Overzicht van gecompromitteerde apparaten voor Workspace ONE
Resumen: In dit artikel wordt het overzicht van gecompromitteerde apparaten van Workspace ONE besproken.
Síntomas
Betreffende producten:
- Workspace ONE
Mobiele apparaten bieden constante communicatie en toegang tot bedrijfscontent onderweg. Terwijl mobiele apparaten essentiële bedrijfsinformatie laten stromen, kunnen malware en beschadigde inhoud in uw netwerk worden geïntroduceerd. Gezien deze mogelijke beveiligingsrisico's moet de strategie voor beheer van mobiele apparaten (Mobile Device Management, MDM) worden voorbereid op elke uitdaging. Een dergelijke beveiligingsvraag is de aanwezigheid van een gecompromitteerd apparaat in uw mobiele uitrusting.
Causa
Niet van toepassing
Resolución
Overzicht
Gecompromitteerde apparaten zijn onder andere 'jailbroken' iOS en 'rooted' Android-apparaten die een gebruiker heeft gewijzigd van de voorinstellingen van de fabrikant. Deze apparaten maken inbreuk op integrale beveiligingsinstellingen en kunnen malware in uw netwerk introduceren en toegang krijgen tot uw bedrijfsmiddelen. In een MDM-omgeving is de gehele keten zo sterk als de zwakste schakel. Een enkel gecompromitteerd apparaat lekt gevoelige informatie of beschadigt uw servers. Het bewaken en detecteren van gecompromitteerde apparaten wordt zelfs nog lastiger in een omgeving waarin medewerkers hun privé-apparaten ook zakelijk gebruiken (Bring Your Own Device, BYOD) met verschillende versies van apparaten en besturingssystemen. Gecompromitteerde apparaten zijn een belangrijk beveiligingsprobleem voor een onderneming en moeten onmiddellijk worden aangepakt.
Gekraakte en geroote apparaten zorgen ervoor dat de basisbeveiliging het laat afweten, waardoor ze kwetsbare toegangspunten vormen voor ongewenste activiteiten, zoals:
- Wachtwoord- en identiteitsdiefstal: Niet-versleutelde gebruikersnamen en wachtwoorden worden verzameld en gebruikt om dieper in gevoelige gebieden te gaan of bedrijfsidentiteit aan te nemen.
- Data-onderschepping: Verzonden en ontvangen communicatie is in duidelijke weergave, onbeschermd door normale beveiligingsmaatregelen.
- Virusinfiltreren: Een onbewaakt netwerk is een eendje voor virus- en malware-intrusie, waardoor de data van uw bedrijf mogelijk beschadigd raken en het onherstelbaar wordt.
De uitdaging van detectie
Apparaten met verschillende platforms, reageren anders op detectie van gecompromitteerde situaties. IOS 7+ apparaten ondersteunen bijvoorbeeld achtergrondcontroles, maar kunnen extra beperkingen mee zich meebrengen. Android-apparaten staan achtergrondcontroles toe zonder beperkingen of beperkingen. Workspace ONE's (voorheen AirWatch) oplossing voor dit probleem zorgt voor detectie op meerdere apparaten en besturingssystemen.
De benadering van Workspace ONE
Om met dergelijke variaties om te gaan, heeft Workspace ONE een unieke benadering met meerdere lagen ontwikkeld voor het detecteren van een gecompromitteerd apparaat. Raadpleeg de onderstaande tabel om de beperkingen en mogelijkheden van iOS- en Android-platforms te begrijpen.
