Två sessioner jag deltog i på WWDC förra veckan, Managed Device Certification och Secure Endpoint-sessionerna, understryker företagets engagemang för att tillhandahålla större möjligheter för säkerhetsverktyg. Även om båda naturligtvis var mer inriktade på utvecklare av enhetshantering och säkerhetslösningar än slutanvändare eller IT-administratörer, är några av de ytterligare funktioner som utvecklare kommer att kunna integrera i affärsverktyg värda att notera.
Managed Device Attestation
Låt oss börja med attestering av hanterade enheter, en ny funktion som hjälper till att säkerställa att servrar och tjänster (lokala eller i molnet) bara svarar på legitima förfrågningar om att få tillgång till resurser.
Både användningen av molntjänster och utbyggnaden av mobila enheter har vuxit tillsammans (och exponentiellt) under de senaste 10 åren, vilket dramatiskt förändrat tillståndet för företagssäkerhet. För ett decennium sedan var stark säkerhet vid nätverkets omkrets, i kombination med ett VPN och liknande säkra fjärråtkomstverktyg, det primära sättet att skydda ett nätverk och ett helt företag.
Men säkerheten idag är mycket mer komplex. Många resurser finns helt utanför företagets nätverk, vilket innebär att förtroendebedömning måste utföras över ett brett utbud av lokala, fjärr- och molntjänster. Detta sträcker sig vanligtvis över flera leverantörer, och var och en måste kunna fastställa att användarna och enheterna som ansluter till dem är legitima; som går långt utöver enkel autentisering och auktorisering.
Idag förlitar sig tjänster på användaridentitet, enhetsidentitet, plats, anslutning, datum och tid och enhetshanteringsstatus för att avgöra om åtkomstförfrågningar är giltiga. Tjänster kan använda något eller alla av dessa kriterier, och de flesta, inklusive MDM-lösningar, kan använda dessa kriterier när de beviljar eller nekar åtkomst.
Beroende på informationens känslighet kan enkel användarautentisering vara tillräcklig för en given säkerhetsställning, eller så kan det vara klokt att förlita sig på alla dessa kriterier innan du beviljar åtkomst, särskilt för känsliga eller administrativa system.
Enhetsidentitet är ett av de mest kraftfulla kriterierna. Det säkerställer att alla enheter som har åtkomst till din organisations system och resurser (inklusive MDM-tjänster) är känd och pålitlig. För närvarande inkluderar Apples enhetsidentitet följande information: enhetens unika identifierare i Apples MDM-protokoll, information som returneras av MDM-enhetsinformationsfrågan (som inkluderar objekt som serienummer, IMEI-nummer, etc. .) och säkerhetscertifikaten som har skickats utfärdad. till enheten.
I iOS/iPadOS/tvOS 16 integrerar Apple ytterligare funktionalitet för att fastställa enhetsidentitet: Device Certification. I grund och botten är det ett sätt att fastställa äktheten av en enhet med hjälp av känd information om den som Apple kan verifiera med hjälp av företagets attestationsservrar. Informationen som Apple använder för att göra detta inkluderar information om Secure Enclave på enheten, tillverkningsregister och operativsystemkatalogen.
Intyget avser själva enheten, inte operativsystemet eller applikationerna som är installerade på den. Detta är viktigt eftersom det betyder att en enhet kan äventyras, men Apple skulle fortfarande intyga att det är den enhet den utger sig för att vara. Så länge den säkra enklaven är intakt kommer certifieringen att fortsätta. (MDM-tjänster kan dock verifiera operativsystemets integritet.)
Certifikatet kan användas på två sätt. Det första är att verifiera identiteten för en enhet så att en MDM-tjänst vet att enheten är vad den utger sig för att vara. Den andra är för säker åtkomst till resurser i din miljö. Implementering av den senare användningen av attestation kräver implementering av en ACME-server eller -tjänst (Automatic Certificate Management Environment) i din organisation. Detta ger det starkaste beviset på enhetsidentitet och konfigurerar klientcertifikat som liknar SCEP (Simple Certificate Enrollment Protocol).
När ACME-servern tar emot ett intyg utfärdar den ett certifikat som tillåter åtkomst till resurser. Intygssäkra certifikat garanterar att enheten är äkta Apple-hårdvara och inkluderar enhetsidentitet, enhetsegenskaper och maskinvarurelaterade identitetsnycklar (relaterade till enhetens säkra enklav).
Apple noterar att det finns flera anledningar till varför attestation kan misslyckas, och att vissa fel, som nätverksproblem eller problem med företagets attestationsservrar, inte indikerar ett skadligt problem. Tre typer av fel indikerar dock ett potentiellt problem som måste åtgärdas eller utredas. Dessa inkluderar modifierad enhetshårdvara, modifierad eller okänd programvara eller situationer där enheten inte är en äkta Apple-enhet.
Enhetsbekräftelse ger oöverträffad enhetsidentitetsverifiering. Även om du inte är intresserad av att implementera ACME-tjänster i din miljö är det ett enkelt och självklart val att möjliggöra attestering för din MDM-lösning. Men exakt hur det fungerar beror på hur olika MDM-leverantörer implementerar funktionen. Vissa leverantörer kan också integrera ACME-tjänster i sina MDM-erbjudanden, vilket gör att du kan dra full nytta av denna nya funktionalitet.
säker slutpunkt
Den andra sessionen av WWDC handlade om Secure Endpoint. Introducerade nya funktioner för Apples Secure Endpoint API och riktade utvecklare av olika typer av Mac-säkerhetsverktyg Apple tillåter utvecklare att implementera nya typer av händelser, inklusive autentisering, inloggning/utloggning och XProtect-händelser/Gatekeeper.
- autentisering Händelser som Secure Endpoint API nu kan komma åt inkluderar lösenordsautentisering, Touch ID, utfärdande av kryptografiska token och automatisk upplåsning med en Apple Watch. Utvecklare kan använda dem för att hitta mönster av misstänkta inloggningsförsök (framgångsrika eller misslyckade) och hantera dem på en mängd olika sätt, från enkla varningar till andra åtgärder.
- Utvecklare kommer nu att kunna använda Secure Endpoint API för att granska Logga in logga ut av olika typer, inklusive från inloggningsfönstret (direktanslutning till Mac med hjälp av tangentbordet), skärmdelningsanslutning, SSH-anslutning och kommandoradsanslutning. Återigen, värdet här är möjligheten att hitta och rapportera misstänkt aktivitet eller inloggningsförsök.
- XProtect/Guardian Det kommer att göra det möjligt för utvecklare att använda Secure Endpoint API för att komma åt information när skadlig programvara upptäcks, såväl som när den har korrigerats, antingen automatiskt eller via IT-personal.
Några av dessa funktioner var tidigare tillgängliga för utvecklare som använde OpenBSM-revisionsspåret, som föråldrades från och med macOS Big Sur. Även om den fortfarande är tillgänglig kommer den att tas bort i en framtida version av macOS.
Även om båda sessionerna var riktade till utvecklare snarare än IT-personal i frontlinjen, lyfter de fram den nya teknik som Apple erbjuder till företag och säkerhetsleverantörer. Och de understryker Apples förståelse för det föränderliga landskapet för företagssäkerhet och dess engagemang för att ge företag de verktyg de behöver för att stärka säkerheten.
Copyright © 2022 IDG Communications, Inc.