkennung auf dem Gerät erfolgt ist oder nicht. Wenn das Gerät nicht kompromittiert ist, wird ein grünes Häkchen angezeigt.
Abbildung 3: (Nur in englischer Sprache) Gerätesteuerung
Visualisierung der Geräte-Compliance
Das Dashboard bietet eine grafische Darstellung des Prozentsatzes der infizierten Geräte, die in einer Organisationsgruppe registriert sind. Dadurch erhält der Administrator eine allgemeine Ansicht der kompromittierten Geräte und hilft bei der Nachverfolgung solcher Geräte.
Abbildung 4: (Nur in englischer Sprache) Instrumententafel
Ausführen von geplanten oder bedarfsweisen Compliance-Berichten
Die Workspace ONE Admin-Konsole enthält außerdem mehr als 100 Standardberichte, einschließlich einer Liste von Compliance-Berichten, die automatisch in geplanten Intervallen ausgeführt oder nach Bedarf erzeugt werden können. Sie können schnell alle nicht konformen Geräte in Ihrem gesamten Gerätebestand oder in bestimmten Organisationsgruppen anzeigen. Isolieren Sie gefährdete Geräte aufgrund von Apps auf der Negativliste, schwachen Passcode-Einstellungen und allgemeiner Sicherheits-Compliance. Compliance-Berichte erlauben eine Gesamtübersicht über infizierte oder nicht konforme Geräte in Ihrem System.
Abbildung 5: (Nur in englischer Sprache) Alle Berichte
Entscheidung
Sicheres Gerätemanagement ist eine stetig wachsende Anforderung und somit geht Workspace ONE einen Schritt nach vorn in diese Richtung, indem es Ihnen eine herausragende Lösung zur Erkennung von Sicherheitsbedrohungen wie kompromittierten Geräten bietet. Die einzigartige mehrstufige Erkennungslösung von Workspace ONE wurde so konzipiert, dass sie auf allen Geräteplattformen wirksam wird, und bietet außerdem Flexibilität bei der Durchsetzung der erforderlichen Maßnahmen auf den erkannten Geräten. Alle oben genannten Komponenten der Erkennungslösung machen Workspace ONE zu einer effektiven Lösung, um Ihr Unternehmen zu schützen.
Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.