Issuu on Google+

Mobilne naprave vnašajo varnostna tveganja v ščitena omrežja - kakšne so rešitve? Uroš Majcen S&T Slovenija d.d. uros.majcen@snt.si


Dejstva •

Industrija mobilnih naprav je trenutno najhitreje rastoča industrija na svetu

Prodaja pametnih telefonov je v letu 2010 zrasla za 96% Samo novih Androidov se vsak dan registrira preko 60,000

• •

Za leto 2014 se predvideva, da bo uporaba interneta na mobilnih naprav presegla uporabo računalnikov. Že v letu 2011 je bilo polovico internetnih poizvedb izvedenih na mobilnih napravah

113 mobilnih telefonov je izgubljenih ali ukradenih vsako minuto v ZDA

70 milijonov mobilnih telefonov je bilo ukradeno v letu 2011, samo 7% je bilo najdenih

Od leta 2010 je BBC „izgubila“ 399 prenosnikov, 347 pametnih telefonov in 39 tablic

Apple je prodal v Q3 2012 več tabličnih računalnikov kot Lenovo, Dell in HP prenosnih računalnikov skupaj


Prvi pametni telefon?


Tehnologija v uporabi na delovnem mestu se spreminja

80% Novih aplikacij se uvaja v „oblak“

65%

52%

Organizacij dovoljuje dostop v svoje omrežje

Uporabnikov uporablja 3 ali več naprav za dostop do podatkov


„Edinstvenost“ mobilne tehnologije Skupna raba mobilnih naprav je pogosta

Različne osebnosti mobilnih naprav

• Telefoni in tablice v osebni lasti se uporabljajo v družini

• Delovno orodje

• „Enterprise“ tablice so v skupni rabi v podjetjih • Socialne norme pri različnosti med mob. aplikacijami in datotečnimi strežniki

Različne mobilne .naprave

• Naprava za zabavo

• Nezrelost OS za enterprise uporabo

• Osebna last/last podjetja

• BYOD diktira različne ponudnike

• Različni varnostni profili

• Vendorji in mobilni ponudniki diktirajo različne OS in OS verzije

Mobilne naprave se uporabljajo na raz. lokacijah

• Ena lokacija lahko ponuja javno, zasebno ali „mobilno“ povezavo • Kjerkoli, kadarkoli • Vedno večje zanašanje na „enterprise“ WI-FI

Mobilne naprave prioritizirajo uporabnike • Ne na račun „uporabniške izkušnje“ • OS arhitektura daje uporabnikom večjo veljavo • Težko uveljaviti globalno politiko, listo aplikacij itd.


BYOD prinaša prednosti in slabosti

Prednosti Prihranek pri nabavi naprave Prihranek pri mesečnem strošku Večja produktivnost Zadovoljstvo uporabnika Prednost pred konkurenco

Tveganje Informacijska varnost Pravni vidik


BYOD – trend - ocena

■ ■

Do leta 2016 bo organizacija v povprečju porabila 300 $ na uporabnika za zagotavljanje mobilnih aplikacij, varnosti, obvladovanja mobilnih naprav Do leta 2017 bo v povprečju polovica organizacij zahtevala od svojih zaposlenih, da sami zagotovijo mobilne naprave za poslovno rabo

• Vir: Gartner


PUOCE? ■ ■

Kaj za božjo voljo pa je to? PRIVATE USAGE OF CORPORATE EQUIPMENT


Varnostni vidik je največja zavora pri večji uporabi mobilnih naprav za poslovno rabo Drivers for Adopting Mobile

Base: Those who deployed/piloted/plan to adopt mobile, excluding don’t know (n=1117)

Barriers to Adopting Mobile

Base: Those who deployed/piloted/plan to adopt mobile, excluding don’t know (n=1115)


Aplikacije v mobilnem svetu App Drivers

Top Enterprise Apps Mobile Apps Top Enterprise

– Productivity

Sales / CRM

44%

– Competition

Workflows

43%

– New Business Models

BI Reports

40%

Field Services

39%

Enterprise Collaboration… Supply Chain Management

App Adoption Phases – Mobile web extensions – Hybrid Apps (HTML5) – Native Apps

23% 21%

Proof of Delivery

17%

Enterprise Content…

16%

Enterprise Asset…

16%

Inspections, Surveys or…

15%

Enterprise Document… 13% Other

9%


Ali ste vedeli?

