Компания «Код безопасности» объявляет о получении сертификата соответствия Министерства обороны Российской Федерации на платформу для контроля и управления безопасностью мобильных устройств Secret MDM.
Продукт успешно прошел сертификационные испытания в Минобороны России. Полученный документ (СС №3703), действующий до 15 августа 2020 г., подтверждает, что Secret MDM соответствует требованиям приказа Министра обороны России 1996 года № 058.
Продукт сертифицирован по 4-му уровню контроля отсутствия недекларированных возможностей (НДВ) и по соответствию реальных и декларируемых в документации возможностей (РДВ).
Наличие данного сертификата позволяет применять Secret MDM в информационных системах предприятий оборонно-промышленного комплекса, подразделений и учреждений Вооруженных сил РФ и Министерства обороны РФ, воинских подразделений силовых министерств и ведомств.
Secret MDM – продукт для управления корпоративной мобильностью и защиты данных на мобильных устройствах из «облака» или в собственной инфраструктуре.
115230, Россия, Москва, 1-й Нагатинский проезд, д. 10, стр. 1.
15 декабря 2016 года компания «Код безопасности» объявила о выпуске продукта Secret MDM для управления корпоративной мобильностью и защиты данных на мобильных устройствах.
По данным проведенного компанией аналитического исследования корпоративной мобильности, пользователи недостаточно ответственно относятся к защите хранящихся и передаваемых с помощью устройств корпоративных данных, что делает мобильное устройство уязвимым для злоумышленников. Почти половина (48%) менеджеров сохраняют рабочую информацию на устройствах, но при этом на них не настроены политики безопасности, а на каждом третьем мобильном устройстве не установлен пароль на вход. В результате информацию могут легко перехватить злоумышленники, что приведет к потере конфиденциальных данных.
Для решения этих вопросов создано средство управления и защиты мобильных устройств Secret MDM. Продукт помогает централизованно устанавливать политики безопасности на десятки тысяч устройств и контролировать состояние их защищенности. В случае кражи или потери устройства команда администратора блокирует его, удаляет приложения с данными или полностью их уничтожает. Secret MDM поможет найти смартфон или планшет – отобразит его последние координаты.
Secret MDM поддерживает мобильные устройства на платформе Android, iOS. При отсутствии постоянного соединения с MDM-сервером политики безопасности продолжают действовать.
«Код безопасности» объявляет о выпуске продукта Secret MDM для управления корпоративной мобильностью и защиты данных на мобильных устройствах. Включение этого защитного средства в продуктовый портфель позволит компании занять новые рыночные ниши, а заказчикам – расширить возможности обеспечения безопасности на конечных устройствах, добавив к ним смартфоны и планшеты.
По данным проведенного «Кодом безопасности» аналитического исследования корпоративной мобильности, пользователи недостаточно ответственно относятся к защите хранящихся и передаваемых с помощью девайсов корпоративных данных, что делает мобильное устройство уязвимым для злоумышленников. Почти половина (48%) менеджеров сохраняют рабочую информацию на гаджетах, но при этом на них не настроены политики безопасности, а на каждом третьем мобильном устройстве не установлен пароль на вход. В результате информацию могут легко перехватить злоумышленники, что приведет к потере конфиденциальных данных.
Решить перечисленные проблемы призвано разработанное компанией «Код безопасности» средство управления и защиты мобильных устройств Secret MDM. Продукт позволяет централизованно устанавливать политики безопасности на десятки тысяч девайсов и контролировать состояние их защищенности. В случае кражи или потери устройства можно по команде администратора заблокировать его, удалить приложения с данными или полностью их затереть. Secret MDM поможет и в поиске потерянного смартфона или планшета – отобразит его последние координаты.
Secret MDM поддерживает мобильные устройства на базе как ОС Android, так и iOS. Еще одним преимуществом является отсутствие необходимости постоянного соединения гаджета с MDM-сервером: политики безопасности продолжают действовать даже при отключении от интернета.
О продукте Secret MDM Secret MDM – продукт для управления корпоративной мобильностью и защиты данных на мобильных устройствах из «облака» или в собственной инфраструктуре.
