Als ze het hebben over MDM, wat Mobile Device Management is, denkt iedereen om de een of andere reden onmiddellijk aan een kill-switch, die op bevel van een informatiebeveiligingsfunctionaris op afstand een verloren telefoon tot ontploffing brengt. Nee, over het algemeen is dit er ook, alleen dan zonder de pyrotechnische effecten. Maar er zijn nog veel meer routinetaken die met MDM veel eenvoudiger en pijnlozer kunnen worden uitgevoerd.
Het bedrijfsleven streeft ernaar processen te optimaliseren en te verenigen. En moest een nieuwe medewerker voorheen naar een mysterieuze kelder met draden en gloeilampen, waar wijze ouderen met rode ogen hielpen bij het opzetten van bedrijfsmail op zijn Blackberry, nu is MDM uitgegroeid tot een heel ecosysteem waarmee je deze taken in een handomdraai kunt uitvoeren. twee klikken. We zullen het hebben over veiligheid, komkommer-bessen Coca-Cola en de verschillen tussen MDM en MAM, EMM en UEM. En ook over hoe je een baan kunt krijgen door taarten op afstand te verkopen.
Vrijdag aan de bar
Zelfs de meest verantwoordelijke mensen nemen soms een pauze. En zoals vaak gebeurt, vergeten ze rugzakken, laptops en mobiele telefoons in cafés en bars. Het grootste probleem is dat het verlies van deze apparaten kan resulteren in enorme hoofdpijn voor de informatiebeveiligingsafdeling als ze gevoelige informatie voor het bedrijf bevatten. Medewerkers van dezelfde Apple slaagden erin minstens twee keer in te checken, waarbij ze eerst verloren , en dan - . Ja, nu worden de meeste mobiele telefoons standaard geleverd met encryptie, maar bedrijfslaptops zijn niet altijd standaard geconfigureerd met encryptie van de harde schijf.
Bovendien begonnen zich bedreigingen voor te doen, zoals gerichte diefstal van bedrijfsapparatuur om waardevolle gegevens te ontfutselen. De telefoon is gecodeerd, alles is zo veilig mogelijk en zo. Maar heeft u de bewakingscamera opgemerkt waarmee u uw telefoon ontgrendelde voordat deze werd gestolen? Gezien de potentiële waarde van gegevens op een bedrijfsapparaat zijn dergelijke dreigingsmodellen zeer reëel geworden.
Over het algemeen zijn mensen nog steeds sclerotisch. Veel bedrijven in de VS zijn gedwongen laptops te behandelen als verbruiksartikelen die onvermijdelijk zullen worden vergeten in een bar, hotel of luchthaven. Er zijn aanwijzingen dat dit op dezelfde Amerikaanse luchthavens gebeurt wekelijks, waarvan minstens de helft vertrouwelijke informatie bevat zonder enige bescherming.
Dit alles zorgde voor behoorlijk wat grijze haren bij beveiligingsprofessionals en leidde tot de eerste ontwikkeling van MDM (Mobile Device Management). Toen ontstond de behoefte aan levenscyclusbeheer van mobiele applicaties op gecontroleerde apparaten en verschenen MAM-oplossingen (Mobile Application Management). Enkele jaren geleden begonnen ze zich te verenigen onder de gemeenschappelijke naam EMM (Enterprise Mobility Management) - een enkel systeem voor het beheer van mobiele apparaten. Het hoogtepunt van al deze centralisatie zijn UEM-oplossingen (Unified Endpoint Management).
Schat, we hebben een dierentuin gekocht
De eersten die verschenen waren leveranciers die oplossingen aanboden voor gecentraliseerd beheer van mobiele apparaten. Een van de beroemdste bedrijven, Blackberry, leeft nog steeds en doet het goed. Zelfs in Rusland is het aanwezig en verkoopt het zijn producten, voornamelijk voor de banksector. SAP en diverse kleinere bedrijven zoals Good Technology, later overgenomen door dezelfde Blackberry, begaven zich ook op deze markt. Tegelijkertijd won het BYOD-concept aan populariteit, toen bedrijven probeerden te besparen op het feit dat werknemers hun persoonlijke apparaten meenamen naar het werk.
Toegegeven, het werd al snel duidelijk dat technische ondersteuning en informatiebeveiliging al huiverden bij verzoeken als "Hoe kan ik MS Exchange instellen op mijn Arch Linux" en "Ik heb een directe VPN nodig naar een privé Git-repository en productdatabase vanaf mijn MacBook. ” Zonder gecentraliseerde oplossingen veranderden alle besparingen op BYOD in een nachtmerrie als het gaat om het onderhoud van de hele dierentuin. Bedrijven hadden behoefte aan een geautomatiseerd, flexibel en veilig beheer.
