Scarica - Gabriele-Pellegrinetti.it
Download
Report
Transcript Scarica - Gabriele-Pellegrinetti.it
Mobile Device Management
&
BYOD
Gabriele Pellegrinetti
[email protected]
1
Agenda
• Terminologia
• L’introduzione di mobile device in
azienda
• Perché serve BYOD
• Problematiche di sicurezza e privacy
• Alcune linee guida
• Possibile soluzione BYOD
2
Nuovi termini... Vecchi problemi
• Alcuni anni fa i dipendenti delle aziende iniziarono a portare i propri PC in
ufficio e ad utilizzarli sul posto di lavoro --> si parlava di BYOC o BYOPC;
• Successivamente iniziarono ad utilizzare le proprie "chiavette" internet
per accedere alla rete e per "superare" i firewall aziendali --> si parlava
di BYON;
• Oggi i dipendenti usano, con o senza il consenso dell'azienda i propri
smartphone, tablet, eBook reader, media player... E li connettono alla
rete aziendale --> si parla di BYOD;
• L'acquisto, in massa, di dispositivi informatici da parte dell'utente e il loro
utilizzo, anche in ambiente lavorativo, prende il nome di IT
Consumerization;
• Oggi, la maggior parte degli esperti, considera BYON come parte
integrante di BYOD;
• Le pratiche utilizzate dalle aziende per l'implementazione di BYOC non
sono più sufficienti per BYOD.
3
Introduzione di mobile device in azienda
• Le aziende possono adottare diverse
strategie per l'introduzione e l'utilizzo di
mobile device sul luogo di lavoro:
• dispositivi di proprietà dell'azienda;
• dispositivi di proprietà dell'utente utilizzabili sul luogo di
lavoro (BYOD);
• un approccio ibrido fra i due precedenti.
• Gli strumenti, le best practices, le tecnologie atte a gestire i
mobile device, sono gli stessi sia nel caso di dispositivi di
proprietà dell'azienda che nel caso di dispositivi di proprietà
dell'utente.
• Quello che cambia sono le policy da applicare.
4
BYOD... No grazie
• Molte aziende non si sentono pronte per BYOD e decidono di
utilizzare solo dispositivi di proprietà...
• ... Quindi:
• non prevedono l'introduzione di BYOD;
• Posticipano ad un tempo futuro l'introduzione di BYOD;
• dicono di non fare BYOD.
• FALSO!!!!
• Tutte le aziende, solo per il fatto che gli utenti possano
introdurre al loro interno device di loro proprietà, sono
soggette all'applicazione di alcune pratiche BYOD;
• nella realtà, le aziende, fanno BYOD in modo
inconsapevole.
5
BYOD – i 2/3 degli impiegati lo fa
• Da un'analisi emerge che il 55% degli
impiegati europei utilizza regolarmente
dispositivi personali per scopi di lavoro;
• in Italia lo fa il 67%.
• i device utilizzati?
• 36% dei casi si tratta di iPhone;
• 24% di altri smartphone (android in primis);
• per il 23% sono iPad;
• e i restanti sono BlackBerry.
http://searchnetworking.techtarget.it/il-byod-2-3-degli-impiegati-lo-fa/0,1254,19_ART_149146,00.html
6
Perché è necessario considerare alcune pratiche
BYOD
• Se all'utente è consentito introdurre i propri device in azienda,
potrebbe:
• trovare il modo di connettere il proprio device al WI-FI aziendale;
• connettere il device alla porta USB del PC di lavoro per ricaricare le batterie;
• connettere il device alla porta USB del PC di lavoro per fare vedere al collega le
ultime foto scattate al figlioletto;
• connettere il device al PC di lavoro per trasferire dati e documenti;
• utilizzare il device per connettere il PC di lavoro ad Internet in modo da superare
eventuali blocchi del firewall;
• sproteggere il dispositivo (jailbreak o rootacces) sia di proprietà che aziendale;
• ...
• Ognuna di queste pratiche è una violazione alla sicurezza
aziendale in quanto avvengono all'interno del perimetro della
stessa e possono aprire delle vie di comunicazione non
controllate con l'esterno.
• Gestire queste problematiche fa parte di BYOD.
7
In ogni caso, sia con device aziendali che con
BYOD si corre il rischio di perdere il controllo
8
Cosa serve per gestire i dispositivi
• Indipendentemente dall'utilizzo di dispositivi aziendali e/o
personali, questi devono essere gestiti:
• stesura di un manuale "etico" per l'utilizzo dei dispositivi;
• formazione degli utenti sui rischi di sicurezza legati all'utilizzo dei
dispositivi;
• gestione di un repository dei dispositivi e delle applicazioni;
• gestione delle policy di sicurezza, aggiornamento,...
• introduzione di sistemi di rilevamento (IDS) di violazione alla sicurezza;
• introduzione di un processo per lo sviluppo di applicazioni sicure (sia web
che native);
• introdurre un processo di testing delle applicazioni e delle configurazioni da
eseguire prima della loro propagazione sui device (complementare al
normale processo di testing);
• introdurre sistemi di mobile security (antivirus, antimalware, antiintrusion,...);
• introdurre un processo di data & disaster recovery.
9
Un manuale etico... Soldi sprecati? E la formazione
sulla sicurezza?
• Poche aziende hanno un manuale etico per l'utilizzo dei
sistemi informativi... Anche se "suggerito" dalle normative;
• la tecnologia non può "risolvere" tutti i problemi di sicurezza
relativi ai mobile device;
• è quindi necessario istruire l'utente:
• sui comportamenti da adottare quando si usa un dispositivo aziendale al di
fuori dell'azienda;
• sui comportamenti da adottare quando si introducono dispositivi personali
in azienda;
• quali sono i principali rischi di sicurezza;
• cosa può accadere se si adottano comportamenti errati;
• quali sanzioni sono previste dalla legge;
• come evitare di "compromettere" il proprio dispositivo e/o i sistemi
aziendali;
• ...
