Panoramica dei dispositivi compromessi in Workspace ONE
Resumen: Questo articolo illustra la panoramica dei dispositivi compromessi di Workspace ONE.
Síntomas
Prodotti interessati:
- Workspace ONE
I dispositivi mobili consentono comunicazioni costanti e accesso ai contenuti aziendali ovunque ci si trovi. Sebbene i dispositivi mobile mantengano un flusso continuo di informazioni aziendali importanti, nella rete possono essere introdotti malware e contenuti danneggiati. Viste le potenziali minacce alla sicurezza, la strategia Mobile Device Management (MDM) deve essere pronta a qualsiasi sfida. Una di queste sfide per la sicurezza è la presenza di un dispositivo compromesso nel proprio parco di dispositivi mobili.
Causa
Non applicabile
Resolución
Panoramica
I dispositivi compromessi includono dispositivi iOS "jailbreak" e Android "rooted" che un utente ha modificato rispetto alle impostazioni predefinite del produttore. Questi dispositivi rimuovono le impostazioni di sicurezza integrate, potrebbero consentire l'ingresso di malware nella rete e accedere alle risorse aziendali. In un ambiente MDM, la catena generale è forte tanto quanto il suo anello più debole. Un singolo dispositivo compromesso potrebbe far trapelare informazioni sensibili o danneggiare i server. Il monitoraggio e il rilevamento dei dispositivi compromessi diventa ancora più complicato in un ambiente BYOD (Bring Your Own Device), con diverse versioni di dispositivi e sistemi operativi. I dispositivi compromessi sono un importante problema di sicurezza per un'azienda e devono essere immediatamente gestiti.
I dispositivi sottoposti a jailbreak e rooted dispongono di misure di protezione di base, il che li rende dei vulnerabili punti di ingresso per attività indesiderate, come ad esempio:
- Furto di password e identità: I nomi utente e le password non crittografati vengono raccolti e utilizzati per approfondire le aree sensibili o per assumere l'identità dell'azienda.
- Intercettazione dei dati: Le comunicazioni inviate e ricevute sono in bella vista e non sono protette dalle normali misure di sicurezza.
- Infiltrazione di virus: Una rete nonguardata è un vero e proprio ingino per l'intrusione di virus e malware, che potrebbe danneggiare i dati dell'azienda e renderla irrecuperabile.
La sfida del rilevamento
I dispositivi in funzione su piattaforme diverse rispondono in modo diverso rispetto al rilevamento di compromissioni. Ad esempio, i dispositivi iOS 7+ supportano i controlli in background ma possono contenere altre limitazioni. I dispositivi Android consentono di eseguire controlli in background senza restrizioni o limitazioni. La soluzione Workspace ONE (in precedenza AirWatch) a questo problema garantisce il rilevamento su più dispositivi e sistemi operativi.
L'approccio di Workspace ONE
Per gestire tali variazioni, Workspace ONE ha sviluppato un esclusivo approccio su più livelli, per il rilevamento dei dispositivi compromessi. Fare riferimento alla tabella riportata di seguito per comprendere le limitazioni e le funzionalità delle piattaforme iOS e Android.