Android uporabniki tarča Angry Birds malware-a  Podjetje dobilo £50,000 kazni, ko se je skoraj 1400 uporabnikov v VB pritožilo, da aplikacija pošilja „premium“ sms  V sredini novembra 2011 se aplikacija pojavi na Google MarketPlace (sedaj Google Play)

 Uporabniki v 18 državah so bili prizadeti  Aplikacija pošiljala plačljiva SMS sporočila  Do konca decembra 2011 odkrili 27 podobnih aplikacij


5 varnostnih rizikov na mobilnih napravah

Prestrezanje komunikacije  Public WI-FI  Naprave z omogočenim WI-FI so podvržene enakim rizikom

■ ■

Malware Naprave  Podobne kot na PCjih  Fizični dostop

 Lažje izgubiti/odtujiti

■ ■

Notranje grožnje Aplikacije


Vprašanja za „management“

■ ■ ■

Ali dovolimo, da so zaupni podatki na mobilnih napravah? Ali dovolimo dostop do aplikacij/podatkov napravam v osebni lasti? Kdo določa sledeče zadeve:  Kdo dobi mobilne naprave in katere v podjetju?  Kdo ima pravico do dostopov iz mobilnih naprav in kam?  Nakup naprav?  Provizioniranje naprav?

 Varnost/nadzor mobilnih naprav?  Podpora osebnih napravam? Do katerega nivoja?


Dobra praksa

Registracija naprav – povečanje varnosti  Antivirus, avtentikacija, enkripcija

■ ■ ■

Provizioniranje aplikacij, avtoriziranih s strani podjetja Nadzor s strani IT-ja (MDM se seli v RMM) Izobraževanje uporabnikov  Skladnost z varnostno politiko podjetja  Registracija skozi IT

 Varnost skozi gesla  Uporaba varnih aplikacij  Izgubljene/ukradene naprave


IT izzivi pri „mobilnosti“ ■

Multi-OS okolje 

IT varnost 

Izgubljene/ukradene naprave

Pametni telefoni vsebujejo občutljive podatke

IT Operations 

Manj kontrole, več naprav, enaka odgovornost

Konfiguracija novih mobilnih naprav

Upravljanje obstoječih

Mobilne aplikacije

BYOD 

Manj kontrole

Stroški telefonije 

Enotni operacijski sistem ni več možen

Veliki stroški za podjetja povezani z mobilno tehnologijo

Uporabniki zahtevajo več 

Boljše naprave

Več mobilnih storitev


5 stebrov t.i. „Enterprise Mobility“

Control Points

User & App Access

App & Data Protection

Device Management

Threat Protection

Secure File Sharing

Mobile Security Threat detection and removal

Enterprise-grade file sharing and collaboration in the cloud

Naprava

Apps Podatki Company credentials extended to both public and private cloud services

Corporate data separation and delivery of IT services

Configuration, control and management of mobile devices


Desktop vs. Mobile Management

Desktop Management  Provisioning OS  Upravljanje z energijo

Mobile Device Management Upravljanje popravkov Popis strojne opreme

Popis programske opreme Upravljanje aplikacij Konfiguracija naprav Enkripcija

 Brisanje naprav  Podatki o lokaciji  Jailbreak/Root zaznava  Enterprise App store

Integracije z zunanjimi sistemi Upravljanje varnostih politik

Multiple OS support Anti-Virus

Organizacije želijo uporabljati enotno orodje za upravljanje vseh naprav (strežnik, PC, telefon, …), ker podporo napravam izvaja ista skupina ljudi

V večini je IT zadolžen za podporo mobilnim napravam

Prenos dobrih praks in najboljših varnostnih rešitev iz PC sveta na mobilne naprave

Integracije z ostalimi orodji (Service Desk, baze osnovnih sredstev, ..)


Unmanaged

Naprave v osebni lasti in lasti podjetja – vidiki obvladovanja

Company Controls Relevant Apps & Data Only

Company Controls Standard Device

Company Controls Personal Device

Managed

Company Owned But Unmanaged

Company-owned

Personally-owned


Kaj mora vsebovati MDM reĹĄitev?

Configure Devices

Distribute Apps

Self-service enrollment Configure Email, VPN, Wi-Fi Identity Certificates

In-house apps or public-store apps Docs, videos – any active content Group based management

Manage Assets

Apply Policies

Centralized visibility and control Automated workflows Scalable to 20,000+ devices

Passwords, App restrictions Compliance with Jailbreak Selective wipe and Full wipe


Osnovne funkcionalnosti ■ ■ ■ ■

Gesla in ne PIN Remote Wipe Secure Email/Calendar Sync

Enkripcija naprave in SD kartic

Agentless tehnologija Active Sync, Push Notification Services


Malo razširimo funkcionalnost

■ ■ ■

Onemogočimo dele naprav ali funkcionalnosti (kamera, GPRS, SD kartice itd.) Dvo-stopenjska avtentikacija Število neuspešnih poskusov (lock/wipe)

Agentless in tudi Agent-based


„Prava“ MDM rešitev

Bazirana na agentih  Multi query na APIje  Generični agenti in agenti, za posamezne HW ponudnike, ne samo OS Kindle Fire je tudi Android Facebook Home  Granulacija (podpora BYOD)

■ ■

Ni samo security rešitev - MDM, MCM, MAM?