10
Introduzione di un reporitory
• In azienda lavorano utenti:
• con ruoli differenti;
• che hanno esigenze di mobility differenti;
• che richiedono applicazioni differenti.
• Un'azienda può:
• fornire lo stesso device con configurazioni differenti a seconda del ruolo dell'utente;
• fornire device differenti a seconda del ruolo dell'utente;
• usare soluzioni ibride.
• È quindi necessario:
•
•
•
•
•
•
avere un censimento dei dispositivi;
avere un censimento delle applicazioni disponibili;
avere un censimento delle configurazioni (intese come applicazioni e settings);
gestire le associazioni profilo-device-configurazione;
gestire l'upgrade controllato dei firmware, dei settings, delle applicazioni,..
gestire le policy di utilizzo dei dispositivi.
• Serve quindi un repository per il Mobile Device Management.
11
Le policy di sicurezza
• L'utilizzo di un dispositivo deve essere gestito tramite policy:
• sul dispositivo;
• a livello di rete aziendale.
• Le policy definiscono cosa è consentito o meno:
•
•
•
•
a
a
a
a
seconda
seconda
seconda
seconda
del profilo dell'utente;
del dispositivo utilizzato;
della connessione utilizzata (3g personale, 3g aziendale, wifi, ...);
del perimetro (sono connesso alla rete aziendale, sono a casa,...);
• Cosa devono controllare:
•
•
•
•
le applicazioni consentite e quelle vietate;
le risorse a cui è possibile accedere;
i servizi web consentiti;
...
• Non tutte le policy sono implementabili con strumenti di MDM... È
necessario integrare tali strumenti con altri (firewall, IDS,...)
12
Le tecnologie
• In ambito mobile non esistono tecnologie universali;
• se un vendor dice che il suo prodotto può gestire ogni
aspetto di BYOD e MDM... Mente spudoratamente;
• un'azienda deve selezionare, in base ai requisiti
presenti e futuri, la/le tecnologie più adatti per:
• implementare i repository;
• gestire le policy "interne" ai dispositivi;
• gestire le policy a livello di rete;
• rilevare le intrusioni;
• gestire l'installazione automatica del software e degli
upgrade;
13
Sviluppo di applicazioni sicure
• I device mobile non sono sicuri;
• quando viene individuata una vulnerabilità, se va bene, viene
risolta con il rilascio della nuova versione del firmware (1-3 rilasci
l'anno);
• spesso le nuove release del firmware non supportano i device più
vecchi (un device ha una vita media di un anno);
• le aziende devono, quindi, provvedere ad evitare che le
applicazioni da esse sviluppate possano essere soggette a
vulnerabilità;
• un'applicazione non sicura "apre" le porte dell'azienda a eventuali
attacchi;
• devono quindi essere adottate:
• best practices per lo sviluppo di applicazioni mobili sicure;
• test di verifica della qualità del codice per escludere o
minimizzare la presenza di falle (injection, XSS, ...).
14
Un nuovo processo di testing
• Le configurazioni (firmware, setting, policy, applicazioni,...) devono
essere testate prima della propagazione sui dispositivi:
• test di corretto funzionamento;
• verifica di presenza di incompatibilità con la versione del firmware o con altre applicazioni;
• verifica di cosa fa realmente l'applicazione (per le applicazioni acquistate o di terze parti):
•
•
•
•
accedono a funzioni non dichiarate (gps, contatti, fotocamera,...)?
si connettono a server o servizi esterni di cui non necessitano?
trasmettono o memorizzano dati riservati senza consenso?
...
• gli strumenti da utilizzare richiedono nuove competenze:
•
•
•
•
analisi dei pacchetti di installazione;
analisi a runtime dei folder delle applicazioni;
sniffing del traffico dati fra il dispositivo e la rete;
...
• ovviamente queste attività devono essere fatte su un apposito ambiente
di test e non sui dispositivi assegnati agli utenti (è illegale senza il loro
consenso).
15
Il mobile è il nuovo vettore di attacco utilizzato per
violare la sicurezza delle aziende
16
Utilizzo di strumenti di mobile security
• Gli attacchi su mobile, spesso portati a buon fine grazie all'installazione
di malware sui dispositivi sono in aumento.
• Compromettere un device vuol dire compromettere la rete a cui esso è
connesso.
• È indispensabile introdurre in azienda strumenti per l'individuazione di
malware e altre minacce.
Attacchi riusciti su mobile device nel 2012
Distribuzione del malware (fonte ESET)
17
Data & disaster recovery
• La creazione di una corretta configurazione dei device e le politiche di
sicurezza adottate, non possono nulla contro eventi inattesi come:
• il guasto del dispositivo;
• il danneggiamento di dati e configurazioni dovuti a cadute di rete, di tensione, scaricamento
delle batterie (es. durante un upgrade);
• allo stesso modo, un'attaccante potrebbe modificare dati e configurazioni
sul dispositivo in modo da garantirsi l'accesso alla rete.
• È quindi opportuno attuare un processo di data e disaster recovery che
consenta:
il backup dei dati importanti memorizzati sul dispositivo;
il backup dell'ultima installazione/configurazione valida;
il ripristino del dispositivo all'ultima configurazione stabile;
la gestione della sicurezza del repository e dei dati in esso contenuti con ripristino dello
stesso in caso di violazioni (se il repository viene violato... Tutti i dispositivi sono violati);
• ...
•
•
•
•
18
Schema, ad alto livello, di una soluzione MDM per
dispositivi aziendali e/o BYOD
Processo di governance!
19
Grazie per l'attenzione
20