В связи с тем что мы работаем напрямую с поставщиками в иностранной валюте, цена считается специально для вас с учётом объёмов и индивидуальных характеристик.
Устройство используется при работе с мобильными корпоративными сетями. Позволяет обеспечить максимальную защиту данных на внутрисетевых устройствах, вне зависимости от их типа. Кроме того, обеспечивает сохранность «облачных» данных.
Функция слежения за всеми мобильными устройствами, которые используются для подключения к корпоративной сети
Автоматическая настройка параметров для работы и подключения к сетям Email, VPN
Принудительное использование паролей для получения доступа, запрет на подключение к точкам Wi-Fi, которые являются ненадежными
Возможность дистанционной блокировки и удаления содержимого при потере устройства, встроенные функции для определения местонахождения устройства
Установка приложений через корпоративный магазин, возможность запрета на установку ряда приложений
Работа с устройствами Android и Apple iOS
Возможности
START
SMART
SECURE PACK
Удаленная настройка сетевых подключений
+
+
+
Управление доступом и парольной защитой
+
+
+
Защита от утечки при утрате устройства
+
+
+
Настройка электронной почты (Exchange)
+
+
Управление приложениями
+
+
Контейнеризация корпоративных данных и приложений (требуется дополнительная лицензия Samsung KNOX)
+
+
Управление VPN-подключениями
+
Защищенный мессенджер и телефония (beta)
Secret MDM может быть развернут локально или доступен из «облака» компании «Код Безопасности». «Облачное» решение доступно по схеме SaaS (Software-as-a-Service) и не требует установки. Требования к локальному решению приведены ниже.
Когда говорят об MDM, который Mobile Device Management, все почему-то сразу представляют kill-switch, который дистанционно подрывает утерянный телефон по команде сотрудника ИБ. Нет, в целом это тоже есть, только без пиротехнических эффектов. Но есть ещё куча других рутинных задач, которые с MDM выполняются намного проще и безболезненнее.
Бизнес стремится к оптимизации и унификации процессов. И если раньше новому сотруднику приходилось идти в таинственный подвал с проводами и лампочками, где мудрые красноглазые старцы помогали настроить корпоративную почту на его Blackberry, то теперь MDM вырос до целой экосистемы, которая позволяет выполнять эти задачи в два клика. Будем говорить о безопасности, огуречно-смородиновой «Кока-Коле» и отличиях MDM от MAM, EMM и UEM. А ещё — о том, как удалённо наняться на работу по продаже пирожков.
Пятница в баре
Даже самые ответственные люди иногда отдыхают. И, как нередко это бывает, они забывают рюкзаки, ноутбуки и мобильные телефоны в кафе и барах. Самая большая проблема в том, что потеря этих устройств может обернуться дикой головной болью для отдела ИБ, если они содержат чувствительную для компании информацию. Сотрудники того же Apple умудрились отметиться как минимум дважды, потеряв вначале прототип iPhone 4, а затем — iPhone 5. Да, сейчас большинство мобильных телефонов идёт с шифрованием из коробки, но те же корпоративные ноутбуки далеко не всегда настраиваются с шифрованием жёсткого диска по умолчанию.
Плюс начали возникать такие угрозы, как целенаправленная кража корпоративных устройств с целью добычи ценных данных. Телефон зашифрован, всё максимально безопасно и всё такое. Вот только заметили ли вы камеру наблюдения, под которой вы разблокировали телефон перед тем, как его украли? С учётом потенциальной ценности данных на корпоративном устройстве такие модели угроз стали вполне реальны.
Вообще люди — те еще склеротики. Многие компании в США вынужденно начали относиться к ноутбукам как к расходникам, которые будут неизбежно забыты в баре, отеле или в аэропорту. Есть данные, что в тех же аэропортах США забывают около 12 000 ноутбуков каждую неделю, из которых минимум половина содержит конфиденциальную информацию без какой-либо защиты.
Всё это изрядно прибавило седых волос безопасникам и привело к разработке вначале MDM (Mobile Device Management). Затем появилась потребность в управлении жизненным циклом мобильных приложений на подконтрольных устройствах, и появились решения MAM (Mobile Application Management). Несколько лет назад они стали объединяться под общим названием EMM (Enterprise Mobility Management) — единая система для управления мобильными устройствами. Апогеем всей этой централизации являются решения UEM (Unified Endpoint Management).
