Présentation des appareils compromis dans Workspace ONE
Resumen: Cet article présente les appareils compromis de Workspace ONE.
Síntomas
Produits concernés :
- Workspace ONE
Les appareils mobiles permettent une communication et un accès constants au contenu en mouvement de l’entreprise. Bien que les appareils mobiles assurent le flux des informations vitales de l’entreprise, des logiciels malveillants et des contenus altérés peuvent s’infiltrer dans votre réseau. En raison de ces menaces de sécurité potentielles, votre stratégie de gestion des appareils mobiles (MDM) doit être préparée à tous les défis. L’un de ces défis de sécurité est la présence d’un appareil compromis dans votre parc mobile.
Causa
Sans objet
Resolución
Présentation
Les appareils compromis peuvent être des appareils iOS « jailbreakés » et Android « rootés », dont un utilisateur a modifié les préréglages du fabricant. Ces appareils éliminent les paramètres de sécurité intégrale et peuvent introduire des logiciels malveillants dans votre réseau et accéder aux ressources de votre entreprise. Dans un environnement MDM, l’ensemble de la chaîne est aussi faible que son maillon le plus faible. Un seul appareil compromis peut faire fuiter des données sensibles ou endommager vos serveurs. La surveillance et la détection des appareils compromis sont encore plus difficiles dans un environnement BYOD (Bring Your Own Device), avec différentes versions d’appareils et de systèmes d’exploitation. Les appareils compromis constituent un problème de sécurité majeur pour les entreprises et doivent être traités immédiatement.
Les appareils jailbreakés et rootés abandonnent les sauvegardes de base, ce qui les transforme en points d’entrée vulnérables pour les activités indésirables, telles que :
- Vol de mot de passe et usurpation d’identité : Les noms d’utilisateur et mots de passe non chiffrés sont collectés et utilisés pour aller plus loin dans les zones sensibles ou assumer l’identité de l’entreprise.
- Interception des données : la communication envoyée et reçue est à la vue de tous et non protégée par des mesures de sécurité normales.
- Infiltration de virus : les réseaux non protégés sont des proies faciles pour l’intrusion des virus et des logiciels malveillants, qui risquent d’endommager les données de votre entreprise et de les rendre irrécupérables.
Le défi de la détection
Les appareils exécutés sur différentes plates-formes ne répondent pas tous de la même manière à la détection d’appareils compromis. Par exemple, les appareils iOS 7+ prennent en charge les vérifications en arrière-plan, mais peuvent présenter d’autres limites. Les appareils Android permettent les vérifications en arrière-plan, sans restrictions ni limites. La solution de Workspace ONE (anciennement AirWatch) à ce problème assure la détection sur plusieurs appareils et systèmes d’exploitation.
Approche de Workspace ONE
Pour faire face à ces différences, Workspace ONE a développé une approche unique à plusieurs niveaux pour la détection d’appareils compromis. Consultez le tableau ci-dessous pour comprendre les limitations et les fonctionnalités des plates-formes iOS et Android.