Platformmogelijkheden
| Mogelijkheid | iOS | Android |
|---|---|---|
| Registratie via een Agent | Gecompromitteerde statusdetectie tijdens registratie | Gecompromitteerde statusdetectie tijdens registratie |
| Achtergrondcontrole | Voor apparaten met iOS 7 en hoger zijn achtergrondcontroles beschikbaar met behulp van de Workspace ONE MDM Agent. | Hiermee wordt detectie op de achtergrond toegestaan |
| Controles op aanvraag | Beschikbaar via geplande de Apple Push Notification service (APNs):
|
Beschikbaar met behulp van GCM-messaging:
|
| Compliance Engine | Geautomatiseerde herstelacties wanneer gecompromitteerd apparaat wordt gedetecteerd of de status verouderd is. | Geautomatiseerde herstelacties wanneer gecompromitteerd apparaat wordt gedetecteerd of de status verouderd is. |
| Ingebouwde detectie in bedrijfsapps | Workspace ONE App Wrapping is beschikbaar om gecompromitteerde detectie af te dwingen van uw verpakte (voorzien van een 'wrapper') applicaties | Workspace ONE App Wrapping is beschikbaar om gecompromitteerde detectie af te dwingen van uw verpakte (voorzien van een 'wrapper') applicaties |
Gecompromitteerde apparaten detecteren met Workspace ONE
De oplossing van Workspace ONE omvat de hele levensduur van een geregistreerd apparaat, het vergrendelen van niet-uitgenodigde apparaten en het verbreken van bindingen met gecompromitteerde of niet-compatibele apparaten. Onze bedrijfseigen detectiealgoritme wordt voortdurend getest op penetratie, onderzoek en ontwikkeling op basis van nieuwe besturingssystemen, zodat de meest geavanceerde detectiemogelijkheden mogelijk zijn. Deze detectiemethode met meerdere lagen voor gecompromitteerde apparaten bestaat uit het volgende:
Registratie via een Agent
De eerste verdedigingslinie van Workspace ONE tegen ongewenste apparaten begint bij de registratie. Configureer compliance-instellingen en spoor gecompromitteerde apparaten op voordat u deze toegang geeft tot andere apparaten. Alle apparaten moeten voldoen aan de beveiligingsinstellingen of profielen voor de gebruiker installeren. Detectie van beveiligingsvoorwaarden hangt af van het registratietype:
- Op agent gebaseerde - iOS- of Android-apparaten kunnen worden aangemeld bij de Workspace ONE MDM-agent die is gedownload van de iTunes app store of de Google Play Store. Zodra de agent is geïnstalleerd, controleert de agent de status van het apparaat; het apparaat stuurt de informatie vervolgens naar de server conform het tijdsinterval dat is ingesteld in de Workspace ONE Admin Console.
- Op het web gebaseerde iOS-apparaten zijn de enige apparaten die webgebaseerde registratie ondersteunen met de standaardwebbrowser op het apparaat met behulp van de registratie-URL. Om de status van dergelijke apparaten te detecteren, moet een van app voorzien van Workspace ONE SDK op het apparaat worden geïnstalleerd, zoals de Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker of een bedrijfsapp waarin SDK ingeschakeld is.
Voor meer informatie over de verschillende benaderingen van registratie, zie de iOS platform-handleiding.
Controles op de achtergrond
Zodra het apparaat is geregistreerd, beheert u de naleving ervan. De Workspace ONE MDM Agent biedt doorlopende controles op de achtergrond voor alle Android-apparaten en nieuwere versies van het iOS-besturingssysteem (iOS 7+) met toegang tot een mobiel netwerk.
Beschikbaar voor iOS 7-apparaten, kunt u profiteren van op Workspace ONE Agent gebaseerde functies, waaronder:
- App vernieuwen op de achtergrond - Workspace ONE biedt een manier om op interval gebaseerde verzameling en overdracht van apparaatinformatie volledig in te stellen via de Workspace ONE Agent. In dit geval kunt u een tijdparameter verzenden naar het apparaat dat aangeeft hoe vaak de Workspace ONE Agent moet worden gestart, minimaal. Schakel deze instelling in door naar Devices > Settings > Apple > Apple iOS > Agent Settings in de Workspace ONE Admin Console te gaan. Klik op deze pagina op App vernieuwen op de achtergrond en configureer de beschikbare opties. Stel het minimale vernieuwingsintervalin en stel de Agent in om alleen in te checken of het apparaat is verbonden met een Wi-Fi-netwerk. Het instellen van het minimale vernieuwingsinterval betekent dat het apparaat niet meer dan eenmaal in het toegewezen minimum apparaatinformatie naar de MDM-server probeert te verzenden.
Afbeelding 1: (Alleen In het Engels) Agentinstellingen configureren
- Silent Apple Push Notification Service (APNs): Workspace ONE vraagt automatisch om achtergrondcontroles met behulp van stille APN's. In dit geval stuurt de Workspace ONE Admin Console een melding naar het apparaat waarin het verzoekt de gecompromitteerde status terug te sturen naar de Workspace ONE-server. Op het apparaat moeten push-meldingen worden ingeschakeld voor de Workspace ONE Agent.
