O autorze
Dom Hume jest wiceprezesem produktów i usług technicznych w Becrypt.
Ponieważ firmy wciąż wprowadzają innowacje, aby uzyskać oszczędności dzięki wykorzystaniu coraz bardziej wyrafinowanych i wszechobecnych technologii mobilnych, wiele z nich nieustannie boryka się z ryzykiem związanym z prowadzeniem działalności. 39, stale powiększającą się flotę terminali. Aby skutecznie zarządzać złożonością wielu mobilnych platform sprzętowych i programowych, potrzebny jest wygodny, bezpieczny i ekonomiczny sposób zarządzania, monitorowania i śledzenia urządzeń.
Najlepszym sposobem na to jest wdrożenie kompleksowej strategii zarządzania urządzeniami mobilnymi, która czasami może obejmować uwzględnienie całego stosu sprzętu i oprogramowania, aby zapewnić efektywne wykorzystanie czasu. oraz zasoby potrzebne do zabezpieczenia i monitorowania urządzeń przenośnych z danymi biznesowymi o znaczeniu krytycznym.
Przedstawiłem cztery tematy, które naszym zdaniem są ważne dla organizacji przy wdrażaniu solidnej strategii MDM, z których wiele opiera się na pracy, którą wykonaliśmy z rządem Wielkiej Brytanii. Zjednoczony.
Wybierz producenta urządzenia dedykowanego do poprawek bezpieczeństwa
Ważne jest, aby wziąć pod uwagę fakt, że Android i iOS mają zasadniczo różne podejście do ekosystemu telefonu. Apple ma zamknięty ekosystem, podczas gdy Android jest otwartą platformą, a producenci telefonów mogą tworzyć własne urządzenia za pomocą Androida. Google wydaje aktualizacje i poprawki dla swoich telefonów Pixel, a także wydaje poprawki dla całej społeczności Androida.
Nieuchronnie poszczególni producenci potrzebują czasu, aby zintegrować, przetestować i wypuścić poprawkę na swoje telefony. W rezultacie może to prowadzić do okresu, w którym znane publicznie luki w zabezpieczeniach mogą być wykorzystywane przez okres zależny od reakcji dostawcy. Sytuacja ta nie znajduje bezpośredniego odzwierciedlenia w ekosystemie Apple.
Ważne jest również zbadanie czasu życia poprawek, do których zobowiązał się dostawca, ponieważ często ma to związek z szybkością reakcji na poprawki. Organizacje z długoterminowymi projektami mogą chcieć polegać na wyspecjalizowanych producentach, takich jak Bittium, którzy zobowiążą się do wydłużenia cyklu życia urządzeń.
Zaplanuj zarządzanie cyklem życia swoich aplikacji.
Z punktu widzenia platformy udostępniania aplikacji Apple App Store i Google Play Store pełnią te same funkcje. Chociaż istnieją pewne różnice w podejściu, oba programy nie faworyzują już aplikacji ładowanych z boku dla użytkowników.
Od samego początku Apple App Store ustanowił proces kontroli jakości i zgodności, przez który aplikacje muszą przejść, zanim będą mogły pojawić się w sklepie. Twórcy aplikacji nadal mogą podpisywać własne aplikacje i przesyłać je na urządzenia za pośrednictwem niektórych MDM, które oferują prywatne sklepy z aplikacjami. Jeśli jednak certyfikat twórcy aplikacji zostanie unieważniony, aplikacje przestaną działać.
Bardziej bezpieczną metodą jest poproszenie programisty o przesłanie aplikacji do prawdziwego App Store, gdzie aplikacje są sprawdzane, aby upewnić się, że działają i nie wpływają na funkcjonalność i bezpieczeństwo urządzenia. Dla firm firma Apple stworzyła program zakupów grupowych (VPP) dla firm. Pozwala to organizacjom na składanie wniosków tylko dla siebie lub dla określonych klientów.
Należy zauważyć, że aplikacje nie zawsze są dostarczane z serwerów Apple. W rzeczywistości są one często dostarczane przez brokera Content Delivery Network. Wszystkie urządzenia z systemem iOS mają wbudowaną funkcję App Store; Można to wyłączyć na serwerze MDM. Organizacje mogą również przesyłać aplikacje proxy i aktualizacje z serwera MDM.