Capacités de la plate-forme
| Fonction | iOS | Android |
|---|---|---|
| Inscription de l’agent | État compromis détecté lors de l’inscription | État compromis détecté lors de l’inscription |
| Vérification en arrière-plan | Pour les appareils exécutant iOS 7 et des versions ultérieures, les vérifications en arrière-plan sont disponibles à l’aide de Workspace ONE MDM Agent. | Permet la détection en arrière-plan |
| Vérifications à la demande | Utilisable avec la planification de messages APN (Apple Push Notification Service) :
|
Utilisable avec la messagerie GCM :
|
| Moteur de conformité | Mesures correctives automatisées lorsqu’un appareil compromis est détecté ou que l’état n’est pas à jour. | Mesures correctives automatisées lorsqu’un appareil compromis est détecté ou que l’état n’est pas à jour. |
| Détection intégrée aux applications d’entreprise | Workspace ONE App Wrapping disponible pour appliquer la détection d’appareils compromis dans vos applications encapsulées | Workspace ONE App Wrapping disponible pour appliquer la détection d’appareils compromis dans vos applications encapsulées |
Détection d’appareils compromis avec Workspace ONE
La solution Workspace ONE couvre l’ensemble de la durée de vie d’un appareil inscrit en bloquant les appareils non invités et en coupant tout lien avec les appareils compromis ou non conformes. Nos algorithmes de détection propriétaires sont constamment soumis à des tests de pénétration, à la recherche et au développement basés sur de nouveaux systèmes d’exploitation, ce qui garantit les fonctionnalités de détection les plus avancées possibles. Cette approche de détection à plusieurs niveaux des appareils compromis se compose des éléments suivants :
Inscription de l’agent
La première ligne de défense de Workspace ONE contre les appareils indésirables se trouve au moment de l’inscription. Configurez les paramètres de conformité et détectez les appareils compromis avant d’autoriser l’entrée d’un appareil. Les appareils doivent être conformes aux paramètres de sécurité ou installer des profils pour l’utilisateur. La détection de la conformité de la sécurité varie en fonction du type d’inscription :
- Les appareils basés sur agent : les appareils iOS ou Android peuvent s’inscrire avec Workspace ONE MDM Agent, qui doit être téléchargé depuis iTunes App Store ou Google Play Store. Une fois que l’agent est installé, celui-ci vérifie l’état de l’appareil, puis envoie les informations au serveur en fonction de l’intervalle de temps défini sur Workspace ONE Admin Console.
- Web-based : les appareils iOS sont les seuls périphériques qui prennent en charge l’inscription Web avec le navigateur Web par défaut sur l’appareil à l’aide de l’URL d’inscription. Pour détecter l’état de ces appareils, l’une des applications SDK intégrées de Workspace ONE doit être installée sur l’appareil, telles que Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker ou une application d’entreprise autorisée par le kit de développement intégré.
Pour plus d’informations sur la comparaison des différentes approches d’inscription, consultez le guide de la plate-forme iOS.
Vérifications en arrière-plan
Une fois que l’appareil est inscrit, gérez sa conformité. Workspace ONE MDM Agent fournit des vérifications en arrière-plan en continu pour détecter l’existence d’états compromis sur tous les appareils Android et les versions plus récentes du système d’exploitation iOS (iOS 7+) avec accès à un réseau cellulaire.
Disponibles pour les appareils iOS 7, les fonctionnalités de Workspace ONE basées sur agent sont exploitables, notamment :
- Actualisation des applications en arrière-plan : Workspace ONE permet de définir la collecte et la transmission basées sur des intervalles des informations sur les appareils entièrement via Workspace ONE Agent. Dans ce cas, vous pouvez envoyer un paramètre de temps à l’appareil désignant la fréquence minimale à laquelle Workspace ONE Agent doit être lancé. Activez ce paramètre en accédant à Devices > Settings > Apple > Apple iOS > Agent Settings dans workspace ONE Admin Console. Sur cette page, cliquez sur Background App Refresh et configurez les options disponibles. Définissez l’intervalle d’actualisation minimal et définissez l’agent pour qu’il vérifie uniquement si l’appareil est connecté à un réseau Wi-Fi. Si vous définissez l’intervalle d’actualisation minimal, l’appareil tente d’envoyer les informations sur l’appareil au serveur MDM une fois au maximum dans l’intervalle alloué.
Figure 1 : (en anglais uniquement) Configurer les paramètres de l’agent
- Silent Apple Push Notification service (APNs) - Workspace ONE demande automatiquement des vérifications en arrière-plan à l’aide d’APNs silencieux régulièrement. Dans cet exemple, Workspace ONE Admin Console envoie une notification à l’appareil lui demandant un état compromis au serveur Workspace ONE. Sur l’appareil, les notifications push doivent être activées pour Workspace ONE Agent.
