Download - Mobile Device Management And BYOD

Transcript
Page 1: Mobile Device Management And BYOD

Mobile Device Management &

BYOD

1!

Gabriele Pellegrinetti [email protected]

Page 2: Mobile Device Management And BYOD

Agenda • Terminologia • L’introduzione di mobile device in

azienda • Perché serve BYOD • Problematiche di sicurezza e privacy • Alcune linee guida • Possibile soluzione BYOD

2!

Page 3: Mobile Device Management And BYOD

Nuovi termini... Vecchi problemi

•  Alcuni anni fa i dipendenti delle aziende iniziarono a portare i propri PC in ufficio e ad utilizzarli sul posto di lavoro --> si parlava di BYOC o BYOPC;

•  Successivamente iniziarono ad utilizzare le proprie "chiavette" internet per accedere alla rete e per "superare" i firewall aziendali --> si parlava di BYON;

•  Oggi i dipendenti usano, con o senza il consenso dell'azienda i propri smartphone, tablet, eBook reader, media player... E li connettono alla rete aziendale --> si parla di BYOD;

•  L'acquisto, in massa, di dispositivi informatici da parte dell'utente e il loro utilizzo, anche in ambiente lavorativo, prende il nome di IT Consumerization;

•  Oggi, la maggior parte degli esperti, considera BYON come parte integrante di BYOD;

•  Le pratiche utilizzate dalle aziende per l'implementazione di BYOC non sono più sufficienti per BYOD.

3!

Page 4: Mobile Device Management And BYOD

Introduzione di mobile device in azienda

•  Le aziende possono adottare diverse strategie per l'introduzione e l'utilizzo di mobile device sul luogo di lavoro: • dispositivi di proprietà dell'azienda; • dispositivi di proprietà dell'utente utilizzabili sul luogo di

lavoro (BYOD); • un approccio ibrido fra i due precedenti.

•  Gli strumenti, le best practices, le tecnologie atte a gestire i mobile device, sono gli stessi sia nel caso di dispositivi di proprietà dell'azienda che nel caso di dispositivi di proprietà dell'utente.

•  Quello che cambia sono le policy da applicare.

4!

Page 5: Mobile Device Management And BYOD

BYOD... No grazie

•  Molte aziende non si sentono pronte per BYOD e decidono di utilizzare solo dispositivi di proprietà...

•  ... Quindi: •  non prevedono l'introduzione di BYOD; •  Posticipano ad un tempo futuro l'introduzione di BYOD; •  dicono di non fare BYOD.

•  FALSO!!!! • Tutte le aziende, solo per il fatto che gli utenti possano

introdurre al loro interno device di loro proprietà, sono soggette all'applicazione di alcune pratiche BYOD;

• nella realtà, le aziende, fanno BYOD in modo inconsapevole.

5!

Page 6: Mobile Device Management And BYOD

BYOD – i 2/3 degli impiegati lo fa

•  Da un'analisi emerge che il 55% degli impiegati europei utilizza regolarmente dispositivi personali per scopi di lavoro;

•  in Italia lo fa il 67%. •  i device utilizzati?

•  36% dei casi si tratta di iPhone; •  24% di altri smartphone (android in

primis); •  per il 23% sono iPad; •  e i restanti sono BlackBerry.

6

http://searchnetworking.techtarget.it/il-byod-2-3-degli-impiegati-lo-fa/0,1254,19_ART_149146,00.html!

Page 7: Mobile Device Management And BYOD

Perché è necessario considerare alcune pratiche BYOD •  Se all'utente è consentito introdurre i propri device in

azienda, potrebbe: •  trovare il modo di connettere il proprio device al WI-FI aziendale; •  connettere il device alla porta USB del PC di lavoro per ricaricare le batterie; •  connettere il device alla porta USB del PC di lavoro per fare vedere al collega le

ultime foto scattate al figlioletto; •  connettere il device al PC di lavoro per trasferire dati e documenti; •  utilizzare il device per connettere il PC di lavoro ad Internet in modo da

superare eventuali blocchi del firewall; •  sproteggere il dispositivo (jailbreak o rootacces) sia di proprietà che aziendale; •  ...

•  Ognuna di queste pratiche è una violazione alla sicurezza aziendale in quanto avvengono all'interno del perimetro della stessa e possono aprire delle vie di comunicazione non controllate con l'esterno.

•  Gestire queste problematiche fa parte di BYOD.

7!

Page 8: Mobile Device Management And BYOD

In ogni caso, sia con device aziendali che con BYOD si corre il rischio di perdere il controllo

8!

Page 9: Mobile Device Management And BYOD

Cosa serve per gestire i dispositivi

•  Indipendentemente dall'utilizzo di dispositivi aziendali e/o personali, questi devono essere gestiti: •  stesura di un manuale "etico" per l'utilizzo dei dispositivi; •  formazione degli utenti sui rischi di sicurezza legati all'utilizzo dei

dispositivi; •  gestione di un repository dei dispositivi e delle applicazioni; •  gestione delle policy di sicurezza, aggiornamento,... •  introduzione di sistemi di rilevamento (IDS) di violazione alla sicurezza; •  introduzione di un processo per lo sviluppo di applicazioni sicure (sia web

che native); •  introdurre un processo di testing delle applicazioni e delle configurazioni

da eseguire prima della loro propagazione sui device (complementare al normale processo di testing);

•  introdurre sistemi di mobile security (antivirus, antimalware, anti-intrusion,...);

•  introdurre un processo di data & disaster recovery.

9!