Google wdrożyło również proces sprawdzania poprawności aplikacji, podlegający procesowi recenzji, który może być nieco powolny. Chociaż nie ma Sklepu Play tylko dla biznesu, Google oferuje „prywatną” koncepcję aplikacji, która pozwala użytkownikom rozróżnić aplikacje biznesowe i osobiste. Administratorzy MDM mogą usuwać aplikacje biznesowe z zarządzanego telefonu. Podobnie jak Bring Your Own Device, organizacja ustala zasady i blokuje urządzenie, jednocześnie dając użytkownikowi swobodę dostosowania go do użytku osobistego. Użytkownik czuje, że pewien stopień poufności jest gwarantowany, ale sam w sobie nie jest elementem bezpieczeństwa.
Rozważ architekturę „podzielonego serwera proxy” dla środowisk wysokiego ryzyka
Organizacje uważane za cele o dużej wartości i narażone na wyrafinowane cyberataki są coraz bardziej zaniepokojone konsekwencjami naruszenia bezpieczeństwa serwera MDM. Hakerzy, którzy włamią się do serwera MDM, mogą łatwo zlokalizować i odblokować urządzenie, które stanowi poważne zagrożenie dla bezpieczeństwa firmy. Zaatakowane serwery mogą być również wykorzystywane do dalszego przemieszczania się między stronami lub jako idealny punkt wyjścia dla danych.
Kwestie bezpieczeństwa danych związane z zarządzaniem urządzeniami mobilnymi wynikają z funkcji narzuconych przez ekosystem smartfonów. Obawy te dotyczą tego, czy system MDM organizacji działa lokalnie, czy jest używany jako usługa w chmurze. Serwery MDM mają złożone protokoły komunikacyjne, które współdziałają z wieloma usługami internetowymi, takimi jak systemy powiadomień push i sklepy z aplikacjami online. Zazwyczaj te kanały komunikacji są uwierzytelniane i kompleksowo szyfrowane, co uniemożliwia ich sprawdzenie pod kątem zagrożeń.
W związku z tym organizacja lub jej dostawca usług może otworzyć porty zapory ogniowej dla serwera MDM znajdującego się w jej najbardziej zaufanym segmencie sieci lub udostępnić serwer MDM w mniej zaufanym segmencie, swego rodzaju „strefie zdemilitaryzowanej”. Ostatecznie jest to równoznaczne z naruszeniem bezpiecznej sieci lub poświęceniem serwera MDM.
Jednym ze sposobów ograniczenia ryzyka takiego kompromisu jest wybór rozwiązania wykorzystującego architekturę „współdzielonego proxy”. Wykorzystując szereg serwerów proxy znajdujących się w strefie zdemilitaryzowanej, odpowiadają one na zakres szyfrowanej komunikacji z ekosystemem smartfonów, który jest obowiązkowy dla serwera MDM. Ruch MDM może być kontrolowany przez serwery proxy i podlega zaporze aplikacji internetowej w celu wykrycia anomalii.
Serwer MDM może być hostowany w bezpiecznej sieci, z bezpieczną komunikacją i odpowiednio zarządzany za pomocą serwerów proxy. Tego typu rozwiązanie może zaoferować znacznie wyższy poziom ochrony, pozostając jednocześnie całkowicie przejrzystym dla użytkownika końcowego.
Przed wdrożeniem rozważ cele biznesowe
Ostatecznie organizacje, które jako część swojej strategii MDM traktują priorytetowo ochronę danych i pracowników, muszą ocenić, czego potrzebują od swoich urządzeń mobilnych i jak zamierzają z nich korzystać. Wielofunkcyjna stacja robocza, która wymaga dostępu do wielu systemów zaplecza, w tym wrażliwych danych klientów, prawie na pewno będzie wymagała znacznych nakładów budżetowych, oprócz silnych możliwości analizy ryzyka.
Z drugiej strony mały projekt ciągłości biznesowej, który w pewnych okolicznościach informuje pracowników o działaniach poza godzinami pracy, może zostać zrealizowany bez wdrożenia MDM.
Niezależnie od tego, czy firma działa w środowisku wysokiego, czy niskiego zagrożenia, musi wybrać rozwiązanie MDM, które jest wystarczająco odporne, aby chronić swoje dane przed coraz bardziej wyrafinowanymi i dobrze finansowanymi zagrożeniami, które chcą przeniknąć do firmy. 39; mobilny ekosystem narażający dane biznesowe.
Dom Hume jest wiceprezesem produktów i usług technicznych w Becrypt.