Figure 2 : (en anglais uniquement) AirWatch MDM Agent
Vous pouvez également exécuter manuellement une requête en accédant à la page Détails du périphérique pour un périphérique spécifique, puis en cliquant sur More > Query > Workspace ONE MDM Agent, comme indiqué ci-dessous. Cette requête ne s’affiche que si la version requise de Workspace ONE Agent est installée sur l’appareil.
De plus, en utilisant la fonctionnalité de détection d’appareils compromis dans le SDK Workspace ONE, vous pouvez intégrer cette logique en arrière-plan à votre application interne afin d’effectuer une détection des appareils jailbreakés en arrière-plan.
Vérifications lancées par application
Établissez des points de contrôle de détection pour l’utilisation des informations d’entreprise et des fonctionnalités de Workspace ONE Lorsqu’un appareil lance Workspace ONE Secure Content Locker, AirWatch Browser ou AirWatch MDM Agent, le système de détection vérifie automatiquement l’état de conformité en ajoutant une couche de protection supplémentaire à vos informations.
Activez vos applications encapsulées pour iOS et Android avec une protection contre les appareils compromis. Activez le paramètre à partir de la page Paramètres et stratégies (Groupes et paramètres > Tous les paramètres > Applications > Paramètres et Stratégies > Stratégies de sécurité), ainsi que d’autres paramètres pour vos applications encapsulées et attribuez le profil à votre application encapsulée. Pour obtenir plus d’informations et des instructions détaillées, consultez le guide d’utilisation de Workspace ONE App Wrapping.
Activez vos applications SDK pour iOS avec la détection des appareils compromis. En commençant par le SDK d’iOS v3.2, vous pouvez vérifier si l’état de l’appareil est compromis directement dans votre application, que l’appareil soit en ligne ou hors ligne. Votre application peut utiliser cette fonction uniquement si l’appareil a exécuté un appel de balise avec succès au moins une fois par le passé. Pour obtenir plus d’informations et des exemples de code, consultez le guide d’utilisation du SDK d’iOS de Workspace ONE.
Moteur de conformité
Lorsque Workspace ONE détecte des appareils compromis ou non conformes, le moteur de conformité prend rapidement des mesures sur ces appareils en fonction de la stratégie de l’appareil définie par l’administrateur sur la console. Workspace ONE permet à l’administrateur de demander l’état initial de l’appareil et de définir la fréquence de l’intervalle de temps du moteur de conformité.
Détection intégrée aux applications d’entreprise
Plutôt que d’installer Workspace ONE Agent pour accéder au SDK, créez le SDK Workspace ONE dans vos applications internes. Le SDK est fourni avec les principales fonctionnalités de MDM (présentées dans notre profil de SDK complet), y compris la détection d’appareils jailbreakés et rootés qui vérifie en permanence la conformité. Les applications d’entreprise couramment exécutées qui sont poussées vers un appareil exécutent des analyses de détection plus fréquemment, de sorte que vous détectez les appareils compromis plus rapidement.
Un administrateur peut alors spécifier les actions à exécuter pour une application qui est installée sur l’appareil compromis dans la console d’administration. Par exemple, si un appareil est considéré comme étant compromis, l’administrateur peut effectuer les actions suivantes :
- envoyer un message d’avertissement à l’utilisateur ;
- verrouiller l’accès de l’utilisateur à l’appareil ;
- effacer les données de l’application et de l’entreprise ;
- restreindre l’accès à l’appareil.
Application et surveillance des appareils compromis
Appliquez les règles de conformité afin de surveiller l’état des appareils iOS et Android. Workspace ONE Admin Console fournit à l’administrateur des outils permettant de garder le système alerte et sécurisé.
Moteur de conformité
Le moteur de conformité sert de point de contrôle de sécurité, car il se verrouille ou prend des mesures supplémentaires pour les appareils ou les utilisateurs automatiquement. En fonction des règles de conformité définies par l’administrateur pour un appareil, le moteur de conformité peut détecter si un appareil est non conforme et prendre des mesures définies sur celui-ci. Ces règles et actions peuvent être définies dans Workspace ONE Admin Console.
