Mobile Security og Device Management / C-cure - Mette Nikander CEO
C-cure Etableret i 1993 Specialiseret i IT Sikkerhed, rådgivning, rapporter, implementering og support Samarbejder med både danske og internationale leverandører Internationalt netværk af sikkerhedsspecialister Leverandør til stat, kommuner, internationale organisationer, små og store virksomheder i Danmark og udland.
Fokusområder f.eks.: Antivirus Autentificering m. token el. mobiltelefon Back-up og firewalls Content Filtering på web og mail Kryptering af data lagret eller i transit Log konsolidering og netværksovervågning Mobil IT sikkerhed og MDM Penetrationstests og sårbarhedsanalyser Udarbejdelse af IT Politikker, analyser etc.
Livsstil eller ægte behov?
Lidt statistik Tilgængelighed: En aktiv Smartphone bruger tager sig typisk af 2000-3000 e-mails om året, mens denne er mobil, og over 1.200 opkald om året. Værdien af denne tilgængelighed kan med rimelighed anslås til over DKK 25.000,- per bruger per år. Personlig Produktivitet: Den typiske slutbruger konverterer 60 minutters nedetid i produktiv tid om dagen. Dette svarer til 250 timer per bruger per år i indhentet spildtid. 250 timers mere produktive om året x DKK 400,- = DKK 100.000,- per medarbejder per år. (Kilde: http://www.blackberry.com/newsletters/connection/it/i5-2007/reportsummary.shtml).
Typiske udfordringer Manglende viden/ forståelse i afdelingerne for hvilke værdier der bør beskyttes Skal man indskrænke brugerfriheden? Hvilke løsninger er bedst til virksomhedens profil og strategi? Kan man få kvalificeret support og service? Har man tid? Er der økonomi til denne uforudsete udgift?
Behov og adfærd
For tilrettelæggelse af sikkerheds og MDM strategi Hvad skal de forskellige brugergrupper kunne? Hvilke data ønskes beskyttet og hvordan? Hvordan kan de ønskede enheder (OS), man vil tage I brug, beskyttes og administreres? Bør man overveje udskiftning af OS, for at opnå det ønskede niveau?
Virksomheder bør arbejde systematisk Er data omfattet af lovgivning om beskyttelse? Må medarbejderne synkronisere mails? Må alle hente filer og modtage attachments på de mobile enheder? Skal data kunne krypteres på det mobile device? Ønsker man snarere at anvende lagring og kryptering af filer I netværket, som kan tilgås via links? Vil man tillade BYOD (Bring Your Own Device)? Kan de OS man benytter beskyttes af antivirus og kryptering, eller skal man måske indkøbe nye enheder?
Ved køb af smartphones og tablets - tænk på følgende for budget og sikkerhed; På hvilket et niveau kan platformen beskyttes? Har den f.eks. Indbygget : Remote wipe, antivirus, kryptering etc.? Er der løbende opdatering af platformen og den eventuelle sikkerhed der medfølger? Kan man og bør man vælge ekstra sikkerhedsløsninger? Bør man vælge et fælles administrationsværktøj til MDM, AV og kryptering - og kan det I givet fald, understøtte præcist de platforme man ønsker at bruge?
Antivirus til mobile enheder Mobil Antivirus kan fås med lokal administration eller med administration i skyen. Nogle MDM producenter tilbyder administration af antivirus qua samarbejde Antivirus kan som oftest tilbyde; AV Scanning af filer og foldere Overblik over IMEI nummer, OS version, Remote lock, Remote wipe, I nogle versioner- sikker browsing, Simkort overvågning, GPS funktionalitet Parental Control
Hvilket niveau af sikkerhed kan opnås på ios? Apple Store har en fin historik for gennemprøvede og rene applikationer Med Version 4.3 er deraddress Space Layout Randomization - ASLR, en funktion, der bedre hindrer hacking Closed OS- Kun få antivirusproducenter er klar med en mindre løsning til denne platform der tilbydes browserprotection, back up og parental control. Kryptering følger med i nyere versioner af ios. Hvis telefonen jailbreakes dækker garantien ikke og data og transaktioner kan langt lettere kompromitteres idet at der kan medfølge malware i applikationer. Det er muligt at gennemtvinge indstillinger/profiler fra centralt hold til ios, men Apple har muliggjort at brugeren kan slette profilen igen.
