mobile security smartphones und tablet pcs

Mobile Security

Smartphones und Tablet PCs

Eigenschaften und Strategien für die Umsetzung

V1.2 © 2011 by keyon (www.keyon.ch)

[email protected]

Über Keyon

Agenda

Warum Unternehmen Smartphones / Tablet PCs einsetzen

Risiken im Umgang mit Smartphones / Sicherheitsmechanismen

Einsatz von Smartphones – Möglichkeiten und Strategien

Diskussionsthema am Znünitisch von morgen

Lösungsansätze und Architekturen

Praxisbeispiel MDM Lösung von Good Technologie

Welcher Nutzen wird vom Unternehmen erwartet?

Warum Smartphones

Welche Anwendungen sollen mobile Nutzbar sein?

Warum Smartphones

Tablet PCs:

Office Anwendungen

Corporate Application (ERP, etc.)

Sind Tablet PCs teil der Mobilen Strategie?

Smartphones : Beziehen und lesen von Informationen

Tablet PC : Beziehen, lesen, schreiben und senden von Informationen

Warum Smartphones

Welche Priorität hat der verbreitete Einsatz mobiler Technologien?

Warum Smartphones

Wie ist der Einfluss auf das Budget für mobile Lösungen?

Warum Smartphones

Prognose bez. Plattformen auf dem Markt, 2010 - 2014

Warum Smartphones

Beeinflusst BYOD Strategie

Rollout

Betrieb

Support

Sicherheit

Woher stammen die Smartphone am Arbeitsplatz?

Warum Smartphones

Kostenfaktor Smartphone: Beschaffung vs. Betrieb unterschiedlicher Plattformen

44% BYOD

Was sind die Faktoren für die Einführung neuer mobiler Applikationen?

Warum Smartphones

Welche Faktoren haben die Einführung mobiler Applikationen verhindert?

Womit wir beim Thema wären….

Warum Smartphones

Agenda







Vergleichbare Pressemeldungen PC - Smartphones

Mobile Security - Übersicht

http://www.androidpolice.com

http://www.heise.de

http://www.bbc.co.uk

Vergleichbare Angriffsmuster zu PCs


Ausnutzen von Schwachstellen im OS oder in Anwendungen

(exploits)

Fehlende Sensibilität des Anwenders (Phishing, Freigabe von

Rechten, etc.)

Beispiel: Der Anwender kann bei Android nicht entscheiden, welche

Rechte eine bestimmte Applikation haben muss.

Tarnen (Malware gibt sich als bekanntes Programm aus,

ähnlicher Name im App Store)

Auswerten des Standorts

Auswerten des Beschleunigungssensors als Key-Logger

Missbrauch des Early-Media Stream (Abhören)

SMS Spoofing oder SMS versenden

Neue Angriffsmuster (Auszug)


IBM X-Force® 2011, Mid-year Trend and Risk Report, September 2011

Die Daten auf dem Smartphone sind generell nicht sicher

abgespeichert. Ohne zusätzlichen Schutz können die Daten bei

Verlust oder Diebstahl rel. einfach ausgelesen werden.

Auslesen der Daten bei Verlust des Gerätes


Weder das iOS noch das Android verfügen über wirksame,

Hardware-basierte Schutzmechanismen (wie beispielsweise TPM

oder Smartcard Technologien).

Fehlende Hardware Sicherheit und «Diskverschlüsselung»


c’t 2011, Heft 13

Fehlende Hardware Sicherheit und «Diskverschlüsselung»


Hardware Sicherheit (analog Smartcard)

Nach einer definierten Anzahl von falschen

Passworteingaben wird der Zugriff auf Daten

hardwaremässig gesperrt

Online Verfahren

Nach einer definierten Anzahl von falschen

Passworteingaben wird der Zugriff auf Daten durch

eine unabhängige Drittinstanz (online Server)

gesperrt

Offline Verfahren

Keine wirksame Sperrmöglichkeiten. Die Sicherheit

liegt alleine in der Komplexität des Passwortes

(Andere Mechanismen wie Biometrie sind noch

nicht verfügbar)

Sicherheitsaspekte

Mobile Security

Betriebssystem

Applikationen

Speicherung von Daten

Übermittlung von Daten

Benutzer

Kommunikation (BlueTooth,

Wireless, NFC)

GSM (Telefonie, SMS, Daten)

GPS, Mikrofon, Beschleunigungs

sensor

Datenschutz

Management (Updates,

Policies, etc.)


