Über den Autor
Dom Hume ist Vizepräsident für technische Produkte und Dienstleistungen bei Becrypt.
Da Unternehmen weiterhin Innovationen entwickeln, um durch den Einsatz immer ausgefeilterer und allgegenwärtiger mobiler Technologien Einsparungen zu erzielen, sind viele ständig mit den Risiken konfrontiert, die mit der Führung von Unternehmen verbunden sind. 39, eine ständig wachsende Terminalflotte. Um die Komplexität mehrerer mobiler Hardware- und Softwareplattformen erfolgreich zu bewältigen, besteht Bedarf an einer bequemen, sicheren und kostengünstigen Möglichkeit zur Verwaltung, Überwachung und Nachverfolgung von Geräten.
Der beste Weg, dies zu erreichen, ist die Implementierung einer End-to-End-Strategie für die Verwaltung mobiler Geräte, die manchmal die Berücksichtigung des gesamten Hardware- und Software-Stacks umfassen kann, um eine effiziente Zeitnutzung zu gewährleisten. und die Ressourcen, die zum Sichern und Überwachen kritischer Geschäftsdaten mobiler Geräte erforderlich sind.
Ich habe vier Themen skizziert, die unserer Meinung nach für Unternehmen bei der Umsetzung einer robusten MDM-Strategie wichtig sind. Viele davon basieren auf der Arbeit, die wir mit der britischen Regierung geleistet haben. Vereinigt.
Wählen Sie einen Gerätehersteller, der sich auf Sicherheitspatches spezialisiert hat
Es ist wichtig zu berücksichtigen, dass Android und iOS grundlegend unterschiedliche Herangehensweisen an das Telefon-Ökosystem haben. Apple verfügt über ein geschlossenes Ökosystem, während Android eine offene Plattform ist und Telefonhersteller mithilfe von Android ihre eigenen Geräte erstellen können. Google veröffentlicht Updates und Patches für seine Pixel-Telefone und veröffentlicht gleichzeitig Patches für die gesamte Android-Community.
Zwangsläufig dauert es für einzelne Hersteller einige Zeit, den Patch auf ihren Telefonen zu integrieren, zu testen und zu veröffentlichen. Dies kann dazu führen, dass bekannte öffentliche Schwachstellen über einen Zeitraum hinweg ausgenutzt werden können, der von der Reaktionsfähigkeit des Anbieters abhängt. Diese Situation spiegelt sich nicht direkt im Apple-Ökosystem wider.
Es ist auch wichtig, die Lebensdauer der Patches zu untersuchen, zu denen sich ein Anbieter verpflichtet hat, da diese häufig mit der Reaktionsfähigkeit der Patches zusammenhängt. Organisationen mit langfristigen Projekten möchten möglicherweise auf spezialisierte Hersteller wie Bittium zurückgreifen, die sich für die Verlängerung des Lebenszyklus der Geräte einsetzen.
Planen Sie die Verwaltung des Lebenszyklus Ihrer Anwendungen.
Aus Sicht der Anwendungsbereitstellungsplattform erfüllen der Apple App Store und der Google Play Store die gleichen Funktionen. Obwohl es einige Unterschiede im Ansatz gibt, bevorzugen die beiden Programme nicht mehr seitlich geladene Apps für Benutzer.
Seit seiner Gründung hat der Apple App Store einen Qualitäts- und Compliance-Gateway-Prozess etabliert, den Apps durchlaufen müssen, bevor sie im Store erscheinen können. App-Entwickler können weiterhin ihre eigenen Apps signieren und über einige MDMs, die private App-Stores anbieten, auf Geräte übertragen. Wenn jedoch das Zertifikat eines App-Entwicklers widerrufen wird, funktionieren die Apps nicht mehr.
Eine sicherere Methode besteht darin, den Entwickler zu bitten, die App an den echten App Store zu senden, wo Apps überprüft werden, um sicherzustellen, dass sie funktionieren und die Funktionalität und Sicherheit des Geräts nicht beeinträchtigen. Für Unternehmen hat Apple das Volume Purchase Program (VPP) for Business entwickelt. Dies ermöglicht es Organisationen, Anfragen nur für sich selbst oder für bestimmte Kunden einzureichen.
Es ist wichtig zu beachten, dass Anwendungen nicht immer von den Servern von Apple bereitgestellt werden. Tatsächlich werden sie oft von einem Content Delivery Network-Broker bereitgestellt. Alle iOS-Geräte verfügen über eine integrierte App Store-Funktion. Dies kann über einen MDM-Server deaktiviert werden. Organisationen können auch Proxy-Apps und Updates vom MDM-Server pushen.