In de detailhandel verliep het verhaal iets anders. Ongeveer tien jaar geleden realiseerden bedrijven zich plotseling dat mobiele apparaten eraan kwamen. Vroeger zaten medewerkers achter warme lampmonitoren en ergens in de buurt was de bebaarde eigenaar van de trui onzichtbaar aanwezig, waardoor het allemaal werkte. Met de komst van volwaardige smartphones kunnen de functies van zeldzame gespecialiseerde PDA's nu worden overgebracht naar een regulier, goedkoop serieel apparaat. Tegelijkertijd kwam het inzicht dat deze dierentuin op de een of andere manier beheerd moest worden, aangezien er veel platforms zijn, en ze zijn allemaal verschillend: Blackberry, iOS, Android en vervolgens Windows Phone. Op de schaal van een groot bedrijf zijn alle handmatige bewegingen een schot in de voet. Dit proces zal waardevolle IT- en ondersteunende manuren opslokken.
Leveranciers boden in het begin afzonderlijke MDM-producten aan voor elk platform. De situatie was vrij typerend toen alleen smartphones op iOS of Android werden bestuurd. Toen de smartphones min of meer op orde waren, bleek dat ook de dataverzamelterminals in het magazijn op de een of andere manier beheerd moesten worden. Tegelijkertijd moet je echt een nieuwe medewerker naar het magazijn sturen, zodat hij eenvoudig de barcodes op de benodigde dozen kan scannen en deze gegevens in de database kan invoeren. Als je magazijnen over het hele land hebt, wordt ondersteuning erg moeilijk. U moet elk apparaat verbinden met Wi-Fi, de applicatie installeren en toegang verlenen tot de database. Met moderne MDM, of preciezer gezegd, EMM, neem je een beheerder, geef hem een beheerconsole en configureer duizenden apparaten met sjabloonscripts vanaf één plek.
Terminals bij McDonald's
Er is een interessante trend in de detailhandel: een verschuiving van vaste kassa's en kassapunten. Als je eerder in dezelfde M.Video een waterkoker leuk vond, moest je de verkoper bellen en met hem door de hele hal naar de stationaire terminal stampen. Onderweg slaagde de cliënt erin tien keer te vergeten waarom hij ging en van gedachten te veranderen. Hetzelfde effect van een impulsieve aankoop ging verloren. Met MDM-oplossingen kan de verkoper nu onmiddellijk een betaalautomaat bedenken en een betaling uitvoeren. Het systeem integreert en configureert magazijn- en verkopersterminals vanuit één beheerconsole. Een van de eerste bedrijven die het traditionele kassamodel begon te veranderen, was ooit McDonald's met zijn interactieve zelfbedieningspanelen en meisjes met mobiele terminals die midden in de rij bestellingen opnamen.
Burger King begon ook zijn ecosysteem te ontwikkelen en voegde een applicatie toe die het mogelijk maakte om op afstand te bestellen en dit vooraf te laten bereiden. Dit alles werd gecombineerd tot een harmonieus netwerk met gecontroleerde interactieve stands en mobiele terminals voor medewerkers.
Je eigen kassamedewerker
Veel supermarkten verlichten de lasten voor kassamedewerkers door zelfbedieningskassa's te installeren. Globus ging verder. Bij de ingang bieden ze aan om een Scan&Go-terminal met geïntegreerde scanner mee te nemen, waarmee je eenvoudig ter plekke alle goederen scant, in zakken verpakt en na betaling vertrekt. Het is niet nodig om voedsel dat in zakken is verpakt bij de kassa te darmen. Alle terminals worden bovendien centraal beheerd en geïntegreerd met zowel magazijnen als andere systemen. Sommige bedrijven proberen soortgelijke oplossingen die in de winkelwagen zijn geïntegreerd.
Duizend smaken
Een apart probleem betreft de verkoopautomaten. Op dezelfde manier moet u de firmware ervan bijwerken en de overblijfselen van verbrande koffie en melkpoeder controleren. Bovendien wordt dit alles gesynchroniseerd met de terminals van het servicepersoneel. Van de grote bedrijven onderscheidde Coca-Cola zich in dit opzicht door een prijs van $ 10 uit te kondigen voor het meest originele drankrecept. In die zin stelde het gebruikers in staat de meest verslavende combinaties te combineren op merkapparaten. Als gevolg hiervan verschenen versies van gember-citroencola zonder suiker en vanille-perzik Sprite. Ze hebben nog niet de smaak van oorsmeer bereikt, zoals in Every Flavour Beans van Bertie Bott, maar ze zijn wel heel vastberaden. Alle telemetrie en de populariteit van elke combinatie worden zorgvuldig gecontroleerd. Dit alles kan ook worden geïntegreerd met de mobiele applicaties van gebruikers.
