Wenn man über MDM (Mobile Device Management) spricht, denkt jeder aus irgendeinem Grund sofort an einen Kill-Switch, der auf Befehl eines Informationssicherheitsbeauftragten ein verlorenes Telefon aus der Ferne zur Explosion bringt. Nein, generell gibt es das auch, nur ohne die pyrotechnischen Effekte. Aber es gibt auch viele andere Routineaufgaben, die mit MDM viel einfacher und schmerzloser erledigt werden können.
Unternehmen sind bestrebt, Prozesse zu optimieren und zu vereinheitlichen. Und wenn früher ein neuer Mitarbeiter in einen geheimnisvollen Keller mit Kabeln und Glühbirnen gehen musste, wo weise, rotäugige Älteste dabei halfen, Firmenmails auf seinem Blackberry einzurichten, hat sich MDM jetzt zu einem ganzen Ökosystem entwickelt, mit dem Sie diese Aufgaben erledigen können zwei Klicks. Wir werden über Sicherheit, Gurken-Johannisbeer-Coca-Cola und die Unterschiede zwischen MDM und MAM, EMM und UEM sprechen. Und auch darüber, wie man einen Job beim Verkauf von Kuchen aus der Ferne bekommt.
Freitag an der Bar
Selbst die verantwortungsvollsten Menschen machen manchmal eine Pause. Und wie so oft vergessen sie in Cafés und Bars Rucksäcke, Laptops und Mobiltelefone. Das größte Problem besteht darin, dass der Verlust dieser Geräte der Informationssicherheitsabteilung große Kopfschmerzen bereiten kann, wenn sie vertrauliche Informationen für das Unternehmen enthalten. Den Mitarbeitern desselben Apple gelang es, mindestens zweimal einzuchecken, wobei sie zunächst verloren , Und danach - . Ja, mittlerweile sind die meisten Mobiltelefone standardmäßig mit einer Verschlüsselung ausgestattet, aber Firmenlaptops sind nicht immer standardmäßig mit Festplattenverschlüsselung konfiguriert.
Darüber hinaus kam es zu Bedrohungen wie dem gezielten Diebstahl von Unternehmensgeräten zur Gewinnung wertvoller Daten. Das Telefon ist verschlüsselt, alles ist so sicher wie möglich und so weiter. Aber ist Ihnen die Überwachungskamera aufgefallen, unter der Sie Ihr Telefon entsperrt haben, bevor es gestohlen wurde? Angesichts des potenziellen Werts von Daten auf einem Unternehmensgerät sind solche Bedrohungsmodelle sehr real geworden.
Im Allgemeinen sind die Menschen immer noch sklerotisch. Viele Unternehmen in den USA waren gezwungen, Laptops als Verbrauchsmaterialien zu behandeln, die in einer Bar, einem Hotel oder einem Flughafen unweigerlich vergessen werden. Es gibt Hinweise darauf, dass dies auf denselben US-Flughäfen der Fall ist jede Woche, von denen mindestens die Hälfte vertrauliche Informationen ohne jeglichen Schutz enthält.
All dies bescherte den Sicherheitsexperten einiges graues Haar und führte zur anfänglichen Entwicklung von MDM (Mobile Device Management). Dann entstand der Bedarf an einem Lebenszyklusmanagement mobiler Anwendungen auf gesteuerten Geräten, und es kamen MAM-Lösungen (Mobile Application Management) auf den Markt. Vor einigen Jahren begannen sie, sich unter dem gemeinsamen Namen EMM (Enterprise Mobility Management) zu vereinen – einem einzigen System zur Verwaltung mobiler Geräte. Der Höhepunkt all dieser Zentralisierung sind UEM-Lösungen (Unified Endpoint Management).