Auch sehr interessant

SMS Spoofing

Early Media Stream

etc.

Klassische Betrachtung

Security Smartphones

Worin unterscheidet sich Mobile Security von der PC Security

Grundsätzlich ist das Smartphone, analog dem PC, ein

unsicheres Gerät. Durch die bewusste und korrekte Nutzung von

sicherheitsspezifischen Eigenschaften oder durch die Installation

von spezifischen Sicherheitsapplikationen kann ein bestimmter

Sicherheitslevel erreicht werden.

Keine Schnittstellen für Viren- oder Content-Scanner. Bestehende

Ansätze zur Malware Erkennung funktionieren nicht.

Zusätzliche Komponenten wie GPS, Mikrofon, Kamera, zentraler

App-Store oder Beschleunigungssensor bieten weitere

Angriffsflächen.

Das mobile Gerät wird für geschäftliche und private Zwecke

genutzt. Das mobile Gerät wird beispielsweise für die

Betrachtung von Fotos an Drittpersonen weitergegeben.

Herausforderung Mobile Security

Worin unterscheidet sich Mobile Security von der PC Security

Softwareverteilung (App Store mit unterschiedlichen Richtlinien,

Corporate App Store)

Beschaffung und Verwaltung der Geräte

Persönliches Smartphones eines Mitarbeiters

Einstellung und Verhalten des Benutzers und des Unternehmens

Der PC / Laptop ist akzeptiert als Businessgerät. Das

Smartphone will aber privat und geschäftlich genutzt werden

können (Spassfaktor)

Verschiedene Apps kopieren Kontaktdaten (oder andere

Informationen) zu einem Server des Anbieters. Die Weitergabe

von persönlichen Daten kann gewollt sein, um beispielsweise

an einer Community teilnehmen zu können

Das Unternehmen toleriert die Nutzung persönlicher Apps in

der Freizeit

Viber, WhatsApp, Chess with Friends, etc.


Produkteinnovation

Die Innovation der Produkte ist schneller als der Entscheidungs-

und Integrationszyklus


Wir haben uns strategisch vor etwas mehr als einem Jahr für HTC und

Windows Mobile 6.5 entschieden. Die Lösung hätte im Q2 2011 nach der

Integration von Exchange 2010 ausgerollt werden sollen.

Aktuell sind die Geräte kaum mehr verfügbar und werden von den

Benutzern auch nicht mehr akzeptiert.

Geschäftsmodell der Anbieter von Mobilgeräten

Einnahmen durch Verkauf der Hardware

Einnahmen durch Verkauf von Apps und Medieninhalten

Einnahmen durch Werbung

Einnahmen durch Verkauf von Benutzerdaten und Profilen

Der geschäftliche Nutzung der Smartphone ist nur begrenzt

interessant für die Anbieter, da in diesem Bereich weniger Apps

und Medieninhalte bezogen werden. Zudem ist Werbung und der

Verkauf von Benutzerdaten unerwünscht.

Eine Optimierung hinsichtlich den Anforderungen der

geschäftlichen Nutzung bezüglich Sicherheit und Verwaltung der

Geräte hatte bisher immer zweite Priorität. Das könnte sich mit

der Einführung von NFC basierten Bezahlsystemen aber ändern.