We wachten op nieuwe smaken.
Wij verkopen taarten
Het mooie van MDM/UEM-systemen is dat u uw bedrijf snel kunt opschalen door nieuwe medewerkers op afstand met elkaar te verbinden. U kunt eenvoudig de verkoop van voorwaardelijke taarten in een andere stad organiseren met volledige integratie met uw systemen in twee klikken. Het zal er ongeveer zo uitzien.
Er wordt een nieuw apparaat afgeleverd bij een medewerker. In de doos zit een stukje papier met een streepjescode. We scannen - het apparaat wordt geactiveerd, geregistreerd in MDM, neemt de firmware, past deze toe en start opnieuw op. De gebruiker voert zijn gegevens of een eenmalige token in. Alle. Nu heeft u een nieuwe medewerker die toegang heeft tot bedrijfsmail, gegevens over magazijnsaldi, de benodigde applicaties en integratie met een mobiele betaalterminal. Een persoon arriveert in het magazijn, haalt de goederen op en levert ze af aan directe klanten, waarbij hij de betaling met hetzelfde apparaat accepteert. Bijna zoals bij strategieën om een paar nieuwe eenheden in dienst te nemen.
Hoe het eruit ziet
Een van de meest capabele UEM-systemen op de markt is VMware Workspace ONE UEM (voorheen AirWatch). Hiermee kunt u integreren met bijna en met ChromeOS. Zelfs Symbian bestond tot voor kort. Workspace ONE ondersteunt ook Apple TV.
Nog een belangrijk pluspunt. Apple staat slechts twee MDM's, waaronder Workspace ONE, toe om aan de API te sleutelen voordat een nieuwe versie van iOS wordt uitgebracht. Voor iedereen, op zijn best, over een maand, en voor hen, over twee.
Je stelt simpelweg de benodigde gebruiksscenario’s in, sluit het apparaat aan en dan werkt het, zoals ze zeggen, automatisch. Beleid en beperkingen komen eraan, de nodige toegang tot interne netwerkbronnen wordt geboden, sleutels worden geüpload en certificaten worden geïnstalleerd. Binnen een paar minuten beschikt de nieuwe medewerker over een toestel dat helemaal klaar is voor werk, waaruit continu de nodige telemetrie stroomt. Het aantal scenario's is enorm, van het blokkeren van een telefooncamera op een specifieke geolocatie tot SSO met behulp van een vingerafdruk of gezicht.
De beheerder configureert het opstartprogramma met alle applicaties die bij de gebruiker aankomen.
Alle mogelijke en onmogelijke parameters zijn ook flexibel geconfigureerd, zoals de grootte van iconen, het bewegingsverbod, het verbod op de oproep- en contacticonen. Deze functionaliteit is handig bij gebruik van het Android-platform als interactief menu in een restaurant en soortgelijke taken.
Van de kant van de gebruiker ziet het er ongeveer zo uit
Andere leveranciers hebben ook interessante oplossingen. EMM SafePhone van het Wetenschappelijk Onderzoeksinstituut SOKB biedt bijvoorbeeld gecertificeerde oplossingen voor de veilige overdracht van spraak en berichten met encryptie- en opnamemogelijkheden.
Geroote telefoons
Een hoofdpijnpunt voor informatiebeveiliging zijn geroote telefoons, waarbij de gebruiker maximale rechten heeft. Nee, puur subjectief gezien is dit een ideale optie. Uw apparaat moet u volledige controlerechten geven. Helaas druist dit in tegen de bedrijfsdoelstellingen, die vereisen dat de gebruiker geen invloed heeft op bedrijfssoftware. Hij mag bijvoorbeeld niet in een beveiligd geheugengedeelte met bestanden kunnen komen of een nep-GPS kunnen plaatsen.
Daarom proberen alle leveranciers op de een of andere manier verdachte activiteiten op een beheerd apparaat te detecteren en de toegang te blokkeren als rootrechten of niet-standaard firmware worden gedetecteerd.
Android vertrouwt er meestal op . Van tijd tot tijd kunt u met Magisk de controles omzeilen, maar in de regel lost Google dit zeer snel op. Voor zover ik weet, is dezelfde Google Pay na de voorjaarsupdate nooit meer gaan werken op geroote apparaten.
In plaats van output
Als u een groot bedrijf bent, moet u overwegen om UEM/EMM/MDM te implementeren. De huidige trends geven aan dat dergelijke systemen steeds vaker worden gebruikt - van vergrendelde iPads als terminals in een zoetwarenwinkel tot grote integraties met magazijnbases en koeriersterminals. Eén enkel controlepunt en snelle integratie of verandering van werknemersrollen bieden zeer grote voordelen.
Mijn mail - [e-mail beveiligd]
Bron: www.habr.com