Sobre el autor
Dom Hume är vice vd för tekniska produkter och tjänster på Becrypt.
När företag fortsätter att förnya sig för att uppnå besparingar genom användning av allt mer sofistikerad och allmänt förekommande mobilteknik, står många ständigt inför de risker som är förknippade med att driva företag. 39, en ständigt växande flotta av terminaler. För att framgångsrikt hantera komplexiteten hos flera mobila hårdvaru- och mjukvaruplattformar finns det ett behov av ett bekvämt, säkert och kostnadseffektivt sätt att hantera, övervaka och spåra enheter.
Det bästa sättet att göra detta är att implementera en end-to-end-strategi för hantering av mobila enheter, som ibland kan innebära att man överväger hela hård- och mjukvarustacken, för att säkerställa effektiv användning av tiden. och de resurser som behövs för att säkra och övervaka viktiga affärsdata mobila enheter.
Jag har beskrivit fyra teman som vi anser är viktiga för organisationer att implementera en robust MDM-strategi, varav mycket är baserat på det arbete vi har gjort med den brittiska regeringen. Förenad.
Välj en enhetstillverkare som är dedikerad till säkerhetskorrigeringar
Det är viktigt att ta hänsyn till det faktum att Android och iOS har fundamentalt olika synsätt på telefonens ekosystem. Apple har ett slutet ekosystem medan Android är en öppen plattform och telefontillverkare kan skapa sina egna enheter med hjälp av Android. Google släpper uppdateringar och patchar för sina Pixel-telefoner, samtidigt som de släpper patchar för Android-gemenskapen som helhet.
Oundvikligen tar det tid för enskilda tillverkare att integrera, testa och släppa patchen till sina telefoner. Som ett resultat kan detta leda till en tidsperiod där kända offentliga sårbarheter kan utnyttjas under en period som beror på leverantörens lyhördhet. Denna situation återspeglas inte direkt i Apples ekosystem.
Det är också viktigt att undersöka livslängden för patcharna en leverantör har förbundit sig till, eftersom detta ofta korrelerar med patchrespons. Organisationer med långsiktiga projekt kanske vill förlita sig på specialiserade tillverkare, som Bittium, som kommer att åta sig att förlänga livscykeln för enheterna.
Planera hanteringen av livscykeln för dina applikationer.
Ur en plattformssynpunkt för applikationsadministration utför Apple App Store och Google Play Store samma funktioner. Även om det finns vissa skillnader i tillvägagångssätt, favoriserar de två programmen inte längre sidoladdade appar för användare.
Sedan starten har Apple App Store etablerat en kvalitets- och efterlevnadsgatewayprocess som appar måste passera innan de kan visas i butiken. Apputvecklare kan fortfarande signera sina egna appar och skicka dem till enheter, genom vissa MDM:er som erbjuder privata appbutiker. Men om en apputvecklares certifikat återkallas kommer apparna inte längre att fungera.
En säkrare metod är att be sin utvecklare att skicka in appen till den riktiga App Store, där appar kontrolleras för att se till att de fungerar och inte påverkar enhetens funktionalitet och säkerhet. För företag har Apple skapat Volume Purchase Program (VPP) för företag. Detta tillåter organisationer att skicka in förfrågningar endast för sig själva eller för specifika kunder.
Det är viktigt att notera att applikationer inte alltid levereras från Apples servrar. Faktum är att de ofta tillhandahålls av en Content Delivery Network-mäklare. Alla iOS-enheter har App Store-funktionen inbyggd; Detta kan inaktiveras från en MDM-server. Organisationer kan också pusha proxyappar och uppdateringar från MDM-servern.
Google har också implementerat en appvalideringsprocess, med förbehåll för en granskningsprocess som kan vara lite långsam. Även om det inte finns någon Play Butik bara för företag, erbjuder Google ett "privat" appkoncept som tillåter användare att skilja mellan företagsappar och personliga appar. MDM-administratörer kan ta bort företagsappar från en hanterad telefon. Precis som Bring Your Own Device anger organisationen reglerna och låser enheten, samtidigt som användaren får en viss frihet att anpassa den för personligt bruk. Användaren upplever att en viss grad av sekretess är garanterad, men det är inte ett säkerhetselement i sig.
Överväg en "split proxy"-arkitektur för högriskmiljöer
Organisationer som anses vara värdefulla mål och utsatta för sofistikerade cyberattacker är alltmer oroade över konsekvenserna av en MDM-serverkompromiss. Hackare som bryter mot MDM-servern kan enkelt hitta och låsa upp en enhet som utgör ett allvarligt hot mot företagets säkerhet. Även komprometterade servrar kan användas för ytterligare förflyttning från sida till sida eller som den idealiska utgångspunkten för data.
Datasäkerhetsproblem i samband med hantering av mobila enheter är ett resultat av funktioner som påtvingas av smarttelefonens ekosystem. Dessa farhågor gäller oavsett om en organisations MDM är lokalt eller används som en molntjänst. MDM-servrar har komplexa kommunikationsprotokoll som interagerar med flera internettjänster, såsom push-meddelandesystem och appbutiker online. Vanligtvis är dessa kommunikationskanaler autentiserade och krypterade från ände till ände, vilket förhindrar att de inspekteras för hot.
Därför kan en organisation eller dess tjänsteleverantör öppna sina brandväggsportar till en MDM-server som finns på dess mest betrodda nätverkssegment, eller vara värd för MDM-servern i ett mindre betrodd segment, en sorts "demilitariserad zon". I slutändan är detta liktydigt med att äventyra ett säkert nätverk eller offra MDM-servern.
Ett sätt att begränsa riskerna med en sådan kompromiss är att välja en lösning med en "delad proxy"-arkitektur. Med hjälp av en serie proxyservrar som finns i en demilitariserad zon svarar de på mängden krypterad kommunikation med smarttelefonens ekosystem, vilket är obligatoriskt för en MDM-server. MDM-trafik kan inspekteras av proxyservrar och är föremål för en webbapplikationsbrandvägg för att leta efter anomalier.
MDM-servern kan vara värd på det säkra nätverket, med säker kommunikation och korrekt hanterad med proxyservrar. Denna typ av lösning kan erbjuda en avsevärt förbättrad försvarsnivå, samtidigt som den förblir helt transparent för slutanvändaren.
Överväg affärsmål innan implementering
I slutändan måste organisationer som prioriterar data och personalskydd som en del av sin MDM-strategi bedöma vad de behöver från sina mobila enheter och hur de tänker använda dem. En multifunktionell arbetsstation som kräver åtkomst till flera back-end-system, inklusive känslig kunddata, kommer med största sannolikhet att kräva en betydande budgetutgift, förutom starka riskanalysmöjligheter.
Å andra sidan kan ett kontinuitetsprojekt för små företag, som håller anställda informerade om åtgärder utanför kontorstid under vissa omständigheter, genomföras utan någon MDM-implementering.
Oavsett om ett företag verkar i en miljö med hög eller låg hotbild, måste den välja en MDM-lösning som är tillräckligt motståndskraftig för att skydda sina data från allt mer sofistikerade och välfinansierade hot som vill infiltrera verksamheten. 39; mobilt ekosystem som äventyrar affärsdata.
Dom Hume är vice vd för tekniska produkter och tjänster på Becrypt.