Upload
st-slovenija-dd
View
233
Download
8
Embed Size (px)
DESCRIPTION
Prezentacija z Microsoft NT konference 2013, Uroš Majcen, S&T Slovenija
Citation preview
Mobilne naprave vnašajo varnostna tveganja v ščitena omrežja - kakšne so rešitve?
Uroš Majcen
S&T Slovenija d.d.
Dejstva
• Industrija mobilnih naprav je trenutno najhitreje rastoča industrija na svetu
• Prodaja pametnih telefonov je v letu 2010 zrasla za 96%
• Samo novih Androidov se vsak dan registrira preko 60,000
• Za leto 2014 se predvideva, da bo uporaba interneta na mobilnih naprav presegla uporabo računalnikov. Že v letu 2011 je bilo polovico internetnih poizvedb izvedenih na mobilnih napravah
• 113 mobilnih telefonov je izgubljenih ali ukradenih vsako minuto v ZDA
• 70 milijonov mobilnih telefonov je bilo ukradeno v letu 2011, samo 7% je bilo najdenih
• Od leta 2010 je BBC „izgubila“ 399 prenosnikov, 347 pametnih telefonov in 39 tablic
• Apple je prodal v Q3 2012 več tabličnih računalnikov kot Lenovo, Dell in HP prenosnih računalnikov skupaj
Prvi pametni telefon?
Tehnologija v uporabi na delovnem mestu se spreminja
Organizacij dovoljuje dostop v svoje omrežje
Uporabnikov uporablja 3 ali več naprav za
dostop do podatkov
80% 65% 52%
Novih aplikacij se uvaja v „oblak“
„Edinstvenost“ mobilne tehnologije
Skupna raba
mobilnih
naprav je
pogosta
Mobilne
naprave se
uporabljajo
na raz.
lokacijah
Mobilne
naprave
prioritizirajo
uporabnike
Različne
mobilne
naprave.
Različne
osebnosti
mobilnih
naprav
• Telefoni in tablice v
osebni lasti se
uporabljajo v družini
• „Enterprise“ tablice
so v skupni rabi v
podjetjih
• Socialne norme pri
različnosti med mob.
aplikacijami in
datotečnimi strežniki
• Delovno orodje
• Naprava za zabavo
• Osebna last/last
podjetja
• Različni varnostni
profili
• Nezrelost OS za
enterprise uporabo
• BYOD diktira
različne ponudnike
• Vendorji in mobilni
ponudniki diktirajo
različne OS in OS
verzije
• Ena lokacija lahko
ponuja javno,
zasebno ali
„mobilno“ povezavo
• Kjerkoli, kadarkoli
• Vedno večje
zanašanje na
„enterprise“ WI-FI
• Ne na račun
„uporabniške
izkušnje“
• OS arhitektura daje
uporabnikom večjo
veljavo
• Težko uveljaviti
globalno politiko,
listo aplikacij itd.
BYOD prinaša prednosti in slabosti
PrednostiPrihranek pri nabavi naprave
Prihranek pri mesečnem strošku
Večja produktivnost
Zadovoljstvo uporabnika
Prednost pred konkurenco
TveganjeInformacijska varnost
Pravni vidik
BYOD – trend - ocena
■ Do leta 2016 bo organizacija v povprečju porabila 300 $ na uporabnika za zagotavljanje
mobilnih aplikacij, varnosti, obvladovanja mobilnih naprav
■ Do leta 2017 bo v povprečju polovica organizacij zahtevala od svojih zaposlenih, da sami
zagotovijo mobilne naprave za poslovno rabo
• Vir: Gartner
PUOCE?
■ Kaj za božjo voljo pa je to?
■ PRIVATE USAGE OF CORPORATE EQUIPMENT
Varnostni vidik je največja zavora pri večji uporabi mobilnih naprav za poslovno rabo
Drivers for Adopting Mobile
Base: Those who deployed/piloted/plan to adopt
mobile, excluding don’t know (n=1117)
Barriers to Adopting Mobile
Base: Those who deployed/piloted/plan to adopt mobile,
excluding don’t know (n=1115)
Aplikacije v mobilnem svetu
App Drivers
– Productivity
– Competition
– New Business Models
App Adoption Phases
– Mobile web extensions
– Hybrid Apps (HTML5)
– Native Apps 9%
13%
15%
16%
16%
17%
21%
23%
39%
40%
43%
44%
Other
Enterprise Document…
Inspections, Surveys or…
Enterprise Asset…
Enterprise Content…
Proof of Delivery
Supply Chain Management
Enterprise Collaboration…
Field Services
BI Reports
Workflows
Sales / CRM
Top Enterprise Mobile AppsTop Enterprise Apps
Ali ste vedeli?