Schatz, wir haben einen Zoo gekauft
Als erstes tauchten Anbieter auf, die Lösungen für die zentrale Verwaltung mobiler Geräte anboten. Eines der bekanntesten Unternehmen, Blackberry, ist immer noch am Leben und es geht ihm gut. Auch in Russland ist es präsent und vertreibt seine Produkte vor allem für den Bankensektor. Auch SAP und verschiedene kleinere Unternehmen wie Good Technology, das später von Blackberry übernommen wurde, traten in diesen Markt ein. Gleichzeitig erfreute sich das BYOD-Konzept zunehmender Beliebtheit, da Unternehmen versuchten, darauf zu verzichten, dass ihre Mitarbeiter ihre persönlichen Geräte zur Arbeit mitnahmen.
Zwar wurde schnell klar, dass der technische Support und die Informationssicherheit bereits bei Anfragen wie „Wie kann ich MS Exchange auf meinem Arch Linux einrichten“ und „Ich benötige von meinem MacBook aus ein direktes VPN zu einem privaten Git-Repository und einer Produktdatenbank“ zusammenzucken. ” Ohne zentralisierte Lösungen wurden die gesamten Einsparungen durch BYOD zu einem Albtraum für die Instandhaltung des gesamten Zoos. Unternehmen benötigten eine automatische, flexible und sichere Verwaltung.
Im Einzelhandel verlief die Geschichte etwas anders. Vor etwa 10 Jahren erkannten Unternehmen plötzlich, dass mobile Geräte auf dem Vormarsch waren. Früher saßen die Mitarbeiter hinter warmen Lampenmonitoren und irgendwo in der Nähe war der bärtige Besitzer des Pullovers unsichtbar anwesend, sodass alles funktionierte. Mit dem Aufkommen vollwertiger Smartphones können die Funktionen seltener Spezial-PDAs nun auf ein normales, preiswertes Seriengerät übertragen werden. Gleichzeitig wurde klar, dass dieser Zoo irgendwie verwaltet werden muss, da es viele Plattformen gibt und alle unterschiedlich sind: Blackberry, iOS, Android und dann Windows Phone. Im Maßstab eines Großunternehmens sind alle manuellen Handgriffe ein Kinderspiel. Dieser Prozess verschlingt wertvolle IT- und Support-Arbeitsstunden.
Zu Beginn boten die Anbieter für jede Plattform separate MDM-Produkte an. Die Situation war ganz typisch, als nur Smartphones auf iOS oder Android gesteuert wurden. Als die Smartphones einigermaßen aussortiert waren, stellte sich heraus, dass auch die Datenerfassungsterminals im Lager irgendwie verwaltet werden mussten. Gleichzeitig muss man unbedingt einen neuen Mitarbeiter ins Lager schicken, damit dieser einfach die Barcodes auf den benötigten Kartons scannt und diese Daten in die Datenbank einträgt. Wenn Sie Lager im ganzen Land haben, wird der Support sehr schwierig. Sie müssen jedes Gerät mit WLAN verbinden, die Anwendung installieren und Zugriff auf die Datenbank gewähren. Mit modernem MDM, oder genauer EMM, nehmen Sie einen Administrator, geben ihm eine Verwaltungskonsole und konfigurieren von einem Ort aus Tausende von Geräten mit Vorlagenskripten.
Terminals bei McDonald's
Im Einzelhandel zeichnet sich ein interessanter Trend ab – die Abkehr von stationären Kassen und Kassen. Wenn Ihnen früher im selben M.Video ein Wasserkocher gefallen hat, mussten Sie den Verkäufer anrufen und mit ihm durch die gesamte Halle zum stationären Terminal stampfen. Unterwegs gelang es dem Klienten zehnmal, den Grund seiner Reise zu vergessen und seine Meinung zu ändern. Derselbe Effekt eines Impulskaufs ging verloren. Jetzt ermöglichen MDM-Lösungen dem Verkäufer, sofort ein POS-Terminal einzurichten und eine Zahlung vorzunehmen. Das System integriert und konfiguriert Lager- und Verkäuferterminals über eine Verwaltungskonsole. Eines der ersten Unternehmen, das begann, das traditionelle Kassenmodell zu ändern, war einst McDonald's mit seinen interaktiven Selbstbedienungstafeln und Mädchen mit mobilen Terminals, die Bestellungen direkt in der Mitte der Schlange entgegennahmen.