Motivation der Anbieter für Mobile Security

Agenda







Strategien der Unternehmen im Bereich Mobile Security

Möglichkeiten und Strategien

Abhängig von den Anforderungen gib es mehr oder weniger Kombinationsmöglichkeiten

Strategien

Keine mobilen Geräte

Das Unternehmen setzt keine Smartphones ein. Die Mitarbeiter

haben mobilen Zugang zu Informationen über Laptops und VPN.

Bring your own Device

Der Mitarbeiter stellt sein mobiles Gerät für unternehmerische

Zwecke zur Verfügung (beispielsweise PIM Synchronisieren,

telefonieren, etc.)

Corporate Devices

Das Unternehmen stellt dem Mitarbeiter ein mobiles Gerät zur

Verfügung

Möglichkeiten und Strategien

Geräte

Die Anforderungen und Möglichkeiten ergeben sich primär aus

den physikalischen Eigenschaften (z.B. Grösse des Display) der

Geräte

Smartphone

Synchronisieren von PIM

Lesen von Dokumenten

Tablet PCs


Lesen und bearbeiten von Dokumenten

Nutzen von Unternehmensapplikationen (Browser, Apps)

Künftige Geräte (z.B. Near Field Communication)

Bezahlsysteme

Zutritt Systeme

Biometrische Authentisierung

Strategien der Unternehmen

Plattformen

Die aktuellen Plattformen (iOS, Android, Windows Mobile) haben

grundsätzlich unterschiedliche Eigenschaften und Schnittstellen

hinsichtlich

Device Management

Monitoring

Verteilung und Verwaltung von Zertifikaten (für 802.1x, etc.)

Sicherheit

Verhalten im Zusammenhang mit Applikationen (z.B.

Datenaustausch)

Programmiersprachen und native Schnittstellen


Plattformen – Fragmentierung

Die einzelnen Plattformen weisen erhebliche Unterschiede

zwischen den jeweiligen Versionen aus. Bei native Applikationen

muss der Code für jede Version einzeln kompiliert werden.

Fragmentierung am Beispiel von Android


Jan. 2010

Feb. 2011

http://developer.android.com/resources/dashboard/platform-versions.html

Plattformen – Fragmentierung

Fragmentierung am Beispiel von iOS


http://labs.chitika.com/MobileWar/

Jun. 2009

Apr. 2010

Plattformen – Fragmentierung – Hardware Fragmentierung

Neben unterschiedlichen OS müssen gegebenenfalls die

Eigenschaften der unterschiedlichen Geräte in Betracht gezogen

werden (Fragmentierung am Beispiel von Android)


http://labs.chitika.com/MobileWar/

Die einzelnen Anbieter liefern teilweise

unterschiedliche Built-in Applikationen mit:

Office

Dateiverwaltung

Etc.

Anforderungen

Die Unternehmen haben vielfältige Anforderungen an die mobilen

Geräte. Sie unterscheiden primär zwischen Smartphones und

Tablet PCs:

Smartphone


Lesen von Dokumenten

Tablet PCs


Lesen und bearbeiten von Dokumenten

Nutzen von Unternehmensapplikationen (Browser, Apps)


Massnahmen zur Sicherung der Geräte

Härten und Überwachen

Einschränken der Eigenschaften der Geräte (z.B. verbieten des

öffentlichen App Stores).

Nutzen der OS spezifischen Eigenschaften zum Härten und

Überwachen der Geräte

Eignet sich im Zusammenhang mit Corporate devices

Wird im Zusammenhang mit BYOD kaum akzeptiert



Trennen von privatem und geschäftlichem

Eignet sich im Zusammenhang mit Corporate devices

Eignet sich im Zusammenhang mit BYOD



Online – Remote Zugang

Eignet sich nur im Zusammenhang mit Tablet PCs

Erfordert zwingend WLAN Verbindung (Bandbreite)

Eignet sich um Textbasierte Dokumente zu editieren

Wenig geeignet für Tabellenkalkulation oder grafische Dokumente

(Powerpoint) zu editieren




Secure Email

Das Unternehmen verschlüsselt seine Emails, damit diese sicher

auf den Smartphones gespeichert sind.