Funzionalità delle piattaforme
| Funzionalità | iOS | Android |
|---|---|---|
| Registrazione agent | Stato di compromissione rilevato durante la registrazione | Stato di compromissione rilevato durante la registrazione |
| Controllo in background | Per i dispositivi che eseguono iOS 7 e versioni successive, i controlli in background sono disponibili tramite Workspace ONE MDM Agent. | Consente il rilevamento in background |
| Controlli on demand | Disponibili grazie al sistema di messaggistica pianificata del servizio Apple Push Notification (APN):
|
Disponibili tramite la messaggistica GCM:
|
| Motore di conformità | Azioni di correzione automatizzate quando il dispositivo compromesso viene rilevato o lo stato è obsoleto. | Azioni di correzione automatizzate quando il dispositivo compromesso viene rilevato o lo stato è obsoleto. |
| Rilevamento integrato nelle app aziendali | Pacchetto di app Workspace ONE disponibili per un migliore rilevamento delle compromissioni nelle applicazioni di cui è stato eseguito il wrapping | Pacchetto di app Workspace ONE disponibili per un migliore rilevamento delle compromissioni nelle applicazioni di cui è stato eseguito il wrapping |
Rilevamento dei dispositivi compromessi con Workspace ONE
La soluzione Workspace ONE si estende per l'intera durata di un dispositivo registrato, bloccando i dispositivi non invitati e interrompendo i collegamenti con dispositivi compromessi o non conformi. I nostri algoritmi di rilevamento proprietari vengono costantemente sottoposti a test di penetrazione, ricerca e sviluppo basati su nuovi sistemi operativi, garantendo le funzionalità di rilevamento più avanzate possibili. Questo approccio di rilevamento su più livelli per i dispositivi compromessi è costituito dai seguenti elementi:
Registrazione agent
La prima linea di difesa di Workspace ONE contro i dispositivi indesiderati inizia dalla registrazione. Configurare le impostazioni di conformità e rilevare i dispositivi compromessi prima di consentire l'accesso a un dispositivo. Richiedere che tutti i dispositivi siano conformi alle impostazioni di sicurezza o installare i profili per l'utente. Il rilevamento della conformità della sicurezza varia in base al tipo di registrazione:
- Basato su agent: i dispositivi iOS o Android possono registrarsi all'Agent MDM di Workspace ONE scaricato dall'app store di iTunes o da Google Play Store. Dopo l'installazione, l'Agent verifica lo stato del dispositivo, il dispositivo invia le informazioni al server in base all'intervallo di tempo impostato nella console di amministrazione di Workspace ONE.
- Web-based: i dispositivi iOS sono gli unici che supportano la registrazione web-based con il web browser predefinito sul dispositivo utilizzando l'URL di registrazione. Per rilevare lo stato di tali dispositivi, una qualsiasi delle app integrate nell'SDK Di Workspace ONE deve essere installata sul dispositivo, come ad esempio Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker o un'applicazione aziendale abilitata per SDK.
Per ulteriori informazioni sul confronto tra i vari approcci di registrazione, consultare la guida per la piattaforma iOS.
Controlli in background
Una volta registrato il dispositivo, gestirne la conformità. Workspace ONE MDM Agent fornisce continui controlli in background riguardo lo stato di compromissione di tutti i dispositivi Android e le versioni più recenti del sistema operativo iOS (iOS 7+) con accesso a una rete cellulare.
Disponibile per i dispositivi iOS 7, è possibile sfruttare le funzionalità basate su Workspace ONE Agent, tra cui:
- Aggiornamento delle app in background: Workspace ONE fornisce un modo per impostare la raccolta e la trasmissione basate su intervalli delle informazioni sul dispositivo interamente tramite Workspace ONE Agent. In questo caso, è possibile inviare un parametro di tempo al dispositivo, che stabilisce la frequenza minima di avvio di Workspace ONE Agent. Abilitare questa impostazione accedendo a Devices > Settings > Apple > Apple iOS > Agent Settings nella console di amministrazione di Workspace ONE. Da questa pagina, fare clic su Aggiornamento app in background e configurare le opzioni disponibili. Impostare l'intervallo di aggiornamento minimo e impostare l'Agent in modo che verifichi solo se il dispositivo è connesso a una rete Wi-Fi. Se si imposta l'intervallo di aggiornamento minimo, il dispositivo tenta di inviare le informazioni sul dispositivo al server MDM non più di una volta nel minimo assegnato.
Figura 1. (solo in inglese) Configurare le impostazioni dell'agent
- Servizio Apple Push Notification (APNs) silenzioso: Workspace ONE richiede automaticamente controlli in background utilizzando regolarmente LE APN silenziose. In questo caso, la console di amministrazione di Workspace ONE invia una notifica al dispositivo, per richiedere lo stato di compromissione nuovamente al server di Workspace ONE. Sul dispositivo, le notifiche push devono essere attive per l'Agent di Workspace ONE.
