Due sessioni a cui ho partecipato al WWDC la scorsa settimana, le sessioni Managed Device Certification e Secure Endpoint, sottolineano l'impegno dell'azienda nel fornire maggiori capacità per gli strumenti di sicurezza. Sebbene entrambi fossero naturalmente più rivolti agli sviluppatori di soluzioni per la gestione e la sicurezza dei dispositivi rispetto agli utenti finali o agli amministratori IT, vale la pena notare alcune delle funzionalità aggiuntive che gli sviluppatori saranno in grado di integrare negli strumenti aziendali.

Attestazione del dispositivo gestito

Iniziamo con l'attestazione dei dispositivi gestiti, una nuova funzionalità che aiuta a garantire che server e servizi (on-premise o nel cloud) rispondano solo a richieste legittime di accesso alle risorse.

Sia l'uso dei servizi cloud che l'implementazione di dispositivi mobili sono cresciuti insieme (ed in modo esponenziale) negli ultimi 10 anni, cambiando radicalmente lo stato della sicurezza aziendale. Dieci anni fa, disporre di una solida sicurezza perimetrale della rete, combinata con una VPN e strumenti di accesso remoto sicuri simili, era il mezzo principale per proteggere una rete e un'intera azienda.

Tuttavia, la sicurezza oggi è molto più complessa. Molte risorse risiedono interamente al di fuori della rete aziendale, il che significa che la valutazione dell'affidabilità deve essere eseguita su un'ampia gamma di servizi locali, remoti e cloud. Questo in genere si estende su più provider e ciascuno deve essere in grado di stabilire che gli utenti e i dispositivi che si connettono ad essi sono legittimi; che va ben oltre la semplice autenticazione e autorizzazione.

Oggi, i servizi si basano sull'identità dell'utente, sull'identità del dispositivo, sulla posizione, sulla connettività, sulla data e sull'ora e sullo stato di gestione del dispositivo per determinare se le richieste di accesso sono valide. I servizi possono utilizzare uno o tutti questi criteri e la maggior parte, comprese le soluzioni MDM, possono utilizzare questi criteri quando si concede o si nega l'accesso.

A seconda della sensibilità dei dati, la semplice autenticazione dell'utente può essere sufficiente per una determinata posizione di sicurezza, oppure può essere prudente fare affidamento su tutti questi criteri prima di concedere l'accesso, soprattutto per i sistemi sensibili o amministrativi.

L'identità del dispositivo è uno dei criteri più potenti. Garantisce che qualsiasi dispositivo che accede ai sistemi e alle risorse dell'organizzazione (inclusi i servizi MDM) sia noto e affidabile. Attualmente, l'identità del dispositivo Apple include le seguenti informazioni: l'identificatore univoco del dispositivo nel protocollo MDM di Apple, le informazioni restituite dalla query delle informazioni sul dispositivo MDM (che include elementi come numero di serie, numero IMEI, ecc.) e i certificati di sicurezza che sono stati rilasciato. al dispositivo.

In iOS/iPadOS/tvOS 16, Apple sta integrando funzionalità aggiuntive per stabilire l'identità del dispositivo: la certificazione del dispositivo. Fondamentalmente, è un modo per stabilire l'autenticità di un dispositivo utilizzando informazioni note su di esso che Apple può verificare utilizzando i server di attestazione dell'azienda. Le informazioni utilizzate da Apple a tale scopo includono i dettagli su Secure Enclave sul dispositivo, i record di produzione e il catalogo del sistema operativo.

L'attestazione si riferisce al dispositivo stesso, non al sistema operativo o alle applicazioni installate su di esso. Questo è importante perché significa che un dispositivo può essere compromesso, ma Apple attesterebbe comunque che è il dispositivo che afferma di essere. Finché l'enclave sicura è intatta, la certificazione continuerà. (I servizi MDM, tuttavia, possono verificare l'integrità del sistema operativo.)

