Przegląd urządzeń, których integralność została naruszona, w rozwiązaniu Workspace ONE
Resumen: W tym artykule opisano omówienie urządzeń, których integralność została naruszona.
Síntomas
Dotyczy produktów:
- Workspace ONE
Urządzenia mobilne umożliwiają użytkownikom stałą komunikację i dostęp do zawartości przedsiębiorstwa w czasie podróży. Chociaż urządzenia mobilne zapewniają przepływ istotnych informacji biznesowych, mogą pozwolić na wprowadzenie do sieci złośliwego oprogramowania i uszkodzonej zawartości. Ze względu na te potencjalne zagrożenia bezpieczeństwa strategia zarządzania urządzeniami mobilnymi (ang. Mobile Device Management, MDM) powinna zostać przygotowana na wszelkie wyzwania. Jednym z takich wyzwań dla bezpieczeństwa jest obecność we flocie urządzeń mobilnych urządzeń, których integralność została naruszona.
Causa
Nie dotyczy
Resolución
Omówienie
Do urządzeń, których integralność została naruszona, należą urządzenia z systemem iOS, na których wykonano „jailbreak”, oraz urządzenia z systemem Android, które zostały „zrootowane”, i w obu przypadkach zmieniono ustawienia fabryczne producenta. Takie urządzenia eliminują wbudowane ustawienia zabezpieczeń i mogą wprowadzać do sieci złośliwe oprogramowanie oraz uzyskać dostęp do zasobów przedsiębiorstwa. W środowisku MDM cały łańcuch jest tylko tak silny, jak jego najsłabsze ogniwo. Pojedyncze zagrożone urządzenie może ujawniać wrażliwe informacje lub uszkadzać serwery. Monitorowanie i wykrywanie zagrożonych urządzeń staje się jeszcze trudniejsze w środowisku z własnymi urządzeniami (BYOD), gdzie używane są różne wersje urządzeń i systemów operacyjnych. Urządzenia, których integralność została naruszona, stanowią poważne naruszenie bezpieczeństwa w przedsiębiorstwie i należy się nimi od razu zająć.
Urządzenia pozbawione ograniczeń i zrootowane tracą podstawowe zabezpieczenia, co sprawia, że są narażone na niepożądane działania, takie jak:
- Kradzież hasła i tożsamości: Niezaszyfrowane nazwy użytkowników i hasła są gromadzone i wykorzystywane w celu zagłębienia się w wrażliwe obszary lub przejęcia tożsamości firmy.
- Przechwycenie danych: informacje są wysyłane i odbierane jako widoczne i nie są chronione przez standardowe środki bezpieczeństwa.
- Infiltracja przez wirusy: niezabezpieczona sieć to łatwy cel dla wirusów i złośliwego oprogramowania, które mogą uszkadzać dane firmy i uniemożliwić ich odzyskanie.
Problem z wykrywaniem
Urządzenia działające na różnych platformach w różny sposób poddają się wykrywaniu złamanych zabezpieczeń. Na przykład urządzenia z systemem iOS 7 lub nowszym obsługują kontrole w tle, ale mogą mieć dodatkowe ograniczenia. Urządzenia z systemem Android umożliwiają kontrole w tle bez żadnych ograniczeń. Rozwiązanie Workspace ONE (dawniej AirWatch) pozwala wyeliminować ten problem poprzez wykrywanie zagrożeń na wielu urządzeniach i w różnych systemach operacyjnych.
Podejście zastosowane w rozwiązaniu Workspace ONE
W celu uporania się z takimi odchyleniami w rozwiązaniu Workspace ONE zastosowano unikatowe wielowarstwowe rozwiązanie wykrywania urządzeń, których integralność została naruszona. Zapoznaj się z poniższą tabelą, aby zrozumieć ograniczenia i możliwości platform iOS i Android.