Google hat außerdem einen App-Validierungsprozess implementiert, der einem Überprüfungsprozess unterliegt, der etwas langsam sein kann. Obwohl es keinen Play Store nur für Unternehmen gibt, bietet Google ein „privates“ App-Konzept an, das es Nutzern ermöglicht, zwischen geschäftlichen Apps und privaten Apps zu unterscheiden. MDM-Administratoren können Geschäftsanwendungen von einem verwalteten Telefon entfernen. Wie bei „Bring Your Own Device“ legt die Organisation die Regeln fest und sperrt das Gerät, während sie dem Benutzer die Freiheit gibt, es für den persönlichen Gebrauch anzupassen. Für den Nutzer ist zwar ein gewisses Maß an Vertraulichkeit gewährleistet, es handelt sich jedoch nicht um ein Sicherheitselement an sich.
Erwägen Sie eine „Split-Proxy“-Architektur für Umgebungen mit hohem Risiko
Organisationen, die als hochwertige Ziele gelten und Opfer raffinierter Cyberangriffe sind, machen sich zunehmend Sorgen über die Folgen einer MDM-Server-Kompromittierung. Hacker, die in den MDM-Server eindringen, können ein Gerät, das eine ernsthafte Bedrohung für die Unternehmenssicherheit darstellt, leicht lokalisieren und entsperren. Kompromittierte Server können auch für weitere Seitwärtsbewegungen oder als idealer Ausgangspunkt für Daten genutzt werden.
Datensicherheitsprobleme im Zusammenhang mit der Verwaltung mobiler Geräte sind auf Funktionen zurückzuführen, die das Smartphone-Ökosystem auferlegt. Diese Bedenken gelten unabhängig davon, ob das MDM einer Organisation vor Ort ist oder als Cloud-Dienst genutzt wird. MDM-Server verfügen über komplexe Kommunikationsprotokolle, die mit mehreren Internetdiensten interagieren, beispielsweise Push-Benachrichtigungssystemen und Online-App-Stores. In der Regel sind diese Kommunikationskanäle authentifiziert und Ende-zu-Ende-verschlüsselt, sodass sie nicht auf Bedrohungen überprüft werden können.
Daher kann eine Organisation oder ihr Dienstanbieter ihre Firewall-Ports für einen MDM-Server öffnen, der in ihrem vertrauenswürdigsten Netzwerksegment gehostet wird, oder den MDM-Server in einem weniger vertrauenswürdigen Segment, einer Art „demilitarisierten Zone“, hosten. Letztendlich kommt dies einer Gefährdung eines sicheren Netzwerks oder der Aufgabe des MDM-Servers gleich.
Eine Möglichkeit, die Risiken einer solchen Kompromittierung zu begrenzen, besteht darin, eine Lösung zu wählen, die eine „Shared-Proxy“-Architektur verwendet. Mithilfe einer Reihe von Proxy-Servern, die sich in einer demilitarisierten Zone befinden, reagieren sie auf den Bereich der verschlüsselten Kommunikation mit dem Smartphone-Ökosystem, der für einen MDM-Server obligatorisch ist. Der MDM-Verkehr kann von Proxyservern überprüft werden und unterliegt einer Webanwendungs-Firewall, um nach Anomalien zu suchen.
Der MDM-Server kann im sicheren Netzwerk gehostet werden, mit sicherer Kommunikation und ordnungsgemäß mit Proxyservern verwaltet werden. Eine solche Lösung kann ein deutlich verbessertes Schutzniveau bieten und bleibt gleichzeitig für den Endbenutzer völlig transparent.
Berücksichtigen Sie vor der Umsetzung die Geschäftsziele
Letztendlich müssen Unternehmen, die den Schutz von Daten und Mitarbeitern als Teil ihrer MDM-Strategie priorisieren, beurteilen, was sie von ihren mobilen Geräten benötigen und wie sie diese nutzen wollen. Eine multifunktionale Workstation, die Zugriff auf mehrere Back-End-Systeme, einschließlich sensibler Kundendaten, erfordert, erfordert neben starken Risikoanalysefunktionen mit ziemlicher Sicherheit einen erheblichen Budgetaufwand.
Andererseits kann ein kleines Business-Continuity-Projekt, das die Mitarbeiter unter bestimmten Umständen über Aktionen außerhalb der Geschäftszeiten informiert, ohne MDM-Implementierung durchgeführt werden.
Unabhängig davon, ob ein Unternehmen in einer Umgebung mit hoher oder geringer Bedrohung tätig ist, muss es eine MDM-Lösung auswählen, die robust genug ist, um seine Daten vor immer ausgefeilteren und finanzkräftigeren Bedrohungen zu schützen, die das Unternehmen infiltrieren wollen. 39; mobiles Ökosystem, das Geschäftsdaten gefährdet.
Dom Hume ist Vizepräsident für technische Produkte und Dienstleistungen bei Becrypt.