Wenig geeignet für den Schutz der Daten auf den mobilen Geräten

Starke Abhängigkeiten hinsichtlich den bestehenden Prozessen

(Volltextsuche, Virenscan, Stellvertretungen, Archivierung,

Notfallprozessen, etc.)

Kein Schutz von Kontakt- oder Kalenderdaten

Sicherheitsäquivalenz im Bezug auf den Schutz der privaten

Schlüssels auf dem Smartphone.

Sicherheitsäquivalenz - Vorgehen für den Einsatz von mobilen Geräten

Klassifizieren von Informationen

Letztendlich geht es um den Schutz unternehmensspezifischer

Informationen, unabhängig vom Endgerät.

Beispiel: Öffentlich, Intern, Vertraulich, Geheim

Balance finden zwischen Sicherheit, Kosten, Betrieb und

Benutzerfreundlichkeit. Ziel ist es, dass alle Mitarbeiter die

Lösung nutzen können, ohne die Produktivität einzuschränken.

Es soll vermieden werden, dass Informationen über Drittkanäle

(z.B. private Email Accounts) ausgetauscht werden.


Sicherheitsäquivalenz - Vorgehen für den Einsatz von mobilen Geräten

Bestimmen der Schutzfähigkeit von Systemkomponenten

Ein äquivalenter Schutz der Information über ihren gesamten

Lebenszyklus hinweg soll gewährleistet werden. Dieser wird

erreicht, indem die involvierten Systemkomponenten äquivalente

Schutzfähigkeiten besitzen resp. die bestehenden

Schutzfähigkeiten akzeptiert werden.


Definition der Systemgrenze

StrukturanalyseBeurteilung der Schutzfähigkeit

Definition und Umsetzung von Massnahmen

Gesamtbeurteilung der Schutzfähigkeiten

Umsetzung des Anwendungsfalles

Periodische Überprüfung der Schutzfähigkeiten

Agenda







Ein wichtiges Detail verdeutlicht die Komplexität und Abhängigkeit von

Gerät, Plattform und MDM Software.

Diskussionsthema am Znünitisch von morgen (12. Okt. 2011)

Good For Enterprise iOS 5 Upgrade Advisory

Nach der Installation von iOS 5 muss die Lösung von Good Technology

neu ausgerollt werden. Dem User muss den neuen PIN eingeben und alle

Daten müssen wieder synchronisiert werden.

Wie sind diese Umstände zu rechtfertigen?

iOS 5 und iCloud

Diskussionsthema am Znünitisch von morgen (12. Okt. 2011)

Mit iOS 5 werden die Daten auf dem iPhone / iPad über iTunes

oder über die iCloud gesichert.

Es liegt im Interesse des Unternehmens, seine Daten nicht

unkontrolliert in einer Cloud auszulagern, über die er keine

Kontrolle und keine Einsicht hat.

Good for Enterprise kopiert keine Daten über iTunes

oder über die iCloud. Da beim Upgrade auf iOS 5

ein kompletter Backup / Restore des Gerätes

erforderlich ist, müssen alle sicherheitsrelevanten

Daten neu initialisiert resp. synchronisiert werden

(Aktivierungs PIN, PIM Daten).

Agenda







Bring your Own Device


Findet Primär Anwendung bei Smartphones

Trennung von privaten und geschäftlichen Daten und

Applikationen mit einer entsprechenden Software (z.B. Good for

Enterprise)

Plattform unabhängiges Verwalten der Geräte und Benutzer (z.B.