Burger King begann auch mit der Entwicklung seines Ökosystems und fügte eine Anwendung hinzu, die es ermöglichte, aus der Ferne zu bestellen und diese im Voraus vorzubereiten. All dies wurde zu einem stimmigen Netzwerk mit gesteuerten interaktiven Ständen und mobilen Terminals für Mitarbeiter zusammengefasst.
Ihre eigene Kasse
Viele Lebensmittel-Hypermärkte entlasten die Kassierer durch die Installation von Selbstbedienungskassen. Globus ging noch weiter. Am Eingang bietet man an, ein Scan&Go-Terminal mit integriertem Scanner mitzunehmen, mit dem man einfach alle Waren vor Ort scannt, in Tüten verpackt und nach dem Bezahlen wieder geht. In Tüten verpackte Lebensmittel müssen an der Kasse nicht ausgenommen werden. Alle Terminals werden außerdem zentral verwaltet und sowohl in Lager als auch in andere Systeme integriert. Einige Unternehmen versuchen, ähnliche Lösungen in den Warenkorb zu integrieren.
Tausend Geschmäcker
Ein separates Problem betrifft Verkaufsautomaten. Ebenso müssen Sie die Firmware aktualisieren und die Überreste von verbranntem Kaffee und Milchpulver überwachen. Darüber hinaus wird dies alles mit den Terminals des Servicepersonals synchronisiert. Unter den großen Unternehmen zeichnete sich in dieser Hinsicht Coca-Cola aus, indem es einen Preis in Höhe von 10 US-Dollar für das originellste Getränkerezept auslobte. In diesem Sinne ermöglichte es Benutzern, die süchtig machendsten Kombinationen in Markengeräten zu mischen. Als Ergebnis erschienen Versionen von Ingwer-Zitronen-Cola ohne Zucker und Vanille-Pfirsich-Sprite. Sie haben noch nicht den Geschmack von Ohrenschmalz erreicht, wie in Bertie Botts „Every Flavour Beans“, aber sie sind sehr entschlossen. Die gesamte Telemetrie und die Beliebtheit jeder Kombination werden sorgfältig überwacht. All dies lässt sich auch in die mobilen Anwendungen der Benutzer integrieren.
Wir warten auf neue Geschmäcker.
Wir verkaufen Kuchen
Das Schöne an MDM/UEM-Systemen ist, dass Sie Ihr Unternehmen schnell skalieren können, indem Sie neue Mitarbeiter aus der Ferne einbinden. Sie können den Verkauf von bedingten Kuchen in einer anderen Stadt mit vollständiger Integration in Ihre Systeme ganz einfach mit zwei Klicks organisieren. Es wird ungefähr so aussehen.
Ein neues Gerät wird an einen Mitarbeiter geliefert. In der Box befindet sich ein Stück Papier mit einem Barcode. Wir scannen – das Gerät wird aktiviert, im MDM registriert, übernimmt die Firmware, wendet sie an und startet neu. Der Nutzer gibt seine Daten oder einen Einmal-Token ein. Alle. Jetzt haben Sie einen neuen Mitarbeiter, der Zugriff auf Firmenpost, Daten zu Lagerbeständen, die notwendigen Anwendungen und die Integration mit einem mobilen Zahlungsterminal hat. Eine Person kommt im Lager an, holt die Ware ab, liefert sie an Direktkunden und akzeptiert die Zahlung mit demselben Gerät. Fast wie bei Strategien, ein paar neue Einheiten einzustellen.
