Mobil eszközökön tárolt adatok biztonsága Romics Attila IT biztonsági tanácsadó Compliance Data Systems Kft. 2014. Október 2.
Tartalom Tartalom Mobil Trendek IT Felhasználói igények Vállalati Hatások Szabályzatok Oracle Mobile Security Suite 2
Mobility BYOD Trendek Fogyasztói üzletág prioritása Megfizethetőség Vállalati termékfrissítés BYOD Fogyasztó centrikus IT világ Vmware, Citrix, saját eszközökkel érik el a vállalat hálózatát, bizal mas adatokhoz férnek hozzá 2011-re formális ajánlások segítik mederbe terelni a folyamatot 3
Aktualitások PC korszak vége 39% 69% 340% 21,70% 2010 177M corp PCs 2015 246M corp PCs 2010 173 M personal PCs 2015 293M personal PCs 2010 300M okostelefon 2015 1017M okostelefon 2010 15M tablet 2015 326M tablet 4
IT kihívások Adatvédelmi terv (eszköz életciklus) Nem eszköz alapú szemlélet Jailbreak, root Biztonsági, tartalmi, eszköz szabályzatok megkerülése Titkosítás (eszköz\konténer) Nem elhagyható védelem Konténer titkosítás Memóriahasználat Memória modulok törlési lehetőségei IT Felhasználó párharc 6
8 biztonsági pont Adatvesztés lopott, elvesztett, vagy feltört mobilkészülékek miatt Mobil Malware által ellopott információk Eszközön belüli sebezhetőségek (OS, tervezési hiányosságok, harmadik fél által készített alkalmazások) Nem biztonságos Wifi, hálózati hozzáférések, hozzáférési pontok Adatvesztés, vagy szivárogtatás rosszul megírt alkalmazás miatt Nem biztonságos alkalmazás áruházak Nem megfelelő management eszközök, képességek, és API hozzáférések NFC, és hasonló közelség-alapú (proximity-based) hacking 7
Menedzsment mátrix Vállalati eszközök felügyelet nélkül BYOD Vállalati felügyelet az adatok, és alkalmazások fölött Unmanaged Managed 1 User and App Access Management Eszközfelügyelet App and Data Protection Device Management Threat Protection Secure File Sharing Személyi eszköz vállalati felügyelete User and App Access Management. User and App Access Management App and Data Protection App and Data Protection Device Management Secure File Sharing Threat Protection Secure File Sharing 4 22 Company Owned Personally Owned 3 8
Mobility Management NAC: Network Access Control MBaaS: Mobile Backend as a Service MDM: Mobile Device Management MAM: Mobile App Management PIM Container: Personal Information Manager (email) Container Source: 451 Group
Oracle Mobil Security Stratégia Konténerkezelés Biztonsági kontrollok és központosított alkalmazásmenedzsment IDM szolgáltatások kiterjesztése Házirend felhasználók korlátozására a konténeren belül illetve a konténerből/be történő adatmozgatásra Egységes megközelítés minden mobil platformon VPN infrastruktúra nélküli biztonságos kommunikáció a vállalati rendszerekkel Vállalati app store Policy update Nemcsak felhasználók hanem eszközök kezelése is Közös felhasználó, szerepkör, önkiszolgálás, felülvizsgálat SSO nativ és böngészős alkalmazások számára Kockázat alapú authentikáció, eszközfelismerés fingerprinting
Konténer Életciklus
Adatbiztonság Data-at-rest FIPS140-2 Level 1 Kódolt tárolás File system Preferenciák SQLite Cache Felhasználói jelszavak NEM tárolódnak az eszközön, Adatátvitel AppTunnel és nem VPN Nem szükséges VPN infrastruktúra Csak trusted alkalmazások FIPS140-2 Level 1 Mobil forgalomra optimalizált Kompresszió Wifi-3G váltást tolerálja
Autentikáció Autentikáció Single Sign-on Kerberos, NTLM, SAML, OAuth Erős autentikáció PKI Több faktoros Virtuális smart card (PIN védett x509 cert) Radius alapú OTP token (RSA certified) Oracle Access Manager authentikáció és Oracle Unified Directory vagy AD mint userstore
Házirendek Data Leakage Protection Dinamikus, felhasználófüggő szabályok Kontrollok No backup Restrict open-in Restrict copy/paste No email, messaging No chat, social sharing No print Szempontok Alkalmazásonként Remote lock/wipe Authentikáció erőssége App Catalog Inaktivitás Time-fence / geo-fence
Adminisztráció
Felhasználók és csoportok
Házirendek
Konténerizációs eszköz Saját alkalmazások is behelyezhetők a konténerbe. Az alábbi szolgáltatásokat nyújtja a konténer Biztonságos adattranszport: Az AppTunnel segítségével biztonságos kommunikáció a backend alkalmazásokkal Autentikáció: Windows Integrated Authentication/SSO (Kerberos v NTLM) a backend szolgáltatások felé Biztonságos adattárolás: Kódoltan tárolt alkalmazás adatok, fileok, cache Adatszivárgás: file sharing-copy paste, nyomtatás, mentés szabályozható Házirendek hozzárendelése: Több mint 50 féle kontroll pl authentikáció gyakorisága, geo és time fencing, remote lock és wipe.
Köszönöm! Romics Attila IT biztonsági tanácsadó, Compliance Data Systems Kft. cím: 1074 Budapest, Madach Imre út 13 email: attila.romics@cdsys.hu mobil: +36 30 254 17 38 19