Możliwości platformy
| Możliwość | iOS | Android |
|---|---|---|
| Rejestracja agenta | Wykrycie naruszenia podczas rejestracji | Wykrycie naruszenia podczas rejestracji |
| Kontrola w tle | W przypadku urządzeń z systemem iOS 7 lub nowszym możliwe są kontrole w tle z użyciem agenta MDM Workspace ONE. | Umożliwia wykrywanie w tle |
| Kontrole na żądanie | Dostępne w ramach zaplanowanego przesyłania komunikatów Apple Push Notification Service (APNs):
|
Dostępne za pośrednictwem komunikatów GCM Messaging:
|
| Mechanizm zgodności | Zautomatyzowane działania naprawcze po wykryciu urządzenia, którego integralność została naruszona, lub nieaktualnego statusu. | Zautomatyzowane działania naprawcze po wykryciu urządzenia, którego integralność została naruszona, lub nieaktualnego statusu. |
| Wykrywanie wbudowane w aplikacje dla przedsiębiorstw | Dostępna funkcja opakowania aplikacji Workspace ONE pozwalająca wymusić wykrywanie zagrożeń w opakowanych aplikacjach | Dostępna funkcja opakowania aplikacji Workspace ONE pozwalająca wymusić wykrywanie zagrożeń w opakowanych aplikacjach |
Wykrywanie urządzeń, których integralność została naruszona, z użyciem rozwiązania Workspace ONE
Rozwiązanie Workspace ONE obejmuje cały czas eksploatacji zarejestrowanego urządzenia, umożliwiając blokowanie niezamówionych urządzeń i usuwanie powiązań z zagrożonymi lub niezgodnymi urządzeniami. Nasze algorytmy wykrywania zastrzeżonego stale przechodzą testy penetracji, badania i rozwój w oparciu o nowe systemy operacyjne, zapewniając najbardziej zaawansowane możliwości wykrywania. To wielowarstwowe podejście do wykrywania zagrożonych urządzeń obejmuje następujące elementy:
Rejestracja agenta
Pierwszą linię obrony rozwiązania Workspace ONE przed niechcianymi urządzeniami stanowi rejestracja. Konfigurowanie ustawień zgodności i wykrywanie urządzeń, których integralność została naruszona, przed zezwoleniem na dostęp do urządzenia. Wymaganie od wszystkich urządzeń zgodności z ustawieniami zabezpieczeń lub instalowanie profilów użytkownika. Wykrywanie zgodności z zabezpieczeniami różni się w zależności od typu rejestracji:
- Urządzenia z systemem iOS lub Android mogą zarejestrować się z użyciem agenta MDM Workspace ONE pobranego ze sklepu iTunes lub Google Play. Po zainstalowaniu agenta sprawdzany jest stan urządzenia, a następnie urządzenie zaczyna zgodnie z interwałem czasowym ustawionym w rozwiązaniu Workspace ONE wysyłać informacje do serwera.
- Web-based - iOS devices are the only devices that support web-based enrollment with the default web browser on the device using the enrollment URL. Aby wykryć stan takich urządzeń, należy zainstalować na urządzeniu dowolną aplikację Workspace ONE z wbudowanym zestawem SDK, na przykład agenta MDM Workspace ONE, przeglądarkę Workspace ONE, aplikację Secure Content Locker lub aplikację dla przedsiębiorstw z obsługą SDK.
Aby uzyskać więcej informacji na temat różnych metod rejestracji, zobacz Podręcznik platformy iOS.
Kontrole w tle
Po zarejestrowaniu urządzenia można zarządzać jego zgodnością. Agent MDM Workspace ONE udostępnia bieżące kontrole w tle dotyczące stanu naruszenia zabezpieczeń dla wszystkich urządzeń z systemem Android i nowszych wersji systemu operacyjnego iOS (iOS 7 lub nowszy) z dostępem do sieci komórkowej.
Agent Workspace ONE oferuje następujące funkcje przeznaczone w szczególności dla urządzeń z systemem iOS 7:
- Odświeżanie aplikacji w tle — rozwiązanie Workspace ONE umożliwia ustawianie zbioru i przesyłania informacji o urządzeniach w oparciu o interwały za pośrednictwem agenta Workspace ONE. W takim przypadku można wysłać do urządzenia parametr czasu określający, z jaką minimalną częstotliwością ma być uruchamiany agent Workspace ONE. Włącz to ustawienie, przechodząc do opcji Devices > Settings > Apple > Apple iOS > Agent Settings w konsoli administracyjnej Workspace ONE. Na tej stronie kliknij opcję Odświeżanie aplikacji w tle i skonfiguruj dostępne opcje. Ustaw minimalny interwał odświeżania i ustaw agenta, aby sprawdzał, czy urządzenie jest podłączone do sieci Wi-Fi. Ustawienie minimalnego interwału odświeżania oznacza, że urządzenie podejmuje próbę wysłania informacji o urządzeniu do serwera MDM nie więcej niż raz w przypisanym minimalnym okresie czasu.
Rysunek 1. (tylko w języku angielskim) Konfiguracja ustawień agenta
- Usługa cichego powiadomienia Apple Push Notification Service (APNs) — Workspace ONE regularnie wysyła żądania kontroli w tle przy użyciu dyskretnych apn. W tym przypadku konsola administracyjna Workspace ONE wyśle do urządzenia powiadomienie, żądając zwrócenia do serwera Workspace ONE informacji o stanie zagrożenia. W urządzeniu należy włączyć powiadomienia push dla agenta Workspace ONE.