Дорогая, мы купили зоопарк
Первыми начали появляться вендоры, которые предлагали решения для централизованного управления мобильными устройствами. Одна из самых известных компаний — Blackberry — до сих пор жива и неплохо себя чувствует. Даже в России присутствует и продаёт свои продукты, в основном для банковского сектора. На этот рынок также зашли SAP и разные компании поменьше вроде Good Technology, позже купленной тем же Blackberry. В это же время набирала популярность концепция BYOD, когда компании пытались экономить на том, что сотрудники таскали свои личные девайсы на работу.
Правда, очень быстро выяснилось, что техподдержка и ИБ уже вздрагивают от запросов вида «Как мне настроить MS Exchange на моем Arch Linux» и «Мне нужен прямой VPN до приватного Git-репозитория и продуктовой БД с моего MacBook». Без централизованных решений вся экономия на BYOD оборачивалась кошмаром в плане поддержания всего зоопарка. Компаниям нужно было, чтобы всё управление было автоматическим, гибким и безопасным.
В розничной торговле история развивалась немного иначе. Примерно лет 10 назад компании внезапно осознали, что появились мобильные устройства. Это раньше сотрудники сидели за тёплыми ламповыми мониторами, а где-то рядом незримо присутствовал бородатый обладатель свитера, заставлявший всё это работать. С появлением полноценных смартфонов функции редких специализированных КПК теперь можно перекладывать на обычное недорогое серийное устройство. Одновременно с этим пришло понимание, что этим зоопарком нужно как-то управлять, так как платформ много, и они все разные: Blackberry, iOS, Android, затем — Windows Phone. В масштабах крупной компании любые ручные телодвижения — это выстрел себе в ногу. Такой процесс съест ценные человеко-часы IT-подразделения и поддержки.
Вендоры в самом начале предлагали отдельные MDM-продукты для каждой платформы. Вполне типичной была ситуация, когда управлялись только смартфоны на iOS или на Android. Когда со смартфонами более или менее разобрались, выяснилось, что терминалами сбора данных на складе тоже надо как-то управлять. При этом вам очень нужно отправить нового сотрудника на склад, чтобы он просто отсканировал штрих-коды на нужных коробках и внёс эти данные в базу. Если у вас склады — по всей стране, то поддержка становилась весьма непростой. Надо каждое устройство подключить к Wi-Fi, установить приложение и обеспечить доступ к базе данных. С современными MDM, а точнее, EMM, вы берёте админа, выдаёте ему консоль управления и конфигурируете тысячи устройств с шаблонными сценариями из одного места.
Терминалы в McDonald’s
В рознице наблюдается интересная тенденция — уход от стационарных касс и точек оформления товара. Если раньше в том же М.Видео понравился чайник, то нужно было звать продавца и топать с ним через весь зал к стационарному терминалу. По дороге клиент успевал десять раз забыть, зачем шёл, и передумать. Терялся тот самый эффект импульсивной покупки. Сейчас MDM-решения позволяют продавцу сразу подойти с POS-терминалом и провести оплату. Система объединяет и конфигурирует терминалы склада и продавцов из одной консоли управления. В своё время одной из первых компаний, которая начала менять модель традиционной кассы, стал McDonald’s с его интерактивными панелями для самообслуживания и девушками с мобильными терминалами, которые принимали заказы прямо посреди очереди.
Burger King тоже начал развивать свою экосистему, добавив приложение, которое позволяло сделать заказ дистанционно, чтобы его приготовили заранее. Всё это объединялось в гармоничную сеть с управляемыми интерактивными стойками и мобильными терминалами у сотрудников.
Сам себе кассир
Многие продуктовые гипермаркеты снижают нагрузку на кассиров установкой касс самообслуживания. «Глобус» пошёл дальше. Они на входе предлагают взять терминал Scan&Go с интегрированным сканером, которым вы просто сканируете весь товар на месте, расфасовываете по пакетам и выходите, оплатив. Потрошить на кассе разложенные по пакетам продукты не нужно. Все терминалы также управляются централизованно и интегрируются как со складами, так и с другими системами. Некоторые компании пробуют аналогичные решения, интегрированные в тележку.
