IT Professional Security - ΤΕΥΧΟΣ 30

More documents

Info

I SSUE Mobile Device Management Η υιοθέτηση του MDM Όλα τα προαναφερόμενα αποτελούν θέματα που άπτονται της λειτουργίας του ΙΤ τμήματος κάθε εταιρείας. Ιδανικά, κάθε ε- ταιρική συσκευή θα έπρεπε να διαχειρίζεται από το ΙΤ τμήμα καθ’ όλη τη διάρκεια της “ζωής” της, δηλαδή από τη στιγμή που ενεργοποιείται έως τη στιγμή που αποσύρεται. Το πρόβλημα, που ενισχύθηκε με την ολιγωρία των εταιρειών στην αρχή της εμφάνισης των φορητών συσκευών, είναι ότι δεν γίνεται να προστατεύσεις οτιδήποτε δεν διαχειρίζεσαι και δεν μπορείς να διαχειριστείς οτιδήποτε δεν βλέπεις. Γι’ αυτόν το λόγο απαιτείται η υιοθέτηση ενός συστήματος MDM, ώστε να εξασφαλίζεται η επιθυμητή «ορατότητα» για τις συσκευές που συνδέονται απομακρυσμένα στο ε- ταιρικό δίκτυο και να επιτυγχάνεται η διαχείρισή τους σε όλα τα επίπεδα που απασχολούν τους ΙΤ διαχειριστές. Φυσικά, κάθε MDM έχει τα δικά του χαρακτηριστικά και καλύπτει συγκεκριμένους τομείς, ενώ η πολυπλοκότητα αυξάνεται αν ληφθεί υπόψη και η ποικιλία συσκευών που υπάρχουν στην αγορά. Έτσι, προτού αποφασιστεί ποιο λογισμικό θα αποκτηθεί από την εταιρεία, πρέπει να αποσαφηνιστούν οι στόχοι της σε σχέση με τη διαχείριση των φορητών συσκευών. Ακολουθεί μια λίστα από τομείς που καλύπτουν χαρακτηριστικά και δυνατότητες των MDM, αν και πρέπει να σημειωθεί ότι είναι δύσκολο ένα MDM να καλύπτει όλα τα ακόλουθα καθ’ ολοκληρία. Αρχειοθέτηση φορητών συσκευών: Σημαντική είναι η αρχειοθέτηση των φορητών συσκευών που ανήκουν στο εταιρικό δίκτυο, των χαρακτηριστικών που διαθέτουν και των εξαρτημάτων που φέρουν. Το MDM καταγράφει τις συσκευές και τα βασικά χαρακτηριστικά τους (μοντέλο υλικού και έκδοση λογισμικού) και συλλέγει αναφορές για σχετιζόμενα με αυτές ε- ξαρτήματα, όπως προσαρμογείς ασύρματου δικτύου και φορητές μνήμες. Επίσης κατηγοριοποιεί τις συσκευές είτε βάσει του λειτουργικού συστήματος που φέρουν είτε βάσει της κατάστασης λειτουργίας τους (άγνωστη, εξουσιοδοτημένη κ.ά.). Για την ανανέωση του αρχείου συσκευών το MDM εκτελεί λειτουργίες ανίχνευσης σε τακτά χρονικά διαστήματα, σαρώνοντας τις συνδεδεμένες στο δίκτυο συσκευές και αναζητώντας διαφοροποιήσεις όπως προσθήκη νέων συσκευών, απόσυρση παλαιοτέρων ή αλλαγή στην κατάσταση λειτουργίας τους. Τέλος, με τη βοήθεια του MDM και του GPS που φέρουν πλέον τα περισσότερα smartphones καταγράφεται με ακρίβεια και η φυσική θέση της κάθε συσκευής. Το αρχείο μπορεί να αποτελέσει μέρος της βάσης δεδομένων της εταιρείας και να χρησιμοποιηθεί για αναζήτηση και εξαγωγή αναφορών. Διαμόρφωση φορητής συσκευής: Η διαχείριση των φορητών συσκευών αποτελεί μια πολύπλοκη διαδικασία λόγω των πολυάριθμων κατασκευαστών και των διαφορετικών λειτουργικών συστημάτων που φέρουν, σε διαφορετικές επίσης εκδόσεις. Οι βασικές διαχειριστικές διεργασίες πρέπει να προαποφασιστεί ποια από τα ανωτέρω θα υποστηρίζουν και εν συνεχεία να επιλεγεί το κατάλληλο MDM λογισμικό. Φυσικά η διαχείριση επιβάλλει την εγγραφή της συσκευής στο εταιρικό δυναμικό, κάτι που επιτυγχάνεται είτε αυτόματα μέσω MDM είτε από τον ίδιο το χρήστη, πάντα με την τελική έγκριση από τους διαχειριστές. Ακολούθως, ένας MDM agent πρέπει να εγκατασταθεί στη συσκευή, κάτι που ανάλογα το λογισμικό γίνεται είτε χειροκίνητα είτε με συγχρονισμό μέσω σταθμού εργασίας, email ή url που δίνεται στο