Rysunek 2. (tylko w języku angielskim) AirWatch MDM Agent
Kwerendę można również uruchomić ręcznie, przechodząc do strony Szczegóły urządzenia dla określonego urządzenia i klikając opcję More > Query > Workspace ONE MDM Agent, jak podano poniżej. Ta kwerenda pojawia się tylko wtedy, gdy na urządzeniu jest zainstalowana żądana wersja agenta Workspace ONE.
Dodatkowo, korzystając z funkcji wykrywania naruszenia bezpieczeństwa w zestawie SDK Workspace ONE, można powiązać algorytmy kontroli w tle z aplikacją wewnętrzną, aby uzyskać funkcję wykrywania działań „jailbreak” w tle.
Kontrole zainicjowane przez aplikację
Ustalanie punktów kontrolnych na potrzeby dostarczania informacji o przedsiębiorstwie i użycia funkcji Workspace ONE. Gdy urządzenie uruchomi aplikację Workspace ONE Secure Content Locker, przeglądarkę AirWatch lub agenta MDM AirWatch, system wykrywający automatycznie weryfikuje stan zgodności, dodając kolejną warstwę ochrony danych.
Włącz ochronę przed naruszeniem bezpieczeństwa opakowanych aplikacji dla systemów iOS i Android. Włącz ustawienie na stronie Ustawienia i zasady (Grupy & Ustawienia > Wszystkie ustawienia > Aplikacje > Ustawienia i zasady > Zasady zabezpieczeń) wraz z innymi ustawieniami opakowanych aplikacji i przypisz profil do opakowanej aplikacji. Aby uzyskać więcej informacji i zapoznać się ze szczegółowymi instrukcjami, zobacz Podręcznik z opakowania aplikacji Workspace ONE.
Włącz wykrywanie zagrożeń w aplikacjach SDK dla systemu iOS. Począwszy od wersji 3.2 zestawu SDK dla systemu iOS, stan zagrożenia urządzenia można sprawdzić bezpośrednio w aplikacji, niezależnie od tego, czy urządzenie jest w trybie online, czy offline. Aplikacja może korzystać z tej funkcji wyłącznie wtedy, gdy urządzenie przynajmniej raz w przeszłości uruchomiło połączenie sygnałowe. Aby uzyskać więcej informacji i przykładowy kod, zapoznaj się z przewodnikiem SDK Workspace ONE dla systemu iOS.
Mechanizm zgodności
Gdy rozwiązanie Workspace ONE wykryje zagrożone lub niezgodne urządzenie, mechanizm zgodności niezwłocznie podejmie działanie w oparciu o zasady urządzeń ustawione przez administratora w konsoli. Rozwiązanie Workspace ONE zapewnia administratorowi swobodę w zakresie wymagania wstępnego stanu urządzenia, a także ustawiania częstotliwości uruchamiania mechanizmu zgodności.
Wykrywanie wbudowane w aplikacje dla przedsiębiorstw
Zamiast instalować agenta Workspace ONE, aby uzyskać dostęp do zestawu SDK, można wbudować zestaw SDK do aplikacji wewnętrznych. Zestaw SDK oferuje główne funkcje MDM (które zostały opisane w kompletnym profilu SDK), w tym funkcje wykrywania działań „jailbreak” i rootowania, które nieustannie kontrolują stan zgodności. Najczęściej uruchamiane aplikacje dla przedsiębiorstw, które są wypychane do wykrywania urządzeń, są skanowane częściej, dzięki czemu szybciej można wychwycić urządzenia, których integralność została naruszona.
Administrator może także w konsoli administracyjnej określić, jakie działania mają zostać podjęte wobec aplikacji zainstalowanej na urządzeniu, którego integralność została naruszona. Na przykład, jeśli okaże się, że zabezpieczenia urządzenia zostały złamane, administrator może zastosować następujące działania:
- Wysłanie komunikatu z ostrzeżeniem dla użytkownika.
- Zablokowanie użytkownikowi dostępu do urządzenia.
- Wymazanie aplikacji i danych przedsiębiorstwa.
- Ograniczenie dostępu
Egzekwowanie zasad i monitorowanie zagrożonych urządzeń
Wymuś zgodność z zasadami w celu monitorowania zagrożenia urządzeń z systemem iOS i systemem Android. Konsola administracyjna Workspace ONE oferuje narzędzia, które umożliwiają zachowanie czujności i zabezpieczenie systemu.
Mechanizm zgodności
Mechanizm zgodności służy jako punkt kontrolny zabezpieczeń, automatycznie blokując urządzenia lub podejmując dodatkowe czynności wobec urządzeń i użytkowników. W oparciu o reguły zgodności ustawione wobec urządzenia przez administratora, mechanizm zgodności może wykryć, czy urządzenie zachowuje zgodność z wymogami i wykonać na nim określone działania. Te reguły i działania można definiować w konsoli administracyjnej rozwiązania Workspace ONE.
