Mobilne naprave vnašajo varnostna tveganja v ščitena omrežja - kakšne so rešitve?

Uroš Majcen

S&T Slovenija d.d.

uros.majcen@snt.si

Dejstva

• Industrija mobilnih naprav je trenutno najhitreje rastoča industrija na svetu

• Prodaja pametnih telefonov je v letu 2010 zrasla za 96%

• Samo novih Androidov se vsak dan registrira preko 60,000

• Za leto 2014 se predvideva, da bo uporaba interneta na mobilnih naprav presegla uporabo računalnikov. Že v letu 2011 je bilo polovico internetnih poizvedb izvedenih na mobilnih napravah

• 113 mobilnih telefonov je izgubljenih ali ukradenih vsako minuto v ZDA

• 70 milijonov mobilnih telefonov je bilo ukradeno v letu 2011, samo 7% je bilo najdenih

• Od leta 2010 je BBC „izgubila“ 399 prenosnikov, 347 pametnih telefonov in 39 tablic

• Apple je prodal v Q3 2012 več tabličnih računalnikov kot Lenovo, Dell in HP prenosnih računalnikov skupaj

Prvi pametni telefon?

Tehnologija v uporabi na delovnem mestu se spreminja

Organizacij dovoljuje dostop v svoje omrežje

Uporabnikov uporablja 3 ali več naprav za

dostop do podatkov

80% 65% 52%

Novih aplikacij se uvaja v „oblak“

„Edinstvenost“ mobilne tehnologije

Skupna raba

mobilnih

naprav je

pogosta

Mobilne

naprave se

uporabljajo

na raz.

lokacijah

Mobilne

naprave

prioritizirajo

uporabnike

Različne

mobilne

naprave.

Različne

osebnosti

mobilnih

naprav

• Telefoni in tablice v

osebni lasti se

uporabljajo v družini

• „Enterprise“ tablice

so v skupni rabi v

podjetjih

• Socialne norme pri

različnosti med mob.

aplikacijami in

datotečnimi strežniki

• Delovno orodje

• Naprava za zabavo

• Osebna last/last

podjetja

• Različni varnostni

profili

• Nezrelost OS za

enterprise uporabo

• BYOD diktira

različne ponudnike

• Vendorji in mobilni

ponudniki diktirajo

različne OS in OS

verzije

• Ena lokacija lahko

ponuja javno,

zasebno ali

„mobilno“ povezavo

• Kjerkoli, kadarkoli

• Vedno večje

zanašanje na

„enterprise“ WI-FI

• Ne na račun

„uporabniške

izkušnje“

• OS arhitektura daje

uporabnikom večjo

veljavo

• Težko uveljaviti

globalno politiko,

listo aplikacij itd.

BYOD prinaša prednosti in slabosti

PrednostiPrihranek pri nabavi naprave

Prihranek pri mesečnem strošku

Večja produktivnost

Zadovoljstvo uporabnika

Prednost pred konkurenco

TveganjeInformacijska varnost

Pravni vidik

BYOD – trend - ocena

■ Do leta 2016 bo organizacija v povprečju porabila 300 $ na uporabnika za zagotavljanje

mobilnih aplikacij, varnosti, obvladovanja mobilnih naprav

■ Do leta 2017 bo v povprečju polovica organizacij zahtevala od svojih zaposlenih, da sami

zagotovijo mobilne naprave za poslovno rabo

• Vir: Gartner

PUOCE?

■ Kaj za božjo voljo pa je to?

■ PRIVATE USAGE OF CORPORATE EQUIPMENT

Varnostni vidik je največja zavora pri večji uporabi mobilnih naprav za poslovno rabo

Drivers for Adopting Mobile

Base: Those who deployed/piloted/plan to adopt

mobile, excluding don’t know (n=1117)

Barriers to Adopting Mobile

Base: Those who deployed/piloted/plan to adopt mobile,

excluding don’t know (n=1115)

Aplikacije v mobilnem svetu

App Drivers

– Productivity

– Competition

– New Business Models

App Adoption Phases

– Mobile web extensions

– Hybrid Apps (HTML5)

– Native Apps 9%

13%

15%

16%

16%

17%

21%

23%

39%

40%

43%

44%

Other

Enterprise Document…

Inspections, Surveys or…

Enterprise Asset…

Enterprise Content…

Proof of Delivery

Supply Chain Management

Enterprise Collaboration…

Field Services

BI Reports

Workflows

Sales / CRM

Top Enterprise Mobile AppsTop Enterprise Apps

Ali ste vedeli?

■ Android uporabniki tarča Angry Birds malware-a

Podjetje dobilo £50,000 kazni, ko se je skoraj 1400 uporabnikov v VB pritožilo, da aplikacija

pošilja „premium“ sms

V sredini novembra 2011 se aplikacija pojavi na Google MarketPlace (sedaj Google Play)

Uporabniki v 18 državah so bili prizadeti

Aplikacija pošiljala plačljiva SMS sporočila

Do konca decembra 2011 odkrili 27 podobnih aplikacij

5 varnostnih rizikov na mobilnih napravah

■ Prestrezanje komunikacije

Public WI-FI

Naprave z omogočenim WI-FI so podvržene enakim rizikom

■ Malware

■ Naprave

Podobne kot na PCjih

Fizični dostop

Lažje izgubiti/odtujiti

■ Notranje grožnje

■ Aplikacije

Vprašanja za „management“

■ Ali dovolimo, da so zaupni podatki na mobilnih napravah?

