Об авторе
Дом Хьюм — вице-президент по техническим продуктам и услугам Becrypt.
Поскольку компании продолжают внедрять инновации, чтобы добиться экономии за счет использования все более сложных и повсеместных мобильных технологий, многие из них постоянно сталкиваются с рисками, связанными с управлением бизнесом. 39, парк терминалов постоянно растет. Для успешного управления сложными мобильными аппаратными и программными платформами необходим удобный, безопасный и экономичный способ управления, мониторинга и отслеживания устройств.
Лучший способ сделать это — реализовать комплексную стратегию управления мобильными устройствами, которая иногда может включать в себя учет всего стека аппаратного и программного обеспечения, чтобы обеспечить эффективное использование времени. а также ресурсы, необходимые для защиты и мониторинга критически важных мобильных данных для бизнеса.
Я обозначил четыре темы, которые мы считаем важными для организаций при реализации надежной стратегии MDM, большая часть которых основана на работе, которую мы проделали с правительством Великобритании. Юнайтед.
Выберите производителя устройства, предназначенного для исправлений безопасности.
Важно учитывать тот факт, что Android и iOS имеют принципиально разные подходы к экосистеме телефона. У Apple закрытая экосистема, а Android — открытая платформа, и производители телефонов могут создавать свои собственные устройства с помощью Android. Google выпускает обновления и исправления для своих телефонов Pixel, а также выпускает исправления для сообщества Android в целом.
Разумеется, отдельным производителям потребуется время, чтобы интегрировать, протестировать и выпустить патч для своих телефонов. В результате это может привести к тому, что известные общедоступные уязвимости могут быть использованы в течение периода, зависящего от реакции производителя. Эта ситуация не отражается напрямую на экосистеме Apple.
Также важно изучить срок действия исправлений, установленный производителем, поскольку это часто коррелирует с быстротой реагирования исправлений. Организации с долгосрочными проектами могут захотеть положиться на специализированных производителей, таких как Bittium, которые возьмут на себя обязательство продлить жизненный цикл устройств.
Планируйте управление жизненным циклом ваших приложений.
С точки зрения платформы предоставления приложений Apple App Store и Google Play Store выполняют одни и те же функции. Несмотря на некоторые различия в подходах, эти две программы больше не отдают предпочтение пользователям с неопубликованной загрузкой приложений.
С момента своего создания в Apple App Store был установлен шлюз качества и соответствия, через который должны пройти приложения, прежде чем они смогут появиться в магазине. Разработчики приложений по-прежнему могут подписывать свои собственные приложения и отправлять их на устройства через некоторые MDM, предлагающие частные магазины приложений. Однако если сертификат разработчика приложения отозван, приложения перестанут работать.
Более безопасный метод — попросить вашего разработчика отправить приложение в реальный App Store, где приложения проверяются, чтобы убедиться, что они работают и не влияют на функциональность и безопасность устройства. Для предприятий Apple создала Программу корпоративных закупок (VPP). Это позволяет организациям отправлять запросы только для себя или для конкретных клиентов.
Важно отметить, что приложения не всегда доставляются с серверов Apple. Фактически, они часто предоставляются посредником сети доставки контента. Все устройства iOS имеют встроенную функцию App Store; Это можно отключить на сервере MDM. Организации также могут проксировать приложения и обновления с сервера MDM.
Google также внедрил процесс проверки приложений, при условии, что процесс проверки может быть немного медленным. Хотя не существует Play Store только для бизнеса, Google предлагает концепцию «частных» приложений, которая позволяет пользователям различать бизнес-приложения и личные приложения. Администраторы MDM могут удалять бизнес-приложения с управляемого телефона. Как и в случае с «Принеси свое собственное устройство», организация устанавливает правила и блокирует устройство, предоставляя пользователю некоторую свободу настраивать его для личного использования. Пользователь чувствует, что определенная степень конфиденциальности гарантирована, но сама по себе она не является элементом безопасности.
Рассмотрите архитектуру «разделенного прокси» для сред с высоким уровнем риска.
Организации, считающиеся особо важными целями и подвергающиеся изощренным кибератакам, все больше обеспокоены последствиями компрометации сервера MDM. Хакеры, взломавшие сервер MDM, могут легко обнаружить и разблокировать устройство, представляющее серьезную угрозу безопасности компании. Скомпрометированные серверы также могут использоваться для последующих перемещений из стороны в сторону или в качестве идеальной точки выхода данных.
Проблемы безопасности данных, связанные с управлением мобильными устройствами, являются результатом особенностей экосистемы смартфонов. Эти проблемы актуальны независимо от того, является ли MDM организации локальным или используется в качестве облачной службы. Серверы MDM имеют сложные протоколы связи, которые взаимодействуют с множеством интернет-сервисов, таких как системы push-уведомлений и интернет-магазины приложений. Эти каналы связи обычно проходят проверку подлинности и сквозное шифрование, что предотвращает их проверку на наличие угроз.
Таким образом, организация или ее поставщик услуг может открыть порты своего брандмауэра для сервера MDM, размещенного в ее наиболее надежном сегменте сети, или разместить сервер MDM в менее надежном сегменте, что является своего рода «демилитаризованной зоной». В конечном итоге это равносильно компрометации защищенной сети или принесению в жертву сервера MDM.
Один из способов ограничить риски такого компромисса — выбрать решение, использующее архитектуру типа «общий прокси». Используя серию прокси-серверов, находящихся в демилитаризованной зоне, они отвечают на диапазон зашифрованных коммуникаций с экосистемой смартфонов, что является обязательным для MDM-сервера. Трафик MDM может проверяться прокси-серверами, а брандмауэр веб-приложений проверяет его на наличие аномалий.
Сервер MDM может размещаться в защищенной сети с защищенной связью и должным образом управляться с помощью прокси-серверов. Решения такого типа могут обеспечить значительно улучшенный уровень защиты, оставаясь при этом полностью прозрачными для конечного пользователя.
Рассмотрите бизнес-цели перед внедрением
В конечном счете, организации, которые отдают приоритет защите данных и сотрудников в рамках своей стратегии MDM, должны оценить, что им нужно от своих мобильных устройств и как они собираются использоваться. Многофункциональная рабочая станция, требующая доступа к множеству серверных систем, включая конфиденциальные данные клиентов, почти наверняка потребует значительных бюджетных затрат в дополнение к надежным возможностям анализа рисков.
С другой стороны, небольшой проект обеспечения непрерывности бизнеса, который при определенных обстоятельствах информирует сотрудников о действиях в нерабочее время, может быть реализован без какого-либо внедрения MDM.
Независимо от того, работает ли предприятие в среде с высоким или низким уровнем угроз, оно должно выбрать решение MDM, достаточно устойчивое для защиты своих данных от все более сложных и хорошо финансируемых угроз, стремящихся проникнуть на предприятие. 39, мобильная экосистема ставит под угрозу бизнес-данные.
Дом Хьюм — вице-президент по техническим продуктам и услугам Becrypt.