■ Android uporabniki tarča Angry Birds malware-a
Podjetje dobilo £50,000 kazni, ko se je skoraj 1400 uporabnikov v VB pritožilo, da aplikacija
pošilja „premium“ sms
V sredini novembra 2011 se aplikacija pojavi na Google MarketPlace (sedaj Google Play)
Uporabniki v 18 državah so bili prizadeti
Aplikacija pošiljala plačljiva SMS sporočila
Do konca decembra 2011 odkrili 27 podobnih aplikacij
5 varnostnih rizikov na mobilnih napravah
■ Prestrezanje komunikacije
Public WI-FI
Naprave z omogočenim WI-FI so podvržene enakim rizikom
■ Malware
■ Naprave
Podobne kot na PCjih
Fizični dostop
Lažje izgubiti/odtujiti
■ Notranje grožnje
■ Aplikacije
Vprašanja za „management“
■ Ali dovolimo, da so zaupni podatki na mobilnih napravah?
■ Ali dovolimo dostop do aplikacij/podatkov napravam v osebni lasti?
■ Kdo določa sledeče zadeve:
Kdo dobi mobilne naprave in katere v podjetju?
Kdo ima pravico do dostopov iz mobilnih naprav in kam?
Nakup naprav?
Provizioniranje naprav?
Varnost/nadzor mobilnih naprav?
Podpora osebnih napravam? Do katerega nivoja?
Dobra praksa
■ Registracija naprav – povečanje varnosti
Antivirus, avtentikacija, enkripcija
■ Provizioniranje aplikacij, avtoriziranih s strani podjetja
■ Nadzor s strani IT-ja (MDM se seli v RMM)
■ Izobraževanje uporabnikov
Skladnost z varnostno politiko podjetja
Registracija skozi IT
Varnost skozi gesla
Uporaba varnih aplikacij
Izgubljene/ukradene naprave
IT izzivi pri „mobilnosti“
■ Multi-OS okolje
Enotni operacijski sistem ni več možen
■ IT varnost
Izgubljene/ukradene naprave
Pametni telefoni vsebujejo občutljive podatke
■ IT Operations
Manj kontrole, več naprav, enaka odgovornost
Konfiguracija novih mobilnih naprav
Upravljanje obstoječih
Mobilne aplikacije
■ BYOD
Manj kontrole
■ Stroški telefonije
Veliki stroški za podjetja povezani z mobilno tehnologijo
■ Uporabniki zahtevajo več
Boljše naprave
Več mobilnih storitev
5 stebrov t.i. „Enterprise Mobility“C
on
tro
l Po
ints
User & App Access
App & Data Protection
Device Management
Threat Protection
Secure File Sharing
Naprava
Apps
Podatki
Company credentials extended to both public and private cloud services
Corporate data separation and delivery of IT services
Configuration, control and management of mobile devices
Mobile SecurityThreatdetectionand removal
Enterprise-gradefile sharing and collaboration inthe cloud
Desktop vs. Mobile Management
• Organizacije želijo uporabljati enotno orodje za upravljanje vseh naprav (strežnik, PC, telefon, …), ker podporo napravam izvaja ista skupina ljudi
• V večini je IT zadolžen za podporo mobilnim napravam
• Prenos dobrih praks in najboljših varnostnih rešitev iz PC sveta na mobilne naprave
• Integracije z ostalimi orodji (Service Desk, baze osnovnih sredstev, ..)
Brisanje naprav
Podatki o lokaciji
Jailbreak/Root zaznava
Enterprise App store
Upravljanje popravkov
Popis strojne opreme
Popis programske opreme
Upravljanje aplikacij
Konfiguracija naprav
Enkripcija
Integracije z zunanjimi sistemi
Upravljanje varnostih politik
Multiple OS support
Anti-Virus
Provisioning OS
Upravljanje z
energijo
Mobile Device
ManagementDesktop
Management
Naprave v osebni lasti in lasti podjetja – vidiki obvladovanja
Company Controls Personal Device
Company Controls Relevant Apps & Data Only
Company Controls Standard Device
Company Owned But Unmanaged
Company-owned Personally-owned
Man
age
dU
nm
anag
ed
Kaj mora vsebovati MDM rešitev?
Configure Devices
Self-service enrollmentConfigure Email, VPN, Wi-FiIdentity Certificates
Distribute Apps
In-house apps or public-store appsDocs, videos – any active content Group based management
Manage Assets
Centralized visibility and controlAutomated workflowsScalable to 20,000+ devices
Apply Policies
Passwords, App restrictionsCompliance with JailbreakSelective wipe and Full wipe
Osnovne funkcionalnosti
■ Gesla in ne PIN
■ Remote Wipe
■ Secure Email/Calendar Sync
■ Enkripcija naprave in SD kartic
Agentless tehnologijaActive Sync, Push Notification Services
Malo razširimo funkcionalnost
■ Onemogočimo dele naprav ali funkcionalnosti (kamera, GPRS, SD kartice itd.)
■ Dvo-stopenjska avtentikacija
■ Število neuspešnih poskusov (lock/wipe)
Agentless in tudi Agent-based
„Prava“ MDM rešitev
■ Bazirana na agentih
Multi query na APIje
Generični agenti in agenti, za posamezne HW ponudnike, ne samo OS
Kindle Fire je tudi Android
Facebook Home
Granulacija (podpora BYOD)
■ Ni samo security rešitev - MDM, MCM, MAM?
■ Različni App Store oziroma Google Play .....