■ Ali dovolimo dostop do aplikacij/podatkov napravam v osebni lasti?

■ Kdo določa sledeče zadeve:

Kdo dobi mobilne naprave in katere v podjetju?

Kdo ima pravico do dostopov iz mobilnih naprav in kam?

Nakup naprav?

Provizioniranje naprav?

Varnost/nadzor mobilnih naprav?

Podpora osebnih napravam? Do katerega nivoja?

Dobra praksa

■ Registracija naprav – povečanje varnosti

Antivirus, avtentikacija, enkripcija

■ Provizioniranje aplikacij, avtoriziranih s strani podjetja

■ Nadzor s strani IT-ja (MDM se seli v RMM)

■ Izobraževanje uporabnikov

Skladnost z varnostno politiko podjetja

Registracija skozi IT

Varnost skozi gesla

Uporaba varnih aplikacij

Izgubljene/ukradene naprave

IT izzivi pri „mobilnosti“

■ Multi-OS okolje

Enotni operacijski sistem ni več možen

■ IT varnost

Izgubljene/ukradene naprave

Pametni telefoni vsebujejo občutljive podatke

■ IT Operations

Manj kontrole, več naprav, enaka odgovornost

Konfiguracija novih mobilnih naprav

Upravljanje obstoječih

Mobilne aplikacije

■ BYOD

Manj kontrole

■ Stroški telefonije

Veliki stroški za podjetja povezani z mobilno tehnologijo

■ Uporabniki zahtevajo več

Boljše naprave

Več mobilnih storitev

5 stebrov t.i. „Enterprise Mobility“C

on

tro

l Po

ints

User & App Access

App & Data Protection

Device Management

Threat Protection

Secure File Sharing

Naprava

Apps

Podatki

Company credentials extended to both public and private cloud services

Corporate data separation and delivery of IT services

Configuration, control and management of mobile devices

Mobile SecurityThreatdetectionand removal

Enterprise-gradefile sharing and collaboration inthe cloud

Desktop vs. Mobile Management

• Organizacije želijo uporabljati enotno orodje za upravljanje vseh naprav (strežnik, PC, telefon, …), ker podporo napravam izvaja ista skupina ljudi

• V večini je IT zadolžen za podporo mobilnim napravam

• Prenos dobrih praks in najboljših varnostnih rešitev iz PC sveta na mobilne naprave

• Integracije z ostalimi orodji (Service Desk, baze osnovnih sredstev, ..)

Brisanje naprav

Podatki o lokaciji

Jailbreak/Root zaznava

Enterprise App store

Upravljanje popravkov

Popis strojne opreme

Popis programske opreme

Upravljanje aplikacij

Konfiguracija naprav

Enkripcija

Integracije z zunanjimi sistemi

Upravljanje varnostih politik

Multiple OS support

Anti-Virus

Provisioning OS

Upravljanje z

energijo

Mobile Device

ManagementDesktop

Management

Naprave v osebni lasti in lasti podjetja – vidiki obvladovanja

Company Controls Personal Device

Company Controls Relevant Apps & Data Only

Company Controls Standard Device

Company Owned But Unmanaged

Company-owned Personally-owned

Man

age

dU

nm

anag

ed

Kaj mora vsebovati MDM rešitev?

Configure Devices

Self-service enrollmentConfigure Email, VPN, Wi-FiIdentity Certificates

Distribute Apps

In-house apps or public-store appsDocs, videos – any active content Group based management

Manage Assets

Centralized visibility and controlAutomated workflowsScalable to 20,000+ devices

Apply Policies

Passwords, App restrictionsCompliance with JailbreakSelective wipe and Full wipe

Osnovne funkcionalnosti

■ Gesla in ne PIN

■ Remote Wipe

■ Secure Email/Calendar Sync

■ Enkripcija naprave in SD kartic

Agentless tehnologijaActive Sync, Push Notification Services

Malo razširimo funkcionalnost

■ Onemogočimo dele naprav ali funkcionalnosti (kamera, GPRS, SD kartice itd.)

■ Dvo-stopenjska avtentikacija

■ Število neuspešnih poskusov (lock/wipe)

Agentless in tudi Agent-based

„Prava“ MDM rešitev

■ Bazirana na agentih

Multi query na APIje

Generični agenti in agenti, za posamezne HW ponudnike, ne samo OS

Kindle Fire je tudi Android

Facebook Home

Granulacija (podpora BYOD)

■ Ni samo security rešitev - MDM, MCM, MAM?

■ Različni App Store oziroma Google Play .....

