Als we het over MDM hebben (Mobile Device Management), dan denkt iedereen meteen aan een kill switch waarmee je op afstand een verloren telefoon kunt opblazen, op commando van een functionaris voor informatiebeveiliging. Nee, over het algemeen is dit ook zo, alleen dan zonder de pyrotechnische effecten. Er zijn echter nog veel meer routinematige taken die veel eenvoudiger en pijnlozer met MDM kunnen worden uitgevoerd.
Bedrijven streven ernaar processen te optimaliseren en te verenigen. En waar een nieuwe werknemer voorheen nog naar een mysterieuze kelder met draden en gloeilampen moest, waar wijze, roodogige oude mannen hem hielpen met het instellen van de zakelijke e-mail op zijn Blackberry, is MDM nu uitgegroeid tot een heel ecosysteem waarmee je deze taken met twee klikken kunt uitvoeren. We praten over veiligheid, komkommer-bessen Coca-Cola en de verschillen tussen MDM, MAM, EMM en UEM. En ook over hoe je op afstand een baan kunt krijgen om taarten te verkopen.
Vrijdag aan de bar
Zelfs de meest verantwoordelijke mensen nemen soms een pauze. En het gebeurt wel vaker dat ze hun rugzak, laptop en mobiele telefoon vergeten in cafés en bars. Het grootste probleem is dat het verlies van deze apparaten een enorme hoofdpijn voor de afdeling informatiebeveiliging kan opleveren, vooral als ze gevoelige informatie voor het bedrijf bevatten. De medewerkers van datzelfde Apple-bedrijf slaagden erin om minstens twee keer in te checken, nadat ze eerst hun wachtwoord waren kwijtgeraakt , en dan - . Ja, de meeste mobiele telefoons worden tegenwoordig standaard geleverd met encryptie, maar dezelfde zakelijke laptops zijn niet altijd standaard geconfigureerd met harde schijf-encryptie.
Bovendien duiken er steeds meer bedreigingen op, zoals de gerichte diefstal van bedrijfsapparaten om waardevolle gegevens te buitmaken. De telefoon is versleuteld, alles is zo veilig mogelijk en zo. Maar heb je ook de beveiligingscamera gezien waarmee je je telefoon ontgrendelde voordat deze werd gestolen? Gezien de potentiële waarde van gegevens op een zakelijk apparaat, zijn dergelijke dreigingsmodellen zeer reëel geworden.
Over het algemeen zijn mensen behoorlijk sclerotisch. Veel bedrijven in de VS zien zich genoodzaakt om laptops te behandelen als verbruiksartikelen die onvermijdelijk worden vergeten in een bar, hotel of op de luchthaven. Er is informatie dat op dezelfde Amerikaanse luchthavens wekelijks, waarvan minstens de helft vertrouwelijke informatie zonder enige beveiliging bevat.
Dit alles zorgde ervoor dat beveiligingsprofessionals grijze haren kregen en leidde tot de ontwikkeling van MDM (Mobile Device Management). Vervolgens ontstond de behoefte om de levenscyclus van mobiele applicaties op gecontroleerde apparaten te beheren. In die tijd ontstonden MAM-oplossingen (Mobile Application Management). Enkele jaren geleden zijn ze samengegaan onder de gemeenschappelijke naam EMM (Enterprise Mobility Management): een uniform systeem voor het beheer van mobiele apparaten. Het toppunt van al deze centralisatie zijn UEM-oplossingen (Unified Endpoint Management).
Schat, we hebben een dierentuin gekocht
De eerste leveranciers die op de markt kwamen, boden oplossingen aan voor gecentraliseerd beheer van mobiele apparaten. Eén van de bekendste bedrijven, Blackberry, is nog steeds springlevend. Het bedrijf is zelfs aanwezig in Rusland en verkoopt daar producten, voornamelijk aan de bankensector. SAP en verschillende kleinere bedrijven, zoals Good Technology (dat later door Blackberry werd overgenomen), betraden ook deze markt. Tegelijkertijd werd het BYOD-concept steeds populairder, omdat bedrijven probeerden geld te besparen door hun medewerkers hun persoonlijke apparaten mee naar het werk te laten nemen.
Het werd al snel duidelijk dat de technische ondersteuning en informatiebeveiliging al wankelden door vragen als: "Hoe kan ik MS Exchange installeren op mijn Arch Linux?" en "Ik heb een directe VPN nodig naar een privé Git-repository en productdatabase vanaf mijn MacBook." Zonder gecentraliseerde oplossingen waren de besparingen die BYOD met zich meebracht, een nachtmerrie voor het onderhoud van de hele dierentuin. Bedrijven hadden behoefte aan automatisch, flexibel en veilig beheer.