χρήστη μέσω email ή SMS. Για να καταστεί η συσκευή λειτουργική για την επιχείρηση πρέπει να παρακαμφθούν αρκετές από τις εργοστασιακές ρυθμίσεις που φέρει και να εφαρμοστούν νέες, ώστε ουσιαστικά να α- ποκλειστεί η χρήση συγκεκριμένων εφαρμογών και να επιτραπεί η χρήση άλλων. Ορίζονται λοιπόν τυπικές διαμορφώσεις για κάθε είδους συσκευές, οι οποίες εφαρμόζονται με τη βοήθεια του MDM μετά την αρχική ενεργοποίηση ή μέσω hard reset, με τις οποίες μπορούν να οριστούν κωδικοί πρόσβασης, να προστεθούν κλειδιά registry ή να δημιουργηθούν νέα μενού στις συσκευές. Διανομή λογισμικού: Πολλά MDM συστήματα παρέχουν εργαλεία διανομής και αναβάθμισης των εφαρμογών που φέρουν οι φορητές συσκευές. Ουσιαστικά βοηθούν τους διαχειριστές να καθορίσουν και να ομαδοποιήσουν τα δεδομένα που θα α- ποσταλούν προς τη συσκευή και εφαρμόζουν και τις απαιτούμενες για τη συσκευή ρυθμίσεις, ώστε να υπάρχει ομαλή λειτουργία τόσο της συσκευής όσο και της εφαρμογής που ε- γκαταστάθηκε. Η αποστολή των δεδομένων προς τη συσκευή ίσως να απαιτεί τη χρήση μη αξιόπιστων ή περιορισμένων 28 | security
WANs - και σε αυτή την περίπτωση το MDM προσφέρει συμπίεση των δεδομένων, σταδιακή αναβάθμιση και διαχείριση του εύρους σε σχέση με τον όγκο των δεδομένων, επιχειρώντας ουσιαστικά την αναβάθμιση ή την ολοκλήρωσή της, μόνο όταν αναγνωρίζει γρήγορες συνδέσεις με χαμηλό κόστος. Το MDM φροντίζει για την ορθότητα και ταχύτητα της εκάστοτε αναβάθμισης, ώστε να μην υπάρξει δυσμενές αντίκτυπο στη χρήση της συσκευής και να μην απαιτηθεί εκτενής χρόνος επιδιόρθωσης μιας ανεπιτυχούς αναβάθμισης. Διαχείριση ασφάλειας: Στις φορητές συσκευές τα θέματα διαχείρισης της ίδιας της συσκευής και τα θέματα ασφάλειας που προκύπτουν από αυτή, συγκλίνουν. Για παράδειγμα, απαιτείται αποσύνδεση μιας συσκευής που δεν χρησιμοποιείται από εξουσιοδοτημένο χρήστη. Με τη βοήθεια του MDM επιτυγχάνεται συνεργασία μεταξύ των καταλόγων εξουσιοδοτημένων χρηστών της εταιρείας και της διαδικασίας αυθεντικοποίησης ενός χρήστη κατά τη σύνδεσή του στο εταιρικό δίκτυο και εξασφαλίζεται η διακοπή της επικοινωνίας του αν αποτύχει να πιστοποιηθεί. Επίσης οι MDM agents βοηθούν στην εφαρμογή πολιτικών ασφαλείας σχετικά με την εισαγωγή κωδικών πρόσβασης (πόσες αποτυχημένες προσπάθειες θα επιτρέπονται) ή αν θα επιτρέπονται επείγουσες κλήσεις πριν την καταχώριση του κωδικού. Αυτές οι λειτουργίες ξεπερνούν κατά πολύ τις λειτουργίες που επιτελεί το λειτουργικό σύστημα οποιασδήποτε φορητής συσκευής. Επιπρόσθετα, στον τομέα των δεδομένων επιτρέπεται η επιλεκτική ή ολοκληρωτική διαγραφή τους από τη συσκευή μέσω MDM, ενώ για την ασφαλή διακίνηση δεδομένων προσφέρουν ασφαλή κανάλια επικοινωνίας αντί να βασίζονται σε πρωτόκολλα τρίτων κατασκευαστών. Στον τομέα των εφαρμογών καθορίζεται η αποδοχή ή απαγόρευση της λειτουργίας τους, καθώς και μέσω κάποιων ρυθμίσεων απενεργοποιούνται επικίνδυνες πλατφόρμες λειτουργίας και επισφαλείς ασύρματες επιλογές. Προστασία δεδομένων: Πιο αναλυτικά, για την προστασία και τη διατήρηση της ακεραιότητας των δεδομένων, τα MDM προσφέρουν κρυπτογράφηση των αποθηκευμένων στις φορητές συσκευές δεδομένων, ώστε να μην προσπελαύνονται από μη εξουσιοδοτημένους χρήστες. Επίσης για να μην υπάρξει απώλεια αυτών των δεδομένων είτε λόγω καταστροφής της συσκευής είτε λόγω απώλειάς της, τα MDM προσφέρουν απομακρυσμένη λήψη αντιγράφων