Granularnost

Ločitev na osebne oziroma korporativne naprave

Patching/upgrading

■ Enterprise Dropbox/Google Drive/SkyDrive

Facebook Home

Kaj moramo še upoštevati pri MDM rešitvi?

■ Tipi implementacij V oblaku „on the premise“ Hibridno Dodatek obstoječim nadzornim

sistemom

■ Podpora napravam Heterogena podpora Verzije?

Velike razlike pri Android platformiIOS omejitve

■ Licenčni modeli Nakup Najem

Na enoto/na uporabnikaLeto/mesec

Primeri naših izkušenj – kaj ponujamo?

■ Symantec Mobile Management for Configuration Manager

MDM rešitev z vključenim MAM, MCM

Rešitev, bazirana na agentih

Razširitev SCCM na „ostale“ naprave

Symbian

Windows Phone

Android

IOS

BlackBerry

Enotna uporabniška izkušnja

Enotna infrastruktura – poenostavitev za IT

Arhitektura rešitve

Izgled rešitve

Še nekaj vpogledov v rešitev

Pregled možnosti po platformah

4.0, 5.0, 6.0 2.2 – 4.0 7.0, 7.5 6.x

Enable Enterprise Enrollment

Self-service Activation

Business Email

Enterprise Apps

Corporate Content

Network Access

Secure Policy Management

Strong Authentication

Email Access Control

Secure Email App

Compliance Checks

Data Separation

Manage Centralized Management

Integrated Management

App Management

Blacklist & Revoke

Dashboards & Reports

Automated Workflows

Current capability

Zmožnosti na platformi IOS

• Accounts – Exchange ActiveSync – IMAP/ POP email – VPN – Wi-Fi – LDAP – CalDAV– CardDAV– Subscribed calendars

• Policies – Require passcode – Allow simple value – Require alphanumeric value – Passcode length – Number of complex characters – Maximum passcode age – Time before auto-lock – Number of unique passcodes before reuse – Grace period for device lock – Number of failed attempts before wipe – Control Configuration Profile removal by user

• Restrictions – App installation – Camera – Screen capture – Automatic sync of mail accounts while roaming – Voice dialing when locked – In-application purchasing – Require encrypted backups to iTunes – Explicit music & podcasts in iTunes – Allowed content ratings for movies, TV shows, apps – Safari security preferences – YouTube – iTunes Store – App Store – Safari

• Other settings – Certificates and identities – Web Clips – APN settings– Icloud– Roaming configurations

Zmožnosti na platformi Android

– Wipe data1

– Lock now

– Reset password

– Password enabled

– Set maximum failed passwords for wipe

– Set maximum inactivity time to lock

– Set password minimum length

– Alphanumeric password required

– Minimum letters required in password2

– Minimum lowercase letters required in password2

– Minimum non-letter characters required in password2

– Minimum symbols required in password2

– Minimum numerical digits required in password2

– Minimum uppercase letters required in password2

– Password expiration (number of days)2

– Password history (max number of past passwords stored)2

– Password complex characters required2

– Data Encryption2

– Camera Disable3

1 - Wipes user data on device; does not wipe memory (SD) card

2 - Android 3.x+ required

3 - Android 4.x+ required

Še nekaj vpogledov

Varnostne nastavitve

■ Varnostna politika Geslo / politika gesel Enkripcija podatkov Zaklepanje / odklepanje naprave

■ Kontrola dostopa vezana na skladnost naprave OS vezija in status (root/jailbreak detection Kontrola nameščenih aplikacij (zahtevane/dovoljene/prepovedane)

■ Akcije vezane na ne-skladnost Alarm (email, SMS, push) Blokiranje ActiveSync

■ Selektivno brisanje Datotek

Aplikacij

■ Onemogočanje

Uporabe kamere, ...

Aplikacij

Nameščanja aplikacij

Varnost - aplikacije

SYMANTEC APP CENTER

• Deployment in provizioniranje aplikacij

• User authentication skozi celoten set aplikacij

• Copy in paste kontrola

• Per-application file encryption

• Podpora iOS, Android, in HTML5

Podobno kot „sandboxing“ toda bolj fleksibilno

.IPA ali .APK s

standardnimi

knjižnicami

App „wrapped“ z App Center

knjižnicami in politikami

kontrole

Kaj še delamo?

■ Citrix Xen Mobile

Ap

p M

an

ag

em

en

t

Device Management

Secure Mail

Productivity and Collaboration

Business Apps

Ac

ce

ss

Ga

tew

ay &

SS

O

Data Management

Citrix Mobile Gateway – dostop do aplikacij ne glede na naprave

■ Dostop do aplikacij ne glede na naprave

Vse aplikacije skozi enotni način dela in dostop

Mobile LifeCycle skozi oči S&T

ASSESME

NT- Kdo? Kaj?

Kako?

- Pregled okolja

- Aplikacije/ideje

?

- Sestava

predloga

Design

- Varnostne zahteve

- LAN/WIFI

BYOD

Mobile Device Management

- Device Management

- Application Management

- Content Management

- Email Management

Application Transformation

And Delivery

Vprašanja?