In de detailhandel verliep het verhaal iets anders. Ongeveer 10 jaar geleden realiseerden bedrijven zich plotseling dat mobiele apparaten bestonden. Vroeger zaten werknemers achter warme buismonitoren en ergens dichtbij, onzichtbaar, zat een bebaarde eigenaar van een trui, die ervoor zorgde dat het allemaal werkte. Met de komst van volwaardige smartphones kunnen de functies van zeldzame, gespecialiseerde PDA's nu worden overgebracht naar een regulier, goedkoop, massaal geproduceerd apparaat. Tegelijkertijd ontstond het besef dat deze dierentuin op een of andere manier beheerd moest worden. Er waren immers veel verschillende platforms: Blackberry, iOS, Android en Windows Phone. Bij een groot bedrijf is iedere handmatige handeling een schot in de voet. Een dergelijk proces kost kostbare IT- en ondersteuningsuren.
Leveranciers boden aanvankelijk aparte MDM-producten voor elk platform aan. Dit was een vrij typische situatie toen alleen smartphones met iOS of Android werden aangestuurd. Nadat we de smartphones een beetje onder de knie hadden, werd het duidelijk dat de dataverzamelingsterminals in het magazijn ook op een of andere manier beheerd moesten worden. Tegelijkertijd is het echt nodig om een nieuwe medewerker naar het magazijn te sturen, die alleen nog maar de barcodes op de benodigde dozen scant en deze gegevens in de database invoert. Als je magazijnen verspreid over het hele land hebt, wordt ondersteuning lastiger. Elk apparaat moet verbonden zijn met wifi, de applicatie moet geïnstalleerd zijn en er moet toegang tot de database zijn. Met moderne MDM, of preciezer EMM, neemt u een beheerder, geeft u hem een beheerconsole en configureert u duizenden apparaten met sjabloonscenario's vanaf één plek.
Terminals bij McDonald's
In de detailhandel is een interessante trend zichtbaar: er wordt minder gebruikgemaakt van vaste kassa’s en verkooppunten. Als je eerder een theepot in M.Video mooi vond, moest je de verkoper bellen en met hem de hele hal doorlopen naar de vaste terminal. Onderweg vergat de klant tien keer zijn reden van vertrek en veranderde zo van gedachten. Het effect van impulsaankopen ging verloren. Dankzij MDM-oplossingen kan de verkoper nu direct met een POS-terminal naar de winkel lopen en betalen. Het systeem integreert en configureert magazijn- en verkoopterminals vanuit één beheerconsole. Eén van de eerste bedrijven die het traditionele kassamodel begon te veranderen, was McDonald's. Het bedrijf kwam met interactieve zelfbedieningspanelen en dames met mobiele terminals die midden in de rij de bestellingen opnamen.
Burger King begon ook met de ontwikkeling van zijn ecosysteem door een app toe te voegen waarmee je op afstand kon bestellen en je bestelling van tevoren kon laten bereiden. Dit alles werd samengevoegd in een harmonieus netwerk met aangestuurde interactieve stands en mobiele terminals voor medewerkers.
Wees je eigen kassier
Veel hypermarkten verminderen de werklast van kassiers door zelfscankassa's te installeren. "Globus" ging nog een stap verder. Bij de ingang kunt u een Scan&Go-terminal met geïntegreerde scanner gebruiken, waarmee u ter plekke alle goederen scant, in tassen verpakt en na het afrekenen weer vertrekt. Bij de kassa hoeft u de producten die in de zakken zitten, niet uit te kleden. Alle terminals worden bovendien centraal beheerd en geïntegreerd met zowel magazijnen als andere systemen. Sommige bedrijven proberen vergelijkbare oplossingen in de winkelwagen te integreren.
Duizend smaken
Verkoopautomaten zijn een verhaal apart. Ook de firmware moet worden bijgewerkt en er moet worden gecontroleerd op aangebrande koffie en melkresten. Bovendien synchroniseert u dit alles met de terminals van het servicepersoneel. Onder de grote bedrijven onderscheidde Coca-Cola zich op dit gebied door een prijs van $ 10 uit te loven voor het meest originele drankrecept. In de zin dat het gebruikers de mogelijkheid bood om de meest verslavende combinaties te mixen op merkapparaten. Het resultaat was suikervrije gember-citroen cola en vanille-perzik Sprite. Ze hebben de oorsmeersmaak van Bertie Bott's Every Flavor Beans nog niet geproefd, maar ze zijn behoorlijk vastberaden. Alle telemetrie en de populariteit van elke combinatie worden nauwlettend in de gaten gehouden. Dit alles integreert ook met de mobiele applicaties van gebruikers.
Wij wachten op nieuwe smaken.