Po ustaleniu reguł i działań mechanizm zgodności zajmuje się resztą. Działania naprawcze są zautomatyzowane. Jeśli skanowanie wykryje zagrożone urządzenie, komputer przechodzi przez wstępnie ustawione ostrzeżenia i eskaluje działania. Po wykryciu administratorzy nie muszą zajmować się każdą instancją.
Konsola administracyjna umożliwia jednak samodzielne sprawdzenie zgodności. Administratorzy mogą usunąć urządzenie i wysłać do użytkownika wiadomość e-mail lub SMS, wyjaśniając, w jaki sposób i dlaczego dane urządzenie nie jest zgodne z wymogami, bez konieczności kontaktowania się użytkownika z administratorem.
W czasie zaoszczędzonym przez mechanizm zgodności zarządzający urządzeniami administratorzy mogą przeglądać cotygodniowe lub miesięczne raporty zgodności, aby zrozumieć powtarzające się problemy.
Funkcja zgodności Skanowanie ostatnio naruszonych
Funkcja zgodności Skanowanie ostatnio naruszonych umożliwia administratorom ustawienie interwału, w jakim agent ma wykonywać skanowanie urządzeń. Daje to pewność, że jeśli rozwiązanie AirWatch przez określony czas nie otrzyma od urządzenia informacji o stanie zgodności, mogą zostać podjęte środki zapobiegawcze.
Funkcja zgodności Status naruszenia
Funkcja zgodności Status naruszenia umożliwia administratorom konfigurowanie działań, jakie mają być podjęte wobec zagrożonego urządzenia.
W przypadku dwóch reguł powyższych zgodności można zastosować następujące działania:
- Powiadamianie: powiadamianie użytkownika za pomocą wiadomości SMS, poczty e-mail i powiadomień push.
- Application: blokowanie lub usuwanie części lub wszystkich zarządzanych aplikacji.
- Polecenie: wykonanie wymazywania danych przedsiębiorstwa lub żądanie zaewidencjonowania urządzenia.
- Profile: blokowanie lub usuwanie wszystkich profili, określonych typów profilu albo określonego profilu.
Panel sterowania urządzeniami
Administratorzy mogą wyświetlić podsumowanie zarejestrowanych urządzeń. Zawiera ono szczegółowe informacje o zabezpieczeniach, informujące administratora, czy poszczególne urządzenia były sprawdzane pod kątem naruszenia integralności. Jeśli urządzenie nie jest zagrożone, jest przy nim wyświetlany zielony znacznik wyboru.
Rysunek 3. (tylko w języku angielskim) Panel sterowania urządzeniami
Wizualizacja zgodności urządzenia
Pulpit nawigacyjny przedstawia w formie graficznej odsetek zagrożonych urządzeń zarejestrowanych w grupie organizacji. Zapewnia to administratorowi ogólny widok zagrożonych urządzeń i pomaga w śledzeniu takich urządzeń.
Rysunek 4. (tylko w języku angielskim) Pulpitu nawigacyjnego
Generowanie raportów zgodności z przepisami zgodnie z planem lub na żądanie
W konsoli administracyjnej Workspace ONE jest także dostępnych ponad 100 standardowych raportów, w tym lista raportów zgodności, które mogą być wykonywane automatycznie w zaplanowanych odstępach czasu lub generowane na żądanie. Szybki przegląd wszelkich niezgodnych urządzeń w całej flocie lub w określonych grupach organizacji. Izolowanie urządzeń naruszających zasady poprzez obecność zabronionych aplikacji, słabe hasła lub ogólną niezgodność z zasadami bezpieczeństwa. Raporty zgodności umożliwiają uzyskanie ogólnego obrazu urządzeń zagrożonych lub niezgodnych z zasadami.
Rysunek 5. (tylko w języku angielskim) Wszystkie raporty
Wnioski
Rozwiązanie Workspace ONE wychodzi naprzeciw coraz pilniejszej potrzebie posiadania bezpiecznych funkcji MDM, oferując wyjątkowe rozwiązanie, które zapewnia wykrywanie zagrożeń dla bezpieczeństwa, takich jak urządzenia, których zabezpieczenia zostały złamane. Unikatowe wielowarstwowe rozwiązanie wykrywania Workspace ONE zostało opracowane pod kątem zapewnienia skuteczności na wszystkich platformach urządzeń. Zapewnia także swobodę w zakresie wyboru działań, jakie mają być podjęte wobec wykrytych urządzeń. Wszystkie powyższe składniki rozwiązania wykrywania sprawiają, że Workspace ONE jest skutecznym rozwiązaniem, które chroni Twoje przedsiębiorstwo.
Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.