MDM mit Good for Enterprise)

Keine Einschränkungen auf den Geräten

Berücksichtigen von technischen, organisatorischen und

rechtlichen Aspekten

Eigentum und Nutzungsbestimmungen (Vereinbarung zwischen

Nutzer und Organisation abschliessen bez. Zugriff auf das Gerät bei

Forensischen Untersuchungen)

Kostenträger bei Datenaustausch (Privat, Geschäftlich, Data

Roaming, etc.). Unterschiedliches Verhalten bei Android und iOS

Verfügbarkeit (Festlegen der Supportprozesse im Falle eines defekten

oder verlorengegangenen Gerätes)

Corporate Devices


Findet Primär Anwendung bei Smartphones und Tablet PCs

Trennung von privaten und geschäftlichen Daten und

Appliktionen oder Nutzen von Standard Apps.

Plattform abhängiges Verwalten der Geräte und Benutzer

Partielle Einschränkungen und Konfigurationen auf den Geräten

Härten, Einschränken

Zentraler App Store

Policy Checks (Jail Break)

Etc.

Corporate Devices


Findet Primär Anwendung bei Tablet PCs

Remote Desktop über VPN oder SSL gesicherte Verbindungen.

Zentrales Ausrollen der VPN oder SSL Zertifikate über MDM

Software.

Weiterer Faktor für Authentisierung empfohlen (z.B. OTP)

Secure E-Mail - Gateway basierte E-Mail Lösungen


Transparente Handhabung der internen E-Mails

Sichere Übermittlung der E-Mails auf die mobilen Geräte

Sichere Speicherung der E-Mails auf den mobilen Geräten

abhängig von der Lösung

NOC Good Mobile

Messaging

Exchange / Notes

Secure E-Mail Gateway

Organisation

192 Bit AES End to End Security

App Development


Keine Native Entwicklung Aufgrund der unterschiedlichen

Plattformen und der grossen Fragmentierung von Plattformen

und Geräten

HTML 4 oder HTML 5 basierte Web-Applikationen

Native «look and feel» Apps auf der Basis von Web-Services und

generischen HTML 5 Plattformen (z.B. PhoneGap)

Agenda







1

Good for Enterprise

Präsentation security-zone 2011

V2.0 © 2011 by keyon (www.keyon.ch)

[email protected]

2

Übersicht - Client

Eigene, in sich geschlossene App

Push Daten (keine eingehenden Verbindungen in das

Unternehmen)

Gewohntes look and feel

Standard Applikationen, sofortige Synchronisation

E-Mail

Kontakte

Kalender

Unterstützt

iOS (iPhone, iPad)

Android

Windows Mobile

Konsequente Trennung der Daten und Applikationen

3

Übersicht - Client

Corporate App Store (OTA Software Installation)

Erweiterte iOS Verwaltung mit User- oder MDM Profiles

Document Management Policy (Editieren von Office Dokumenten)

Compliance Manager and Compliance Reporting

Web clips

Umfassendes Mobile Device Management

4

Gartner Research Note G00211101 (13 April 2011)

Has the best name recognition in MDM and

appears frequently on shortlists, although the

company's primary product is secure e-mail.

Good's mobile security features, particularly

platform-independent FIPS 140-2 encryption in the

e-mail system, have helped to catalyze entry for

Apple devices into organizations bound to stringent

data protection requirements

Good can validate and authorize specific

applications before allowing them to connect to a

corporate network. This feature is available even on

platforms that do not support blacklisting and

whitelisting, such as iPhone and iPad.

Extensive help desk features are included, as well

as a user self-service portal.

Strengths (extract)

5

Übersicht - Netzwerk

Starke End to End verschlüsselte Verbindung (AES 192 Bit)

zwischen dem Good Mobile Messaging Server im Unternehmen

und dem Smartphone.