Wij verkopen taarten
Het mooie van MDM/UEM-systemen is dat u uw bedrijf snel kunt opschalen door nieuwe medewerkers op afstand aan te sluiten. Met twee klikken regelt u eenvoudig de verkoop van conventionele taarten in een andere stad, dankzij volledige integratie met uw eigen systemen. Het ziet er ongeveer zo uit.
Er wordt een nieuw apparaat afgeleverd bij een medewerker. Er zit een stukje papier met een streepjescode in de doos. Wij scannen: het apparaat wordt geactiveerd, geregistreerd in MDM, download de firmware, installeert deze en start opnieuw op. De gebruiker voert zijn gegevens of een eenmalig token in. Alle. U heeft nu een nieuwe medewerker die toegang heeft tot bedrijfs-e-mail, magazijnbalansgegevens, de benodigde applicaties en integratie met een mobiele betaalterminal. Een medewerker arriveert bij het magazijn, haalt de goederen op en brengt ze rechtstreeks naar de klant. Vervolgens accepteert hij/zij de betaling via hetzelfde apparaat. Net als bij strategiespellen: er worden een paar nieuwe eenheden aangenomen.
Hoe het eruit ziet
Een van de meest functionele UEM-systemen op de markt is VMware Workspace ONE UEM (voorheen AirWatch). Het maakt integratie mogelijk met bijna en met ChromeOS. Zelfs Symbian bestond tot voor kort. Workspace ONE ondersteunt ook Apple TV.
Nog een belangrijk pluspunt. Apple staat slechts twee MDM's, waaronder Workspace ONE, toe om in de API rond te snuffelen voorafgaand aan een nieuwe iOS-release. In het beste geval zal het iedereen een maand kosten, maar voor hen duurt het twee.
U stelt simpelweg de gewenste gebruiksscenario's in, sluit het apparaat aan en vervolgens werkt het, zoals ze dat noemen, automatisch. Er worden beleidsregels en beperkingen ingevoerd, de benodigde toegang tot interne netwerkbronnen wordt verleend, sleutels worden geüpload en certificaten worden geïnstalleerd. Binnen enkele minuten beschikt de nieuwe medewerker over een volledig gebruiksklaar toestel, van waaruit continu de benodigde telemetrie stroomt. Het aantal scenario's is enorm: van het blokkeren van de telefooncamera op een specifieke geolocatie tot en met SSO via vingerafdruk of gezicht.
De beheerder configureert de launcher met alle applicaties die bij de gebruiker binnenkomen.
Ook alle mogelijke en onmogelijke parameters, zoals de grootte van de iconen, het verbod op hun beweging, het verbod op het oproepicoon en contacten, zijn flexibel geconfigureerd. Deze functionaliteit is handig als u het Android-platform gebruikt als interactief menu in een restaurant en vergelijkbare taken.
Vanuit de kant van de gebruiker ziet het er ongeveer zo uit 
Andere leveranciers hebben ook interessante oplossingen. Zo biedt EMM SafePhone van het Research Institute of Security and Safety gecertificeerde oplossingen voor veilige spraak- en berichtoverdracht met encryptie en opnamemogelijkheden.
Geroote telefoons
Een hoofdpijndossier voor informatiebeveiliging vormen geroote telefoons, waarbij de gebruiker de meeste rechten heeft. Nee, puur subjectief gezien is dit de ideale optie. Uw apparaat moet u volledige controlerechten geven. Helaas staat dit haaks op de doelstellingen van het bedrijf, die vereisen dat de gebruiker geen invloed mag hebben op de bedrijfssoftware. Hij zou bijvoorbeeld niet in het beveiligde geheugengedeelte met bestanden kunnen komen of een nep-GPS kunnen invoeren.
Daarom proberen alle leveranciers op de een of andere manier verdachte activiteiten op het bestuurde apparaat te detecteren en de toegang te blokkeren wanneer root-rechten of niet-standaardfirmware worden gedetecteerd.
Android vertrouwt meestal op . Af en toe biedt Magisk de mogelijkheid om de controles te omzeilen, maar over het algemeen lost Google dit snel op. Voor zover ik weet heeft Google Pay na de voorjaarsupdate nooit meer gewerkt op geroote apparaten.
In plaats van output
Werkt u bij een groot bedrijf? Dan moet u overwegen om UEM/EMM/MDM te implementeren. Huidige trends geven aan dat dergelijke systemen steeds breder worden toegepast: van vergrendelde iPads als terminals in een banketbakkerij tot grootschalige integraties met magazijnen en koeriersterminals. Eén centraal controlepunt en snelle integratie of verandering van werknemersrol leveren grote voordelen op.
Mijn e-mailadres is SVinogradskiy@croc.ru
Bron: www.habr.com
