Chi l'Autore
Dom Hume è vicepresidente dei prodotti e dei servizi tecnici presso Becrypt.
Mentre le aziende continuano a innovare per risparmiare attraverso l'uso di tecnologie mobili sempre più sofisticate e onnipresenti, molte di loro affrontano continuamente i rischi associati alla gestione del business. 39, una flotta di terminali in costante crescita. Per gestire con successo la complessità di più piattaforme hardware e software mobili, è necessario un modo conveniente, sicuro ed economico per gestire, monitorare e tracciare i dispositivi.
Il modo migliore per farlo è implementare una strategia di gestione dei dispositivi mobili end-to-end, che a volte può comportare la presa in considerazione di tutto lo stack hardware e software, per garantire un uso efficiente del tempo. e le risorse necessarie per proteggere e monitorare i dispositivi mobili business-critical.
Ho riassunto quattro argomenti che consideriamo importanti per le organizzazioni nell'implementazione di una solida strategia MDM, la maggior parte della quale si basa sul lavoro che abbiamo svolto con il governo del Regno Unito. Unito.
Scegli un produttore del dispositivo dedicato alle patch di sicurezza
È importante notare il fatto che Android e iOS hanno approcci fondamentalmente diversi all'ecosistema del telefono. Apple ha un ecosistema chiuso, mentre Android è una piattaforma aperta e i produttori di telefoni possono creare i propri dispositivi con l'aiuto di Android. Google rilascia aggiornamenti e patch per i suoi telefoni Pixel, mentre rilascia patch per l'intera comunità Android.
Inevitabilmente, i singoli produttori impiegano tempo per integrare, testare e rilasciare la patch sui loro telefoni. Di conseguenza, ciò può portare a un periodo di tempo in cui le vulnerabilità pubbliche note possono essere sfruttate per un periodo che dipende dalla reattività del produttore. Questa situazione non si riflette direttamente nell'ecosistema Apple.
È anche importante ricercare la durata di conservazione dei cerotti a cui un produttore si è impegnato, poiché questo spesso è correlato alla reattività dei cerotti. Le organizzazioni con progetti a lungo termine potrebbero voler fare affidamento su produttori specializzati, come Bittium, che si impegneranno ad estendere il ciclo di vita dei dispositivi.
Pianifica la gestione del ciclo di vita delle tue applicazioni.
Dal punto di vista della piattaforma di provisioning delle app, l'Apple App Store e il Google Play Store svolgono le stesse funzioni. Sebbene ci siano alcune differenze nell'approccio, i due programmi non favoriscono più le applicazioni a caricamento laterale per gli utenti.
Fin dal suo inizio, l'app store di Apple ha stabilito un processo di gateway di qualità e conformità attraverso il quale le app devono passare prima di poter apparire nello store. Gli sviluppatori di app possono ancora firmare le proprie app e inviarle ai dispositivi, tramite alcuni MDM che offrono app store privati. Tuttavia, se il certificato di uno sviluppatore di app viene revocato, le app non funzioneranno più.
Un metodo più sicuro è chiedere al tuo sviluppatore di inviare l'applicazione all'effettivo App Store, dove le applicazioni vengono controllate per assicurarsi che funzionino e non influenzino la funzionalità e la sicurezza del dispositivo. Per le aziende, Apple ha creato il Business Volume Purchase Program (VPP). Ciò consente alle organizzazioni di inviare richieste solo a se stesse o a clienti specifici.
È importante notare che le applicazioni non vengono sempre fornite dai server Apple. In effetti, sono spesso forniti da un broker di Content Delivery Network. Tutti i dispositivi iOS hanno la funzione App Store integrata; Questo può essere disabilitato da un server MDM. Le organizzazioni possono anche inviare applicazioni proxy e aggiornamenti dal server MDM.
Google ha anche implementato un processo di convalida delle app, soggetto a un processo di revisione che può richiedere un po 'di tempo. Sebbene non esista un Play Store solo per le aziende, Google offre un concetto di applicazione "privata" che consente agli utenti di distinguere tra applicazioni aziendali e applicazioni personali. Gli amministratori MDM possono rimuovere le applicazioni aziendali da un telefono gestito. Come "Bring your own device", l'organizzazione imposta le regole e blocca il dispositivo, dando all'utente la libertà di personalizzarlo per uso personale. L'utente ritiene che sia garantito un certo grado di riservatezza, ma non è un elemento di sicurezza in sé.
Considerare un'architettura "split proxy" per ambienti ad alto rischio
Le organizzazioni viste come obiettivi di alto valore e soggette a sofisticati attacchi informatici sono sempre più preoccupate per le conseguenze di una compromissione del server MDM. Gli hacker che violano il server MDM possono facilmente individuare e sbloccare un dispositivo che rappresenta una seria minaccia per la sicurezza aziendale. I server compromessi possono essere utilizzati anche per successivi spostamenti laterali o come punto di uscita ideale per i dati.
I problemi di sicurezza dei dati associati alla gestione dei dispositivi mobili sono il risultato delle caratteristiche imposte dall'ecosistema degli smartphone. Queste preoccupazioni si applicano se l'MDM di un'organizzazione è locale o utilizzato come servizio cloud. I server MDM dispongono di protocolli di comunicazione complessi che interagiscono con più servizi Internet, come i sistemi di notifica push e gli store di applicazioni online. Questi canali di comunicazione sono in genere autenticati e crittografati end-to-end, impedendo loro di essere ispezionati per le minacce.
Pertanto, un'organizzazione o il suo fornitore di servizi può aprire le porte del firewall a un server MDM ospitato sul suo segmento di rete più affidabile o ospitare il server MDM su un segmento meno affidabile, una sorta di "zona demilitarizzata". Alla fine, ciò equivale a compromettere una rete sicura o sacrificare il server MDM.
Un modo per limitare i rischi di un tale compromesso è scegliere una soluzione utilizzando un'architettura "proxy condiviso". Utilizzando una serie di server proxy che risiedono in una zona demilitarizzata, rispondono alla gamma di comunicazioni crittografate con l'ecosistema degli smartphone, che è obbligatoria per un server MDM. Il traffico MDM può essere ispezionato dai server proxy ed è soggetto a un firewall per applicazioni Web per rilevare eventuali anomalie.
Il server MDM può essere ospitato sulla rete protetta, con comunicazioni protette e gestito correttamente con i server proxy. Questo tipo di soluzione può offrire un livello di difesa notevolmente migliorato, pur rimanendo completamente trasparente per l'utente finale.
Considera gli obiettivi aziendali prima dell'implementazione
In definitiva, le organizzazioni che danno la priorità alla protezione dei dati e dei dipendenti come parte della loro strategia MDM devono valutare ciò di cui hanno bisogno dai loro dispositivi mobili e come intendono essere utilizzati. Una workstation multifunzionale che richiede l'accesso a più sistemi di back-end, inclusi i dati sensibili dei clienti, richiederà quasi certamente un esborso di budget significativo, oltre a potenti capacità di analisi dei rischi.
D'altra parte, un piccolo progetto di continuità aziendale, che mantiene i dipendenti informati sulle azioni al di fuori dell'orario di ufficio in determinate circostanze, può essere realizzato senza alcuna implementazione MDM.
Indipendentemente dal fatto che un'azienda operi in un ambiente ad alto o basso rischio, è necessario selezionare una soluzione MDM sufficientemente robusta da proteggere i dati da minacce sempre più sofisticate e ben finanziate che cercano di infiltrarsi nell'azienda. 39, l'ecosistema mobile compromette i dati aziendali.
Dom Hume è vicepresidente dei prodotti e dei servizi tecnici presso Becrypt.