Il certificato può essere utilizzato in due modi. Il primo consiste nel verificare l'identità di un dispositivo in modo che un servizio MDM sappia che il dispositivo è ciò che afferma di essere. Il secondo è per l'accesso sicuro alle risorse nel tuo ambiente. L'implementazione di quest'ultimo utilizzo dell'attestazione richiede l'implementazione di un server o servizio ACME (Automatic Certificate Management Environment) nell'organizzazione. Ciò fornisce la prova più efficace dell'identità del dispositivo e configura i certificati client simili a SCEP (Simple Certificate Enrollment Protocol).

Quando il server ACME riceve un'attestazione, emette un certificato che consente l'accesso alle risorse. I certificati a prova di attestazione garantiscono che il dispositivo è hardware Apple originale e includono l'identità del dispositivo, le proprietà del dispositivo e le chiavi di identità relative all'hardware (relative all'enclave sicura del dispositivo).

Apple osserva che esistono diversi motivi per cui l'attestazione può non riuscire e che alcuni errori, come problemi di rete o problemi con i server di attestazione dell'azienda, non indicano un problema dannoso. Tuttavia, tre tipi di guasti indicano un potenziale problema che deve essere risolto o indagato. Questi includono hardware del dispositivo modificato, software modificato o non riconosciuto o situazioni in cui il dispositivo non è un dispositivo Apple originale.

L'attestazione del dispositivo fornisce una verifica dell'identità del dispositivo senza precedenti. Anche se non sei interessato a implementare i servizi ACME nel tuo ambiente, abilitare l'attestazione per la tua soluzione MDM è una scelta semplice e ovvia. Tuttavia, il modo esatto in cui funziona dipenderà dal modo in cui i diversi fornitori di MDM implementano la funzionalità. Alcuni provider possono anche integrare i servizi ACME nelle loro offerte MDM, consentendoti di sfruttare appieno questa nuova funzionalità.

punto terminale sicuro

La seconda sessione del WWDC riguardava Secure Endpoint. Introdotte nuove funzionalità per l'API Secure Endpoint di Apple e sviluppatori mirati di vari tipi di strumenti di sicurezza per Mac. Apple consente agli sviluppatori di implementare nuovi tipi di eventi, inclusi autenticazione, login/logout ed eventi XProtect/Gatekeeper.

  • Autenticazione Gli eventi a cui l'API Secure Endpoint può ora accedere includono l'autenticazione della password, il Touch ID, l'emissione di token crittografici e lo sblocco automatico con un Apple Watch. Gli sviluppatori possono utilizzarli per trovare modelli di tentativi di accesso sospetti (riusciti o non riusciti) e gestirli in vari modi, da semplici avvisi ad altre azioni.
  • Gli sviluppatori potranno ora utilizzare l'API Secure Endpoint per la revisione login/logout di diverso tipo, anche da finestra di login (connessione diretta al Mac tramite tastiera), connessione di condivisione dello schermo, connessione SSH e connessione a riga di comando. Anche in questo caso, il valore qui è la capacità di trovare e segnalare attività sospette o tentativi di accesso.
  • XProtect/Guardiano Consentirà agli sviluppatori di utilizzare l'API Secure Endpoint per accedere alle informazioni quando viene rilevato un malware, nonché quando è stato patchato, automaticamente o tramite il personale IT.

Alcune di queste funzionalità erano precedentemente disponibili per gli sviluppatori che utilizzavano l'audit trail di OpenBSM, che era stato deprecato a partire da macOS Big Sur. Sebbene sia ancora disponibile, verrà rimosso in una versione futura di macOS.

Sebbene entrambe le sessioni fossero rivolte agli sviluppatori piuttosto che al personale IT in prima linea, mettono in evidenza le nuove tecnologie che Apple offre alle aziende e ai fornitori di sicurezza. E sottolineano la comprensione da parte di Apple del panorama mutevole della sicurezza aziendale e il suo impegno nel fornire alle aziende gli strumenti di cui hanno bisogno per rafforzare la sicurezza.

Copyright © 2022 IDG Communications, Inc.

Condividi questo