ασφαλείας και αποκατάστασή τους όταν αυτό κρίνεται αναγκαίο. Τέλος, διατηρείται η πορεία των δεδομένων που μέσω απομακρυσμένου συγχρονισμού ή μέσω τοποθέτησής τους σε φορητές αποσπώμενες μνήμες α- ντιγράφονται από εταιρικές φορητές συσκευές, ώστε να μη μπορούν να κλαπούν. Έλεγχος και υποστήριξη: Η απόκτηση ενός MDM λογισμικού έχει ως στόχο να μετακινηθεί το βάρος της συνεχούς ε- πίβλεψης μιας συσκευής από το ΙΤ τμήμα στη συσκευή του χρήστη. Έτσι μέσω του MDM agent οι χρήστες μπορούν να α- νακτήσουν χαμένους κωδικούς πρόσβασης, να καταχωρίσουν τη συσκευή τους, να λάβουν προαιρετικό λογισμικό που τους ενδιαφέρει ή να ανακτήσουν χαμένα δεδομένα μέσω των α- ντιγράφων ασφαλείας. Αν κάποια συσκευή αστοχήσει λειτουργικά, το MDM μπορεί να εφαρμόσει κατάλληλες ρυθμίσεις για τη συγκεκριμένη συσκευή, αλλά και να συντάξει αναφορές για την κατάσταση λειτουργίας της, όπως κατάσταση μνήμης, μπαταρίας, συνδεσιμότητας. Αν η αστοχία τελεστεί όταν ο χρήστης βρίσκεται εκτός του φυσικού χώρου της εταιρείας, δίνεται η δυνατότητα μέσω διαμοιρασμού της οθόνης τους το MDM να υποστηρίξει τη συσκευή και μάλιστα σε πραγματικό χρόνο. Επίσης, προς εξυπηρέτηση των ΙΤ διαχειριστών καταγράφεται το ιστορικό δραστηριότητας των χρηστών και των συσκευών τους, αλλά χρειάζεται προσοχή στο πόσο λεπτομερείς και εις βάθος είναι αυτές οι αναφορές. Τέλος και οι φορητές συσκευές πρέπει σε θέματα ασφάλειας να συμμορφώνονται με τους κανονισμούς στους οποίους υπόκειται ολόκληρη η εταιρεία. Μέσω των MDM παράγονται αυτόματα α- ναφορές αξιολόγησης της λειτουργίας τους, που ουσιαστικά αποδεικνύουν αν είναι συμβατές με τις πολιτικές ασφάλειας της εταιρείας. Προφανώς, κάθε εταιρεία έχει τις δικές της ανάγκες και τους δικούς της διαχειριστικούς στόχους και δεν απαιτείται το MDM που θα επιλέξει να φέρει όλα τα προαναφερόμενα χαρακτηριστικά. Επίσης, δύσκολα ένα MDM προϊόν μπορεί να καλύψει επαρκώς όλες τις εταιρικές ανάγκες. Με γνώμονα όμως τα α- νωτέρω, ξεκαθαρίζεται ποιοι είναι οι τομείς δραστηριοποίησης των MDM, ποιοι από αυτούς καλύπτονται από προγενέστερα εταιρικά συστήματα διαχείρισης, ποιοι χρήζουν ιδιαίτερης προσοχής και ποιοι τελικά πρέπει να καλυφθούν. Πριν την τελική απόφαση είναι σαφές ότι απαιτείται πειραματισμός με τις δοκιμαστικές εκδόσεις, ώστε να οργανωθεί μια ρεαλιστική στρατηγική για το χειρισμό των φορητών συσκευών. iT<strong>Security</strong> security | 29
Page 1: Μάρτιος - Απρίλιος 2
Page 5 and 6: McAfee Security Information and Eve
Page 8 and 9: NEWS Η ESET κυκλοφόρησε
Page 10 and 11: NEWS Οι νέες λύσεις Clo
Page 12 and 13: NEWS Πραγματοποιήθηκ
Page 14 and 15: REFERENCE Του Χρήστου Σ
Page 16 and 17: C OVER ISSUE Του Νότη Ηλι
Page 18 and 19: COVER ISSUE Ασφάλεια στο
Page 20 and 21: COVER ISSUE Ασφάλεια στο
Page 22 and 23: REPORT 3ο Infocom Security Ο κο
Page 28 and 29: I SSUE Της Παναγιώτας
Page 32 and 33: I SSUE Της Παναγιώτας
Page 34 and 35: I SSUE Αναδυόμενες τε
Page 36 and 37: I SSUE Αναδυόμενες τε
Page 38 and 39: P RACTICAL Σύστημα Εντο
Page 40 and 41: P RACTICAL Σύστημα Εντο
Page 42 and 43: P RACTICAL Ethical Hacking και
Page 44 and 45: P RACTICAL Ethical Hacking και
Page 46 and 47: P RACTICAL Αλέξανδρος Σ
Page 48 and 49: P RACTICAL Οδηγός διασφ
Page 50: Διμηνιαίο περιοδικ

IT Professional Security - ΤΕΥΧΟΣ 30

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?