Figura 2. (solo in inglese) Agente AirWatch MDM
È inoltre possibile eseguire manualmente una query accedendo alla pagina Dettagli dispositivo per un dispositivo specifico e facendo clic su More > Query > Workspace ONE MDM Agent, come illustrato di seguito. Questa query viene visualizzata solo se sul dispositivo è installata la versione richiesta di Workspace ONE Agent.
Inoltre, utilizzando la funzionalità di rilevamento delle compromissioni nell'SDK di Workspace ONE, è possibile collegarsi a questa logica in background nell'applicazione interna per rilevare i jailbreak in background.
Controlli avviati dall'app
Definire i checkpoint di rilevamento per le informazioni aziendali e per l'utilizzo delle funzionalità di Workspace ONE. Quando un dispositivo avvia Workspace ONE Secure Content Locker, il browser AirWatch o l'Agent AirWatch MDM, il sistema di rilevamento verifica automaticamente lo stato di conformità, aggiungendo un ulteriore muro di protezione alle informazioni.
Abilitare la protezione da compromissione per applicazioni per iOS e Android di cui è stato eseguito il wrapping. Abilitare l'impostazione dalla pagina Impostazioni e criteri (Gruppi e impostazioni > Tutte le impostazioni > App > Impostazioni e criteri > Criteri di protezione) insieme ad altre impostazioni per le app di cui è stato eseguito il wrapping e assegnare il profilo all'app di cui è stato eseguito il wrapping. Per ulteriori informazioni e istruzioni dettagliate, consultare la Workspace ONE App Wrapping Guide.
Abilitare le app SDK per iOS con il rilevamento delle compromissioni. A partire dall'SDK di iOS v.3.2 è possibile verificare lo stato di compromissione del dispositivo direttamente dall'applicazione, che il dispositivo sia online o offline. L'applicazione può utilizzare questa funzione solo se il dispositivo ha eseguito correttamente una chiamata beacon almeno una volta in passato. Per ulteriori informazioni e per un esempio di codice, consultare la Workspace ONE iOS SDK Guide.
Motore di conformità
Quando Workspace ONE rileva i dispositivi compromessi o non conformi, il motore di conformità interviene rapidamente su tali dispositivi in base al criterio del dispositivo impostato dall'amministratore sulla console. Workspace ONE offre all'amministratore la flessibilità necessaria per richiedere lo stato iniziale del dispositivo e impostare la frequenza dell'intervallo di tempo dell'engine di conformità.
Rilevamento integrato nelle app aziendali
Invece di installare Workspace ONE Agent per accedere all'SDK, creare l'SDK di Workspace ONE nelle proprie app interne. L'SDK è dotato delle caratteristiche chiave di MDM (descritte nel nostro profilo SDK completo), tra cui il rilevamento di jailbreak e root, alla ricerca continua di conformità. Le applicazioni di livello enterprise eseguite comunemente vengono inviate a un dispositivo con una maggiore frequenza di scansione, in modo da rilevare più rapidamente i dispositivi compromessi.
Un amministratore può quindi specificare le azioni da eseguire per un'app installata sul dispositivo compromesso nella console di amministrazione. Ad esempio, se un dispositivo si rivela compromesso, l'amministratore può applicare le seguenti azioni:
- Inviare un messaggio di avvertenza all'utente.
- Bloccare l'utente fuori dal dispositivo.
- Cancellazione dei dati aziendali e delle applicazioni.
- Limitare l'accesso
Applicazione e monitoraggio dei dispositivi compromessi
Applicare i criteri di conformità per monitorare lo stato di compromissione dei dispositivi iOS e Android. La console di amministrazione di Workspace ONE offre all'amministratore gli strumenti adatti a mantenere il sistema vigile e sicuro.
Motore di conformità
Il motore di conformità funge da checkpoint di sicurezza, poiché, in automatico, blocca o esegue azioni rispetto a dispositivi o utenti. In base alle regole di conformità impostate dall'amministratore per un dispositivo, il motore di conformità può rilevare se un dispositivo non è compatibile e intraprendere azioni definite al suo interno. Queste regole e azioni possono essere definite nella console di amministrazione di Workspace ONE.