Afbeelding 2: (Alleen In het Engels) AirWatch MDM-agent
U kunt ook handmatig een query uitvoeren door naar de pagina Device Details voor een specifiek apparaat te gaan en op Meer > Query > Workspace ONE MDM Agent te klikken, zoals hieronder wordt weergegeven. Deze query wordt alleen weergegeven als de vereiste versie van de Workspace ONE Agent op het apparaat is geïnstalleerd.
Ook kunt u met behulp van de functionaliteit voor gecompromitteerde detectie in de Workspace ONE SDK deze achtergrondlogica in uw interne applicatie koppelen om jailbreak-detectie op de achtergrond te realiseren.
Door de app geïnitieerde controles
Stel detectiecontrolepunten in voor bedrijfsinformatie en het gebruik van de Workspace ONE functie. Wanneer een apparaat de Workspace ONE Secure Content Locker, de AirWatch Browser of de AirWatch MDM Agent activeert, verifieert het detectiesysteem automatisch de nalevingsstatus en werpt een extra beschermende muur op rond uw informatie.
Voorzie uw verpakte apps voor iOS en Android met beveiliging tegen compromitteren. Schakel de instelling in vanaf de pagina Instellingen en beleidsregels (Groepen en instellingen > Alle instellingen > apps > instellingen en beleidsregels > beveiligingsbeleid) samen met andere instellingen voor uw verpakte apps en wijs het profiel toe aan uw verpakte app. Zie de Workspace ONE App Wrapping Guide voor meer informatie en stapsgewijs instructies.
Voorzie uw SDK-apps voor iOS met detectie van gecompromitteerde situaties. Vanaf de iOS SDK v.3.2 kunt u de status van het apparaat direct controleren in de applicatie, of het apparaat online of offline is. Uw applicatie kan deze functie alleen gebruiken als het apparaat minimaal eenmaal een Beacon-aanroep met succes heeft uitgevoerd. Zie de Workspace ONE iOS SDK-handleiding voor meer informatie en voorbeeldcode.
Compliance Engine
Zodra Workspace ONE gecompromitteerde of niet-compatibele apparaten detecteert, onderneemt de compliance-engine snel actie op deze apparaten op basis van het apparaatbeleid dat door de beheerder op de console is ingesteld. Workspace ONE biedt de beheerder flexibiliteit om de initiële apparaatstatus te vereisen en de tijdsintervalfrequentie van de compliance-engine in te stellen.
Ingebouwde detectie in bedrijfsapps
In plaats van de Workspace ONE te installeren om toegang te krijgen tot de SDK, kunt u de Workspace ONE SDK inbouwen in uw interne apps. De SDK bevat de belangrijkste functies van MDM (die worden beschreven in ons complete SDK-profiel), inclusief jailbreak en rootdetectie die voortdurend naar compromitterende situaties zoeken. Voer vaak Enterprise-apps uit die naar een apparaat worden gepusht, waarbij detectiescans vaker worden uitgevoerd, zodat u eerder gecompromitteerde apparaten kunt opsporen.
Een administrator kan vervolgens de acties opgeven die moeten worden uitgevoerd voor een app die is geïnstalleerd op het gecompromitteerde apparaat in de Admin Console. Als een apparaat bijvoorbeeld gecompromitteerd is, kan de beheerder de volgende acties toepassen:
- Waarschuwingsbericht van de gebruiker verzenden.
- Vergrendel de gebruiker uit het apparaat.
- Applicatie- en bedrijfsdata wissen.
- De toegang beperken
De hand houden aan gecompromitteerde apparaten en bewaken
Nalevingsbeleid forceren om de gecompromitteerde status van iOS- en Android-apparaten te bewaken. De Workspace ONE Admin Console voorziet de beheerder van hulpmiddelen om het systeem alert en beveiligd te houden.
Compliance Engine
De Compliance Engine fungeert als beveiligingscontrolepunt, waar apparaten of gebruikers automatisch vergrendeld kunnen worden en eventueel aanvullende acties ondernomen kunnen worden. Op basis van de nalevingsregels die door de beheerder voor een apparaat zijn ingesteld, kan de compliance engine detecteren of een apparaat niet wordt vermeld en gedefinieerde acties ondernemen. Deze regels en acties kunnen worden gedefinieerd in de Workspace ONE Admin Console.