iphone 3 kan ikke patches med de seneste patches, alle enheder før iphone 3GS bør derfor afvikles. Apple har generelt ikke været hurtigt nok ude med patches, som gerne kan vare op til 3 mdr. forinden publicering Publicering af patches foregår direkte til brugeren og ikke til en evt. administrator. Apple har siden den første iphone valgt at have ét master root-kodeord til alle enheder, der ikke kan skiftes. Fra før ios 5.x er standard back-up af ios enheder til computeren IKKE krypteret. De ukrypterede backups kan bruges til at hente informationer ud, eller duplikere enheden, og slette den key-chain der beskytter hardware krypteringen på ios (altså fjerne PIN/Passwords)
Hvilket niveau af sikkerhed kan opnås på Android? Android kan beskyttes mod malware med antivirus. Nogle Android enheder kommer med krypteringschip andre kan software krypteres. Krypteringniveau kan svinge fra kryptering af SD kort til kryptering af hele enheden. Med Version 4.0 er der Address Space Layout Randomization- ASLR, en funktion, der bedre hindrer hacking. Nogle Androids kommer med en mailklient der ikke kan administreres (pushes regler til) hvorfor man må tilkøbe Nitrodesk Touchdown Visse Android typer opdateres stort set aldrig. Android markets kvalitetssikres ikke.
Hvilket niveau af sikkerhed kan opnås på Symbian? Symbian kan beskyttes mod malware med antivirus Udvalgte Symbian modeller kommer med stand alone kryptering eller kan krypteres med trediepartsløsninger. Mange MDM producenter har opgivet at udvikle på administrationsmulighederne til Symbian, efter at Nokia er indtrådt i et samarbejde med Microsoft.
Hvilket niveau af sikkerhed kan opnås Windows Phone 7/7.5? Windows Phone Marketplace eneste appstore Alle apps køre i sandboxes Alpha-numerisk PIN support WP 8 har native 128-bit Bitlocker kryptering Closed OS- Kun få antivirusproducenter er klar med en mindre løsning til denne platform der tilbydes browserprotection, back up og parental control
Hvilket niveau af sikkerhed kan opnås Windows Mobile? Kryptering af SD kort fra WM ver. 6 On-Device kryptering fra WM ver. 6.1 Kan beskyttes mod malware med antivirus Ingen udvikling til WM i flere år
Opsummerende om platforme og MDM Alle MDM s har de samme basale forudsætninger for administration af ios, men de grafiske interfaces og udnyttelsen af muligheder på forskellige platforme kan variere. Nogle har bedre samarbejder med Nokia (Symbian) end andre og ikke alle understøtter Symbian, eller alle Symbian versioner såsom Anna og Belle. Alle har de samme basale forudsætninger for administration af Android, men de grafiske interfaces og udnyttelsen af muligheder kan variere let. Ikke alle MDM løsninger understøtter Windows Mobile Kun få understøtter Windows Phone med meget begrænset administration. Kun få understøtter Blackberry og det kan kræve omkostningstung Enterprise server Få understøtter Meego og det er meget begrænset administration.
Inden vi river ned fra hylderne skal vi så lige gøre os et par ting klar
Priser: Antivirus løsninger kan købes stykvist og starter ved Kr. 300,- for 1 licens Derefter falder priserne efter hvor mange licenser man indkøber ad gangen. MDM løsninger starter ved mellem Kr. 210,- og 250 pr. licens og op til Kr. 1.450,- for de mest avancerede løsninger. Priserne er for første år ved 100 licenser og ændrer sig typisk først ved 1000 licenser. Løsningerne bliver typisk billigere efterfølgende år, hvis det er onpremis, men forbliver på indkøbsniveau, hvis der er tale om hostede løsninger. Behøves en mailklient til Android, koster de fra Kr. 85,- og nedefter afhængigt af antal
Tid: Antivirus løsninger har et forholdsvist lavt konsulent behov, mange kan installeres af administrator selv. MDM løsninger kan svinge fra 4 timers installation og introduktion og op til 2-3 dage afhængigt af producent og diversitet i løsningen
De første skridt i valg af løsning Ønskes remote wipe/lock, antivirus, back-up/restore, sikker browser? Behov for Corporate Policy Management? Hvilke platforme ønskes understøttet: ios, Android, Symbian Anna Belle, etc.? Skal løsningen være hosted eller on premis?