Različni App Store oziroma Google Play .....  Granularnost  Ločitev na osebne oziroma korporativne naprave  Patching/upgrading

Enterprise Dropbox/Google Drive/SkyDrive


Facebook Home


Kaj moramo še upoštevati pri MDM rešitvi? ■

Tipi implementacij  V oblaku  „on the premise“  Hibridno  Dodatek obstoječim nadzornim sistemom Podpora napravam  Heterogena podpora  Verzije? Velike razlike pri Android platformi IOS omejitve Licenčni modeli  Nakup  Najem Na enoto/na uporabnika Leto/mesec


Primeri naših izkušenj – kaj ponujamo?

Symantec Mobile Management for Configuration Manager  MDM rešitev z vključenim MAM, MCM  Rešitev, bazirana na agentih  Razširitev SCCM na „ostale“ naprave Symbian Windows Phone Android

IOS BlackBerry  Enotna uporabniška izkušnja  Enotna infrastruktura – poenostavitev za IT


Arhitektura rešitve


Izgled rešitve


Ĺ e nekaj vpogledov v reĹĄitev


Pregled možnosti po platformah

Enable

Secure

Manage

4.0, 5.0, 6.0

2.2 – 4.0

7.0, 7.5

6.x

Enterprise Enrollment Self-service Activation Business Email Enterprise Apps Corporate Content Network Access

     

    

    

Policy Management Strong Authentication Email Access Control Secure Email App Compliance Checks Data Separation

     

     

  

Centralized Management Integrated Management App Management Blacklist & Revoke Dashboards & Reports Automated Workflows

     

     

     

     

 Current capability

 


Zmožnosti na platformi IOS •

Accounts – Exchange ActiveSync – IMAP/ POP email – VPN – Wi-Fi – LDAP – CalDAV – CardDAV – Subscribed calendars

Policies – Require passcode – Allow simple value – Require alphanumeric value – Passcode length – Number of complex characters – Maximum passcode age – Time before auto-lock – Number of unique passcodes before reuse – Grace period for device lock – Number of failed attempts before wipe – Control Configuration Profile removal by user

Restrictions – App installation – Camera – Screen capture – Automatic sync of mail accounts while roaming – Voice dialing when locked – In-application purchasing – Require encrypted backups to iTunes – Explicit music & podcasts in iTunes – Allowed content ratings for movies, TV shows, apps – Safari security preferences – YouTube – iTunes Store – App Store – Safari

Other settings – Certificates and identities – Web Clips – APN settings – Icloud – Roaming configurations


Zmožnosti na platformi Android

– – – – – – – – –

– –

Wipe data1 Lock now Reset password Password enabled Set maximum failed passwords for wipe Set maximum inactivity time to lock Set password minimum length Alphanumeric password required Minimum letters required in password2 Minimum lowercase letters required in password2 Minimum non-letter characters required in password2

– Minimum symbols required in password2 – Minimum numerical digits required in password2 – Minimum uppercase letters required in password2 – Password expiration (number of days)2 – Password history (max number of past passwords stored)2 – Password complex characters required2 – Data Encryption2 – Camera Disable3 1 - Wipes user data on device; does not wipe memory (SD) card 2 - Android 3.x+ required 3 - Android 4.x+ required


Ĺ e nekaj vpogledov


Varnostne nastavitve

■ ■ ■ ■

Varnostna politika  Geslo / politika gesel  Enkripcija podatkov  Zaklepanje / odklepanje naprave Kontrola dostopa vezana na skladnost naprave  OS vezija in status (root/jailbreak detection  Kontrola nameščenih aplikacij (zahtevane/dovoljene/prepovedane) Akcije vezane na ne-skladnost  Alarm (email, SMS, push)  Blokiranje ActiveSync Selektivno brisanje  Datotek  Aplikacij

Onemogočanje  Uporabe kamere, ...  Aplikacij  Nameščanja aplikacij


Varnost - aplikacije

SYMANTEC APP CENTER

• • • • •

Deployment in provizioniranje aplikacij User authentication skozi celoten set aplikacij Copy in paste kontrola Per-application file encryption Podpora iOS, Android, in HTML5


Podobno kot „sandboxing“ toda bolj fleksibilno

.IPA ali .APK s standardnimi knjižnicami

App „wrapped“ z App Center knjižnicami in politikami kontrole


Kaj ĹĄe delamo?

Citrix Xen Mobile App Management

Business Apps

AccessGateway & SSO

â– 

Productivity and Collaboration

Secure Mail

Data Management

Device Management


Citrix Mobile Gateway – dostop do aplikacij ne glede na naprave ■

Dostop do aplikacij ne glede na naprave


Vse aplikacije skozi enotni naÄ?in dela in dostop


Mobile LifeCycle skozi oÄ?i S&T

ASSESME NT -

Application Transformation And Delivery

-

Kdo? Kaj? Kako? Pregled okolja Aplikacije/ideje ? Sestava predloga

Design - Varnostne zahteve - LAN/WIFI

Mobile Device Management - Device Management - Application Management - Content Management - Email Management

BYOD


Vprašanja?


Mobilne naprave vnašajo varnostna tveganja v ščitena omrežja. Kakšne so rešitve?