Pro bezpečné začlenění mobilních zařízení do firemní infrastruktury UTM, firewally a běžné bezpečnostní politiky nestačí. Jak tuto problematiku nejlépe řešit radí René Pospíšil, obchodní ředitel distribuční společnosti is4technologies.
Co je nejvíce opomíjené při správě mobilních zařízení?
Ať už jde o notebook, tablet, nebo smartphone, nejvíce opomíjeným při jejich správě je především vzdálená správa těchto koncových zařízení. Na to, co jsme zvyklí ze světa desktopů, notebooků, ale i serverů přes RTP nebo jiné protokoly, tzv. mobile device management většinou ve firemní infrastruktuře chybí. To znamená, že organizace nemůže efektivně spravovat koncové body například na Androidech, iOS, případně jiných operačních systémech v oblasti mobilních zařízení.
Samozřejmě však je třeba se dnes na tuto problematiku dívat úplně stejným způsobem, jako na klasické koncové stanice, protože většina uživatelů v už kombinaci s nimi mobilních je. Proto je třeba aplikovat ty samé principy vzdálené správy jako na klasických počítačích.
To se hezky řekne, ale co s tím?
V IS4 Technologies například zastřešujeme jako distributor řešení izraelské firmy Communitake, která řeší tři separátní oblasti.
První je tzv. care, která se používá k proaktivní podpoře mobilních zařízení „funnelling“. Jde o vícevrstvý přístup. Na prvním místě je aktivní péče o zařízení – device proactive care. Umožňuje po instalaci na jednotlivá zařízení řešit jejich problémy s provozem a výkonem. Když se například tablet nebo smartphone zpomalí kvůli příliš vysoké využití a spotřebě paměti nebo CPU, jde jej díky device proactive care například zrychlit nebo odstranit bezpečnostní rizika.
Druhou částí je samoobslužný portál se znalostní bází, kde si uživatel může kliknout na nějaký problém, který lze skripty také vyřešit, například připojení smartphonu k internetu přes APN.
Třetí oblastí je možnost aktivní pomoci „peer to peer“ od jiného uživatele (například kamaráda), který může na počítači nebo i na svém smartphonu převzít obrazovku vašeho smartphonu a pomoci vám vyřešit akutní problém v terénu pomocí vzdálené správy.
Čtvrtou, poslední částí je možnost využití dedikovaných lidí na helpdesku nebo servicedesku, kde jejich obsluha opět přebírá vzdálenou správu vašeho smartphonu nebo některé jeho aplikace. Mohou vám na jeho displeji ukázat na co máte kliknout, chatovat s vámi, a vidí přitom přesně to, co vidíte vy na svém displeji smartphonu, tabletu, nebo obrazovce notebooku.
Pokud tedy nevyřešíte v první až třetí vrstvě „device care“ problém svého mobilního zařízení sami, ve čtvrté vrstvě už vyškolená obsluha helpdesku nebo servicedesku pomůže, protože ví, co má na něm nastavit. Snižují se tím pádem náklady na provoz mobilních zařízení a zvyšuje se kvalita podpory. Nemusíte tedy svoje zařízení nosit k IT specialistovi, přes Communitake je vám pomoženo přímo v terénu.
Řeší Communitake i bezpečnostní aspekty mobilních zařízení?
Communitake obsahuje také robustní MDM (mobile device managemet)/EMM (Enterprise Mobility Management), neboli mutiplatformní správu mobilních zařízení. Navíc, oproti ostatním výrobcům, je součástí Communitake unikátní modul Secure, který řeší problematiku samotných operačních systémů. Zejména Androidy mají bezpečnostní rizika a jsou děravé jak ementál. Communitake však dovede ve spolupráci s konkrétními výrobci nahrát speciálně upravený firmware, a díky němu tuto problematiku vyřešit.
Výsledkem je tzv. hardened OS, odolný operační systém, který není napadnutelný jako standardní operační systém. Konkrétně dovede „vyztužit a obrnit“ Android OS. Navíc, s tímto speciálním firmwarem máte místo ke Google Play limitovaný přístup jen ke konkrétnímu firemnímu katalogu vybraných aplikací, prověřených a schválených po stránce bezpečnosti. Z něj si tedy uživatel může stáhnout pouze omezený počet zabezpečených, prověřených aplikací. Nehrozí tedy, že by uživatel firemního mobilního zařízení stáhnul nějakou aplikaci, která není takto prověřena a byla by nebezpečná.
Další, co modul Secure v Communitake řeší, je bezpečná komunikace přes zašifrovaný přenos hlasových služeb, a to po internetu přes Wi-Fi, nebo i přes mobilní datové přenosy (3G/LTE). Uživatelé mají k dispozici bezpečnostní službu, přes kterou uskuteční autentizaci , kde se naváže spojení mezi dvěma autentizovanými zařízeními. Následná komunikace už mezi nimi běží peer-to-peer, šifrovaně přes AES 256 a s dynamicky šifrovanými klíči. Díky takovémuto šifrovanému přenosu, včetně samotných klíčů, nelze tyto hovory odposlouchávat.
Díky Communitake získáte tedy bezpečný přenos hovorů v mobilu postaveném na bezpečném operační systému, včetně efektivní správy aplikací a proaktivní vzdálené podpory. Lze mobilní zařízení a všeobecně koncové stanice ochránit ještě lépe?
Pro koncové stanice máme k dispozici antimalware Bitdefender, který řeší ochranu prakticky všech operačních systémů – Windows, Linux, Mac OS, iOS a Android. Instalace je velmi jednoduchá a zabere řádově asi tolik času, jako vypití jedné kávy. Umožňuje jednotnou ucelenou ochranu – pod jedním GUI takto ochráníte fyzická i virtuální zařízení, a zároveň mobilní zařízení. Správa všech stanic se dá nainstalovat přímo do DMZ – „demilitarizované zóny“. Zároveň si lze zvolit i správu bezpečnosti koncových zařízení v cloudu.
Jakmile systém detekuje podezřelé chování, opatří soubor tzv. otiskem prstu a automaticky jej zasílá do největší zabezpečené Nimbus sítě Global Protective Network, čítající více než 1 600 serverů, odkud získává odpověď s typickou reakční dobou 200 ms (Bitdefender garantuje imunizační dobu 3 sekundy všem 500 milionům uživatelů po celém světě). V součtu Bitdefender skýtá mimo základní ochranu pomocí signatur ještě další tři vrstvy, kde provádí heuristické a behaviorální analýzy bez signatur, a díky tomu chrání nejúčinněji i před tzv. útoky nultého dne. Rychlost detekce redukovaná na sekundy oproti hodinám je ve srovnání s konkurencí pro účinnou ochranu klíčovým faktorem proti hrozbám přicházejícím z internetu.
Nově Bitdefender ještě přichází s anti-ransomware, ochranou proti malwaru, který šifruje a zamyká data uživatelů, aby pak z uživatelů vytáhl tvůrce ransomwaru výkupné. Nezaplatíš, nedostaneš přístup ke svým datům – a proti tomuto dnes Bitdefender také umí velmi účinně ochránit.
Kde lze tento druh ochrany získat?
V České republice a na Slovensku lze získat bezplatné testovací verze, konzultace a podporu od IS4 Technologies.