Granularnost
Ločitev na osebne oziroma korporativne naprave
Patching/upgrading
■ Enterprise Dropbox/Google Drive/SkyDrive
Facebook Home
Kaj moramo še upoštevati pri MDM rešitvi?
■ Tipi implementacij V oblaku „on the premise“ Hibridno Dodatek obstoječim nadzornim
sistemom
■ Podpora napravam Heterogena podpora Verzije?
Velike razlike pri Android platformiIOS omejitve
■ Licenčni modeli Nakup Najem
Na enoto/na uporabnikaLeto/mesec
Primeri naših izkušenj – kaj ponujamo?
■ Symantec Mobile Management for Configuration Manager
MDM rešitev z vključenim MAM, MCM
Rešitev, bazirana na agentih
Razširitev SCCM na „ostale“ naprave
Symbian
Windows Phone
Android
IOS
BlackBerry
Enotna uporabniška izkušnja
Enotna infrastruktura – poenostavitev za IT
Arhitektura rešitve
Izgled rešitve
Še nekaj vpogledov v rešitev
Pregled možnosti po platformah
4.0, 5.0, 6.0 2.2 – 4.0 7.0, 7.5 6.x
Enable Enterprise Enrollment
Self-service Activation
Business Email
Enterprise Apps
Corporate Content
Network Access
Secure Policy Management
Strong Authentication
Email Access Control
Secure Email App
Compliance Checks
Data Separation
Manage Centralized Management
Integrated Management
App Management
Blacklist & Revoke
Dashboards & Reports
Automated Workflows
Current capability
Zmožnosti na platformi IOS
• Accounts – Exchange ActiveSync – IMAP/ POP email – VPN – Wi-Fi – LDAP – CalDAV– CardDAV– Subscribed calendars
• Policies – Require passcode – Allow simple value – Require alphanumeric value – Passcode length – Number of complex characters – Maximum passcode age – Time before auto-lock – Number of unique passcodes before reuse – Grace period for device lock – Number of failed attempts before wipe – Control Configuration Profile removal by user
• Restrictions – App installation – Camera – Screen capture – Automatic sync of mail accounts while roaming – Voice dialing when locked – In-application purchasing – Require encrypted backups to iTunes – Explicit music & podcasts in iTunes – Allowed content ratings for movies, TV shows, apps – Safari security preferences – YouTube – iTunes Store – App Store – Safari
• Other settings – Certificates and identities – Web Clips – APN settings– Icloud– Roaming configurations
Zmožnosti na platformi Android
– Wipe data1
– Lock now
– Reset password
– Password enabled
– Set maximum failed passwords for wipe
– Set maximum inactivity time to lock
– Set password minimum length
– Alphanumeric password required
– Minimum letters required in password2
– Minimum lowercase letters required in password2
– Minimum non-letter characters required in password2
– Minimum symbols required in password2
– Minimum numerical digits required in password2
– Minimum uppercase letters required in password2
– Password expiration (number of days)2
– Password history (max number of past passwords stored)2
– Password complex characters required2
– Data Encryption2
– Camera Disable3
1 - Wipes user data on device; does not wipe memory (SD) card
2 - Android 3.x+ required
3 - Android 4.x+ required
Še nekaj vpogledov
Varnostne nastavitve
■ Varnostna politika Geslo / politika gesel Enkripcija podatkov Zaklepanje / odklepanje naprave
■ Kontrola dostopa vezana na skladnost naprave OS vezija in status (root/jailbreak detection Kontrola nameščenih aplikacij (zahtevane/dovoljene/prepovedane)
■ Akcije vezane na ne-skladnost Alarm (email, SMS, push) Blokiranje ActiveSync
■ Selektivno brisanje Datotek
Aplikacij
■ Onemogočanje
Uporabe kamere, ...
Aplikacij
Nameščanja aplikacij
Varnost - aplikacije
SYMANTEC APP CENTER
• Deployment in provizioniranje aplikacij
• User authentication skozi celoten set aplikacij
• Copy in paste kontrola
• Per-application file encryption
• Podpora iOS, Android, in HTML5
Podobno kot „sandboxing“ toda bolj fleksibilno
.IPA ali .APK s
standardnimi
knjižnicami
App „wrapped“ z App Center
knjižnicami in politikami
kontrole
Kaj še delamo?
■ Citrix Xen Mobile
Ap
p M
an
ag
em
en
t
Device Management
Secure Mail
Productivity and Collaboration
Business Apps
Ac
ce
ss
Ga
tew
ay &
SS
O
Data Management
Citrix Mobile Gateway – dostop do aplikacij ne glede na naprave
■ Dostop do aplikacij ne glede na naprave
Vse aplikacije skozi enotni način dela in dostop
Mobile LifeCycle skozi oči S&T
ASSESME
NT- Kdo? Kaj?
Kako?
- Pregled okolja
- Aplikacije/ideje
?
- Sestava
predloga
Design
- Varnostne zahteve
- LAN/WIFI
BYOD
Mobile Device Management
- Device Management
- Application Management
- Content Management
- Email Management
Application Transformation
And Delivery
Vprašanja?