Une fois que les règles et les actions sont établies, le moteur de conformité prend en charge le reste. La résolution est automatisée. Si une analyse détecte un périphérique compromis, l’ordinateur exécute des avertissements prédéfinus et des actions escaladées. Les administrateurs ne sont pas obligés de traiter chaque cas qui est découvert.
Toutefois, la console d’administration permet le libre-service pour le protocole de conformité. Les administrateurs peuvent effacer un appareil et envoyer un e-mail ou un SMS à l’utilisateur expliquant pourquoi l’appareil n’est pas conforme et comment cela est arrivé, sans que l’utilisateur n’ait à contacter l’administrateur.
Avec le temps économisé par le moteur de conformité chargé de la gestion des périphériques, les administrateurs peuvent consulter les rapports de conformité hebdomadaires ou mensuels pour comprendre les contrevenants répétés.
Last Compromised Scan compliance (Dernière conformité d’analyse d’appareils compromis)
La règle Last Compromised Scan compliance permet à l’administrateur de définir l’intervalle de temps au cours duquel l’agent doit effectuer l’analyse de l’appareil. Cela permet de garantir que, si AirWatch n’a pas reçu d’état de conformité pour l’appareil pour une période donnée, des mesures de précaution peuvent être prises.
Compromised Statut compliance (Conformité des états des appareils compromis)
La règle Compromised Statut compliance permet à l’administrateur de configurer des actions pour un appareil compromis.
Pour les deux règles de conformité ci-dessus, les actions suivantes peuvent être effectuées :
- Notification : avertissement de l’utilisateur avec un SMS, un e-mail ou une notification push.
- Application : blocage ou suppression d’une partie ou de l’ensemble des applications gérées.
- Commande : exécution de l’opération d’effacement de l’entreprise ou demande de vérification d’un appareil.
- Profil : blocage ou suppression de tous les profils, d’un type de profil particulier ou d’un profil particulier.
Panneau de configuration de l’appareil
Les administrateurs peuvent voir le récapitulatif des appareils inscrits. Le récapitulatif inclut les informations de sécurité qui indiquent à l’administrateur si l’appareil a été détecté comme étant compromis ou non. Si l’appareil n’est pas compromis, une coche verte s’affiche.
Figure 3 : (en anglais uniquement) Panneau de configuration des périphériques
Visualiser la conformité des appareils
Votre tableau de bord fournit une représentation graphique du pourcentage d’appareils compromis inscrits dans un groupe d’entreprise. Cela donne à l’administrateur une vue générale des périphériques compromis et facilite le suivi de ces périphériques.
Figure 4 : (en anglais uniquement) Bord
Exécution de rapports de conformité planifiés ou à la demande
Workspace ONE Admin Console est également livré avec plus de 100 rapports standard, ainsi qu’une liste des rapports de conformité qui peuvent s’exécuter automatiquement à des intervalles réguliers planifiés ou à la demande. Consultez rapidement tous les appareils non conformes de l’ensemble de votre parc ou de groupes d’entreprise spécifiques. Séparez les appareils compromis pour les applications de liste noire, les paramètres de code secret faible et la conformité de la sécurité globale. Les rapports de conformité permettent de voir avec précision les appareils compromis ou non conformes de votre système.
Figure 5 : (en anglais uniquement) Tous les rapports
Conclusion
Le MDM sécurisé est un besoin croissant, c’est pourquoi Workspace ONE prend une longueur d’avance à cet égard en proposant une solution sans précédent qui vous donne les outils nécessaires pour détecter les menaces de sécurité que constituent les appareils compromis. La solution unique de détection à plusieurs niveaux de Workspace ONE est conçue pour être efficace sur toutes les plates-formes d’appareils et fournit également une flexibilité pour prendre les mesures nécessaires sur les appareils détectés. Tous les ingrédients ci-dessus de la solution de détection font de Workspace ONE une solution efficace pour assurer la sécurité de votre entreprise.
Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.