Zodra de regels en acties zijn vastgesteld, zorgt de compliance-engine voor de rest. Herstelmaatregelen zijn geautomatiseerd. Als een scan een gecompromitteerd apparaat detecteert, voert de computer vooraf ingestelde waarschuwingen en geëscaleerde acties uit. Beheerders worden niet gedwongen om elke instantie aan te pakken wanneer ze worden gevonden.
De Admin Console schakelt echter zelfservice voor het nalevingsprotocol in. Beheerders kunnen een apparaat wissen en een e-mail of SMS-bericht sturen naar de gebruiker waarin wordt uitgelegd hoe en waarom hun apparaat niet aan de vereisten voldoet, zonder dat de gebruiker contact hoeft op te nemen met de beheerder.
Met de tijd die is bespaard door de Compliance Engine voor het beheren van apparaten, kunnen beheerders wekelijkse of maandelijkse nalevingsrapporten bekijken om herhaalde overtreders te begrijpen.
Last Compromised Scan compliance
De Last Compromised Scan compliance stelt de beheerder in staat het tijdsinterval in te stellen waarbinnen de agent de scan van het apparaat moet uitvoeren. Dit zorgt ervoor dat als AirWatch gedurende een bepaalde tijd geen compliance-status van het apparaat heeft ontvangen, voorzorgsmaatregelen kunnen worden getroffen.
Compromised Status compliance
De regel voor Compromised Status compliance stelt de beheerder in staat om acties in te stellen voor een gecompromitteerd apparaat.
Voor de bovenstaande twee compliance-regels kunnen de volgende acties worden toegepast:
- Houd: De gebruiker op de hoogte stellen door sms-, e-mail- en pushmeldingen te verzenden.
- Toepassing: Enkele of alle beheerde apps blokkeren of verwijderen.
- Opdracht: Het uitvoeren van Enterprise Wipe of het aanvragen van een apparaatcontrole.
- Profiel: Alle profielen of een bepaald profieltype of een bepaald profiel blokkeren of verwijderen.
Bedieningspaneel voor apparaten
Beheerders kunnen een samenvatting van de geregistreerde apparaten weergeven. Het overzicht bevat de beveiligingsgegevens waarmee de beheerder wordt geïnformeerd of er al dan niet gecompromitteerde detectie is uitgevoerd op het apparaat. Als het apparaat niet gecompromitteerd is, wordt een groen vinkje weergegeven.
Afbeelding 3: (Alleen In het Engels) Configuratiescherm apparaat
Compliance van apparaten visualiseren
Uw dashboard biedt een grafische weergave van het percentage gecompromitteerde apparaten dat is geregistreerd in een organisatiegroep. Dit geeft de beheerder een overzicht op hoog niveau van de gecompromitteerde apparaten en helpt bij het traceren van dergelijke apparaten.
Afbeelding 4: (Alleen In het Engels) Dashboard
Voer geplande of willekeurige nalevingscontroles uit
De Workspace ONE Admin Console is ook beschikbaar met meer dan 100 standaardrapporten, inclusief een lijst met nalevingsrapporten die automatisch kunnen worden uitgevoerd op geplande tijdstippen of op aanvraag worden gegenereerd. Bekijk snel alle niet-compatibele apparaten in uw gehele vloot of in specifieke organisatiegroepen. Isoleer de apparaten die beledigend zijn voor geblokkeerde apps, zwakke wachtwoordinstellingen en algehele beveiligingsnaleving. Nalevingsrapporten bieden een overzicht van gecompromitteerde of niet-compatibele apparaten in uw systeem.
Afbeelding 5: (Alleen In het Engels) Alle rapporten
Conclusie
De behoefte aan beveiligde MDM groeit steeds meer, en daarom neemt Workspace ONE een stap vooruit in die richting door een ongeëvenaarde oplossing aan te bieden, waarmee u beveiligingsrisico's zoals gecompromitteerde apparaten kunt detecteren. De unieke detectieoplossing met meerdere lagen van Workspace ONE is ontworpen om effectief te zijn op alle apparaatplatforms en biedt ook flexibiliteit om vereiste acties te ondernemen op de gedetecteerde apparaten. Alle bovenstaande componenten van de detectieoplossing maken Workspace ONE tot een effectieve oplossing om uw onderneming beveiligd te houden.
Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.