Wie es aussieht
Eines der leistungsfähigsten UEM-Systeme auf dem Markt ist VMware Workspace ONE UEM (ehemals AirWatch). Es ermöglicht Ihnen die Integration mit fast und mit ChromeOS. Sogar Symbian existierte bis vor kurzem. Workspace ONE unterstützt auch Apple TV.
Ein weiteres wichtiges Plus. Apple erlaubt nur zwei MDMs, darunter Workspace ONE, an der API herumzubasteln, bevor eine neue Version von iOS veröffentlicht wird. Für alle bestenfalls in einem Monat und für sie in zwei.
Man stellt einfach die nötigen Nutzungsszenarien ein, schließt das Gerät an und schon funktioniert es, wie man so schön sagt, automatisch. Richtlinien und Einschränkungen treffen ein, der notwendige Zugriff auf interne Netzwerkressourcen wird bereitgestellt, Schlüssel werden hochgeladen und Zertifikate installiert. In wenigen Minuten verfügt der neue Mitarbeiter über ein vollständig einsatzbereites Gerät, aus dem kontinuierlich die notwendige Telemetrie fließt. Die Anzahl der Szenarien ist riesig, vom Blockieren einer Telefonkamera an einem bestimmten Standort bis hin zum SSO mithilfe eines Fingerabdrucks oder Gesichts.
Der Administrator konfiguriert den Launcher mit allen Anwendungen, die beim Benutzer ankommen.
Auch alle möglichen und unmöglichen Parameter sind flexibel konfigurierbar, wie z. B. die Größe der Icons, das Verbot ihrer Bewegung, das Verbot der Anruf- und Kontaktsymbole. Diese Funktionalität ist nützlich, wenn Sie die Android-Plattform als interaktives Menü in einem Restaurant und für ähnliche Aufgaben verwenden.
Von der Benutzerseite aus sieht es in etwa so aus
Auch andere Anbieter haben interessante Lösungen. Beispielsweise bietet EMM SafePhone vom Wissenschaftlichen Forschungsinstitut SOKB zertifizierte Lösungen für die sichere Übertragung von Sprache und Nachrichten mit Verschlüsselungs- und Aufzeichnungsfunktionen.
Gerootete Telefone
Ein Problem für die Informationssicherheit sind gerootete Telefone, bei denen der Benutzer maximale Rechte hat. Nein, rein subjektiv ist dies eine ideale Option. Ihr Gerät muss Ihnen volle Kontrollrechte gewähren. Leider widerspricht dies den Unternehmenszielen, die fordern, dass der Anwender keinen Einfluss auf die Unternehmenssoftware hat. Er soll beispielsweise nicht in der Lage sein, mit Dateien in einen geschützten Speicherbereich zu gelangen oder ein gefälschtes GPS einzuschleusen.
Daher versuchen alle Anbieter auf die eine oder andere Weise, verdächtige Aktivitäten auf einem verwalteten Gerät zu erkennen und den Zugriff zu blockieren, wenn Root-Rechte oder nicht standardmäßige Firmware erkannt werden.
Android verlässt sich normalerweise darauf . Von Zeit zu Zeit erlaubt Ihnen Magisk, seine Prüfungen zu umgehen, aber in der Regel behebt Google das Problem sehr schnell. Soweit ich weiß, funktionierte dasselbe Google Pay nach dem Frühjahrsupdate nie wieder auf gerooteten Geräten.
Anstatt der Ausgabe
Wenn Sie ein großes Unternehmen sind, sollten Sie über die Implementierung von UEM/EMM/MDM nachdenken. Aktuelle Trends deuten darauf hin, dass solche Systeme immer breitere Anwendung finden – von gesperrten iPads als Terminals in einer Konditorei bis hin zu großen Integrationen mit Lagerbasen und Kurierterminals. Ein zentraler Kontrollpunkt und die schnelle Integration oder Änderung von Mitarbeiterrollen bieten sehr große Vorteile.
Meine Post - [E-Mail geschützt]
Source: habr.com