Basale MDM typer indeholder typisk: Rapportering Logs, Inventory list Administration af; EnhedsKryptering email synkronisering Push af certifikater Wi-Fi (APN) VPN Kalendere og kontakter Og hindring af jailbreaking/rooting og synkronisering ved roaming.
Når MDM skal være lidt mere avanceret Vil man tillade BYOD (Bring Your Own Device)? Skal erhvervsdata kunne adskilles fra private data? Hvordan skal sikkerheds niveauet være omkring kodekompleksitet og udskiftningshyppighed af koder? Compliance- skal der kunne detekteres kompromittering og skelnes mellem OS versioners og brugeres permissions? Ønskes kontrol af browserindstillinger? Enhedsbegrænsninger? f.eks. For kamerafunktion, kryptering af SD kort el. lign. Administration af Fil og foldere?
Telecom styring? Telecom styring kun til Windows Mobile og Symbian, men ret efterspurgt
Fjernsupport? Send support besked? Genstart af enhed? Fjernkontrol? Det er kun muligt på nogle platforme og med få MDM løsninger for helpdesk at overtage styringen af enheden.
Applikationsstyring, er der behov for: Blacklisting af særlige applikationer? Installation eller fjernelse af JAVA applikationer? Enterprise Data container med erhvervsapplikationer? Styring af indbygget kryptering i hardware eller stand-alone kryptering? Enhedsstatus?
Få løsninger til få platforme. MDM med sikkerhed De tilbyder enten: En sikker container man kan placere sine filer i En sharepointløsning, som man tilgår fra den mobile enhed ind til netværket En opdeling af telefonen, ved at alle erhvervsdata placeres i en FIPS 140-2 certificeret krypteret folder, som skal tilgås separat. Sidstnævnte er det mest optimale ved BYOD
Hold medarbejdere informeret og lad dem tage ansvar! Har man medarbejdere der anvender ios, så kan de vælge at slette/ bypasse sikkerhedsregler. Derfor bør der anføres en IT politik, som opsætter konsekvenser for dette. Informer medarbejdere løbende om risici ved anvendelse af mobile enheder til aktiviteter på internettet Husk at BYOD kan omgærdes af en del politik og ansættelsesregler, f.eks. Omkring remote wipe, GPS funktioner etc. så husk at få indskrevet den slags i ansættelsespapirer m.m.
For applikations aftagere: Hvis man selv udvikler eller betaler et udviklerhus for at lave mobile applikationer til firma-brug, eller til mere kommercielt brug, så sørg for at udviklerne tænker sikkerhed ind først. Applikationer skal evalueres ud fra hvordan de lagrer data, hvilket ry udvikleren har, samt hvilken adgang applikationen siger den har brug for. Det giver dårligt image at udbyde applikationer, som giver uvedkommende adgang til brugeres personlige data, grundet dårligt implementeret sikkerhed.
For applikationsudviklere: App udviklere bør sikre sig ikke at bede om tilladelser unødigt. F.eks. på Android kan man, ved at kalde en indbygget applikation, opnå samme privilegier som den applikationen har. Eksempel: Hvis applikationen ikke behøver GPS information, så undlade at bede om adgang hertil. Hvis der bliver behandlet logon informationer, opbevaret lokale kopier af credentials eller transmitteret brugerinformationer, så sørg for at al kommunikation ud af devicet er beskyttet. Sørg for at lokale info står i en krypteret database eller bliver lukket ind i enhedens keychain.
OBS! Der arbejdes på at applikationsudviklere kan få sikkerhedsgodkendt applikationer hen mod slutningen af Q2 2012. Det sker i et samarbejde mellem CompTIA og viaforensics, som vil udvikle en Android og ios certificering samt tilhørende eksamener.
Generelt vigtigt ved valg af leverandør / løsninger Visionære produkter Bruger- og administrations venlighed Tids og ressource besparende Support tilgængelighed God og konstruktiv dialog med leverandøren OG producenten Total Cost of Ownership (TCO)
Anbefalede links IT Sikkerhed http://www.c-cure.dk http://www.theregister.co.uk/security http://www.darkreading.com http://www.f-secure.com/weblog http://www.sophos.com/blogs/sophoslabs http://www.portcullis-security.com IT Governance http://www.itgovernance.com/00/index.php
Man er altid velkommen til at booke et uforpligtende møde eller ringe til os for råd og vejledning Tlf. nr. 45411446 Mette Nikander: Thomas Bo Nielsen: mn@c-cure.dk tbn@c-cure.dk