Тысяча вкусов
Продаём пирожки
Вся прелесть MDM/UEM-систем в том, что вы можете быстро масштабировать свой бизнес, подключая новых сотрудников дистанционно. Вы вполне можете организовать продажу условных пирожков в другом городе с полноценной интеграцией со своими системами в два клика. Выглядеть это будет примерно так.
Сотруднику привозят новое устройство. В коробке — бумажка с баркодом. Сканируем — устройство активируется, регистрируется в MDM, берёт прошивку, применяет и перезагружается. Пользователь вводит свои данные либо одноразовый токен. Всё. Теперь у вас есть новый сотрудник, который имеет доступ к корпоративной почте, данным по остаткам на складе, нужные приложения и интеграцию с мобильным платёжным терминалом. Человек приезжает на склад, забирает товар и везёт его непосредственным клиентам, принимая оплату с помощью этого же устройства. Почти как в стратегиях нанять пару новых юнитов.
Как это выглядит
Одна из самых функциональных систем UEM на рынке — VMware Workspace ONE UEM (бывший AirWatch). Она позволяет интегрироваться практически с любой мобильной и десктопной ОС и с ChromeOS. Даже Symbian был до недавнего времени. А ещё Workspace ONE поддерживает Apple TV.
Ещё один важный плюс. Apple позволяет только двум MDM, в том числе Workspace ONE, заранее поковыряться в API перед выпуском новой версии iOS. Всем в лучшем случае — за месяц, а им — за два.
Вы просто задаёте необходимые сценарии использования, подключаете девайс, и дальше оно работает, что называется, automagically. Прилетают политики, ограничения, предоставляются нужные доступы к внутренним сетевым ресурсам, заливаются ключи и устанавливаются сертификаты. Через несколько минут у нового сотрудника — уже полностью готовое для работы устройство, с которого непрерывно льётся необходимая телеметрия. Количество сценариев огромное начиная от блокировки камеры телефона в конкретной геолокации и заканчивая SSO по отпечатку пальца или лицу.
Админ конфигурирует лаунчер со всеми приложениями, которые прилетят пользователю.
Так же гибко настраиваются все возможные и невозможные параметры вроде размера иконок, запрета на их перемещение, запрета на иконку звонка и контактов. Такой функционал полезен при использовании Android-платформы в качестве интерактивного меню в ресторане и тому подобных задач.
Интересные решения есть и у других вендоров. Например, EMM SafePhone от НИИ СОКБ предоставляет сертифицированные решения для безопасной передачи голоса и сообщений с шифрованием и возможностью записи.
Рутованные телефоны
Головной болью для ИБ являются рутованные телефоны, где пользователь имеет максимальные права. Нет, чисто субъективно это идеальный вариант. Твой девайс должен давать тебе полные права на управление. К сожалению, это идёт вразрез с корпоративными задачами, которые требуют отсутствия у пользователя возможности влиять на корпоративное ПО. Например, он не должен иметь возможности залезть в защищённый раздел памяти с файлами или подсунуть фейковый GPS.
Поэтому все вендоры так или иначе стараются обнаруживать любые подозрительные активности на управляемом устройстве и блокировать доступ при обнаружении рут-прав или нестандартной прошивки.
В Android обычно полагаются на SafetyNet API. Время от времени тот же Magisk позволяет обойти его проверки, но, как правило, Google это очень быстро фиксит. Насколько мне известно, тот же Google Pay так и не заработал снова на рутованных девайсах после весеннего обновления.
Вместо вывода
Если вы крупная компания, то вам стоит задуматься о внедрении UEM/EMM/MDM. Современные тенденции говорят о том, что такие системы находят всё более широкое применение — от залоченных iPad в качестве терминалов в кондитерской до крупных интеграций со складскими базами и курьерскими терминалами. Единая точка управления и быстрая интеграция или смена роли сотрудника дают очень большие преимущества.