Push Data (keine eingehenden Verbindungen in das

Unternehmen)

Netzwerktopologie

NOC Good Mobile

Messaging

Exchange / Notes

Secure E-Mail Gateway / Proxy

Organisation

192 Bit AES End to End Security

6

Konfiguration und Rollout

7

Zentrale Konfiguration

Definieren der Richtlinien

8


Registrieren der Benutzer

9


Versand des PIN an den Benutzer per interner E-Mail

10

Look and feel

Kostenloser Download der App

Installation der App

Installation

Alle folgenden Beispiele gelten analog für

iPhone, iPad, Andoid und Windows

Mobile Smartphones

11

Look and feel

Eingabe der E-Mail Adresse und PIN

Der PIN kann dem Mitarbeiter per internem E-Mail oder über andere

Kanäle übermittelt werden.

Ready to use

Setup / Registrierung

12

Usability

13

Look and feel

Zentral konfigurierbare Passwortrichtlinien

Login

14

Look and feel

E-Mail


Unterstützt alle bekannten Funktionen

Applikationen

15

Look and feel

Kalender 1/2



Erkennt, ob Teilnehmer verfügbar

sind oder nicht

Applikationen

16

Look and feel

Kalender 2/2

Ereignisanzeigen werden auch über dem locked Screen angezeigt

Details des Ereignisses werden nur in der Good App angezeigt

Applikationen

17

Look and feel

Kontakte 1/2



Applikationen

18

Look and feel

Kontakte 2/2

Synchronisieren von konfigurierbaren

Benutzerinformationen von der Good App in die

Kontaktinformationen vom Smartphone

Anzeige von konfigurierbaren Benutzerinformationen

bei einem eingehenden Anruf – normales look and feel

Applikationen

19

Look and feel

Secure Browser

Zugriff auf definierte Webseiten im Intranet

Zugriff auf definierte Webseiten im Internet

Sicherer cache innerhalb der sicheren Sandbox von Good

Applikationen

20

Mobile Device Management

21

Policy Check

Jailbreak detection

OS Version verification

Client Version verification

Hardware Model verification

Connectivity verification

Custom rules

Im Falle einer Verletzung

Zugriff verweigern

Wipe

Policy Check

22

Editieren von Dokumenten

Editieren von Dokumenten aus der Sandbox 1/3

Austausch von Dokumenten über die «Send to» Funktion mit

vertrauenswürdig gekennzeichnete Applikationen

23





Attachment «Send to»

vertrauenswürdige App

ausserhalb der Sandbox

Editieren

24





“Send to” Good Attachment

Hinweis auf Strategien für das editieren von Dokumenten aus der vorherigen Präsentation.

25

Corporate App Store

Corporate App Store 1/3

Zentrales Bereitstellen von Apps

Vorbereiten der Apps.

Diese werden verschlüsselt auf den NOC hochgeladen

26

Corporate App Store




Hinweis auf

neue App

Neue Anwendung

Ist verfügbar

Auflisten

27

Corporate App Store




App aus Corporate App

Store herunterladen

Installieren

28

Monitoring




App aus Corporate App

Store herunterladen

Installieren

29

Weitere Eigenschaften

English

French

Italian

German

Spanish

Chinese

Japanese

Korean

Unterstützte Sprachen

Die folgenden Sprachen werden auf der Basis der

länderspezifischen Einstellungen unterstützt

30


Enhanced Device Management Support

Erweitertes Monitoring von iOS 4 (oder höher) Clients über

iOS spezifische MDM Profile

Compliance Reporting

Compliance Reporting für Android


31

Zukünftig

Framework für die Integration eigener Applikationen

in die Sandbox

Roadmap

32

Referenzen

Good is mobile security and control that allows users to

connect and collaborate on the mobile device of choice

- 5,000+ Enterprise Customers - Mobility specialists for 12 years

- Largest Customer: US Army 80,000 users - 400 Employees, 300 Mobile Developers.

Good supports iPhone, iPad, Android, Nokia, Windows Mobile, Palm

Good will continue to support all updated and any new popular OS’s

Good For Enterprise Customers

33

Fragen und Antworten

mobile security smartphones und tablet pcs

Documents