Una volta stabilite le regole e le azioni, il motore di conformità si occuperà del resto. La riparazione è automatizzata. Se una scansione rileva un dispositivo compromesso, il computer esegue avvisi preimpostati e azioni sottoposte a escalation. Gli amministratori non sono obbligati ad affrontare ogni istanza man mano che vengono rilevate.
Tuttavia, la console di amministrazione ha attivo un self-service per il protocollo di conformità. Gli amministratori possono ripulire un dispositivo e inviare un'e-mail o un SMS all'utente in cui spiegano come e perché il proprio dispositivo non è più conforme, senza che l'utente debba contattare l'amministratore.
Con il tempo risparmiato dal motore di conformità che gestisce i dispositivi, gli amministratori possono rivedere i report di conformità settimanali o mensili per comprendere i trasgressori ripetuti.
Conformità ultima scansione per le compromissioni
La conformità ultima scansione per le compromissioni consente all'amministratore di impostare l'intervallo di tempo entro il quale l'agent dovrà eseguire la scansione del dispositivo. In questo modo, se AirWatch non riceve lo stato di conformità dal dispositivo da un determinato periodo di tempo, è possibile adottare misure precauzionali.
Conformità dello stato di compromissione
La regola di conformità dello stato di compromissione consente all'amministratore di configurare azioni per un dispositivo compromesso.
Per le due regole di conformità di cui sopra, è possibile applicare le seguenti azioni:
- Notificare: Notifica all'utente inviando SMS, e-mail e notifiche push.
- Application: Blocco o rimozione di poche o tutte le app gestite.
- Comando: Esecuzione dell'opzione Enterprise Wipe o richiesta di archiviazione del dispositivo.
- Profile: Blocco o rimozione di tutti i profili o di un particolare tipo di profilo o di un profilo specifico.
Pannello di controllo del dispositivo
Gli amministratori possono visualizzare il riepilogo dei dispositivi registrati. Il riepilogo include i dettagli sulla sicurezza che informano l'amministratore se il rilevamento delle compromissioni è stato eseguito o meno sul dispositivo. Se il dispositivo non è compromesso, viene visualizzato il segno di spunta verde.
Figura 3. (solo in inglese) Pannello di controllo del dispositivo
Visualizzazione della conformità del dispositivo
Il dashboard fornisce una rappresentazione grafica della percentuale di dispositivi compromessi registrati in un gruppo dell'organizzazione. Ciò offre all'amministratore una vista generale dei dispositivi compromessi e consente di rilevare tali dispositivi.
Figura 4. (solo in inglese) Cruscotto
Esecuzione di report sulla conformità pianificati o on demand
La console di amministrazione di Workspace ONE è dotata anche di più di 100 report standard, compreso un elenco di Report sulla conformità in grado di essere eseguiti automaticamente, a intervalli pianificati o generati on demand. È possibile visualizzare rapidamente tutti i dispositivi non conformi nell'intero parco o in gruppi di organizzazioni specifici. Isolare i dispositivi di errore per le app bloccate, le impostazioni del passcode debole e la conformità generale alla sicurezza. I report sulla conformità consentono di visualizzare in modo visivo i dispositivi compromessi o non conformi nel sistema.
Figura 5. (solo in inglese) Tutti i report
Conclusione
Una MDM protetta è un bisogno sempre crescente e, perciò, Workspace ONE fa un passo avanti in questa direzione, offrendo una soluzione senza pari, in grado di fornire al cliente le armi adatte a rilevare le minacce alla sicurezza, come i dispositivi compromessi. L'esclusiva soluzione di rilevamento multi-tier di Workspace ONE è stata progettata per essere efficace su tutte le piattaforme di dispositivi e offre inoltre la flessibilità necessaria per intraprendere le azioni richieste sui dispositivi rilevati. Tutti gli ingredienti della soluzione di rilevamento di cui sopra rendono Workspace ONE una soluzione efficace per mantenere protetta la tua azienda.
Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.