Page 10: Mobile Device Management And BYOD

Un manuale etico... Soldi sprecati? E la formazione sulla sicurezza? •  Poche aziende hanno un manuale etico per l'utilizzo dei

sistemi informativi... Anche se "suggerito" dalle normative;

•  la tecnologia non può "risolvere" tutti i problemi di sicurezza relativi ai mobile device;

•  è quindi necessario istruire l'utente: •  sui comportamenti da adottare quando si usa un dispositivo aziendale al

di fuori dell'azienda; •  sui comportamenti da adottare quando si introducono dispositivi

personali in azienda; •  quali sono i principali rischi di sicurezza; •  cosa può accadere se si adottano comportamenti errati; •  quali sanzioni sono previste dalla legge; •  come evitare di "compromettere" il proprio dispositivo e/o i sistemi

aziendali; •  ...

10!

Page 11: Mobile Device Management And BYOD

Introduzione di un reporitory

•  In azienda lavorano utenti: •  con ruoli differenti; •  che hanno esigenze di mobility differenti; •  che richiedono applicazioni differenti.

•  Un'azienda può: •  fornire lo stesso device con configurazioni differenti a seconda del ruolo dell'utente; •  fornire device differenti a seconda del ruolo dell'utente; •  usare soluzioni ibride.

•  È quindi necessario: •  avere un censimento dei dispositivi; •  avere un censimento delle applicazioni disponibili; •  avere un censimento delle configurazioni (intese come applicazioni e settings); •  gestire le associazioni profilo-device-configurazione; •  gestire l'upgrade controllato dei firmware, dei settings, delle applicazioni,.. •  gestire le policy di utilizzo dei dispositivi.

•  Serve quindi un repository per il Mobile Device Management.

11!

Page 12: Mobile Device Management And BYOD

Le policy di sicurezza

•  L'utilizzo di un dispositivo deve essere gestito tramite policy: •  sul dispositivo; •  a livello di rete aziendale.

•  Le policy definiscono cosa è consentito o meno: •  a seconda del profilo dell'utente; •  a seconda del dispositivo utilizzato; •  a seconda della connessione utilizzata (3g personale, 3g aziendale, wifi, ...); •  a seconda del perimetro (sono connesso alla rete aziendale, sono a casa,...);

•  Cosa devono controllare: •  le applicazioni consentite e quelle vietate; •  le risorse a cui è possibile accedere; •  i servizi web consentiti; •  ...

•  Non tutte le policy sono implementabili con strumenti di MDM... È necessario integrare tali strumenti con altri (firewall, IDS,...)

12!

Page 13: Mobile Device Management And BYOD

Le tecnologie

•  In ambito mobile non esistono tecnologie universali; •  se un vendor dice che il suo prodotto può gestire ogni

aspetto di BYOD e MDM... Mente spudoratamente; •  un'azienda deve selezionare, in base ai requisiti

presenti e futuri, la/le tecnologie più adatti per: •  implementare i repository; •  gestire le policy "interne" ai dispositivi; •  gestire le policy a livello di rete; •  rilevare le intrusioni; •  gestire l'installazione automatica del software e

degli upgrade;

13!

Page 14: Mobile Device Management And BYOD

Sviluppo di applicazioni sicure

•  I device mobile non sono sicuri; •  quando viene individuata una vulnerabilità, se va bene, viene

risolta con il rilascio della nuova versione del firmware (1-3 rilasci l'anno);

•  spesso le nuove release del firmware non supportano i device più vecchi (un device ha una vita media di un anno);

•  le aziende devono, quindi, provvedere ad evitare che le applicazioni da esse sviluppate possano essere soggette a vulnerabilità;

•  un'applicazione non sicura "apre" le porte dell'azienda a eventuali attacchi;

•  devono quindi essere adottate: •  best practices per lo sviluppo di applicazioni mobili sicure; •  test di verifica della qualità del codice per escludere o

minimizzare la presenza di falle (injection, XSS, ...).

14!

Page 15: Mobile Device Management And BYOD

Un nuovo processo di testing

•  Le configurazioni (firmware, setting, policy, applicazioni,...) devono essere testate prima della propagazione sui dispositivi: •  test di corretto funzionamento; •  verifica di presenza di incompatibilità con la versione del firmware o con altre

applicazioni; •  verifica di cosa fa realmente l'applicazione (per le applicazioni acquistate o di terze

parti): •  accedono a funzioni non dichiarate (gps, contatti, fotocamera,...)? •  si connettono a server o servizi esterni di cui non necessitano? •  trasmettono o memorizzano dati riservati senza consenso? •  ...

•  gli strumenti da utilizzare richiedono nuove competenze: •  analisi dei pacchetti di installazione; •  analisi a runtime dei folder delle applicazioni; •  sniffing del traffico dati fra il dispositivo e la rete; •  ...

•  ovviamente queste attività devono essere fatte su un apposito ambiente di test e non sui dispositivi assegnati agli utenti (è illegale senza il loro consenso).

15!

Page 16: Mobile Device Management And BYOD

Il mobile è il nuovo vettore di attacco utilizzato per violare la sicurezza delle aziende

16!

Page 17: Mobile Device Management And BYOD

Utilizzo di strumenti di mobile security

17!Attacchi riusciti su mobile device nel 2012! Distribuzione del malware (fonte ESET)!

• Gli attacchi su mobile, spesso portati a buon fine grazie all'installazione di malware sui dispositivi sono in aumento.!

• Compromettere un device vuol dire compromettere la rete a cui esso è connesso.!

• È indispensabile introdurre in azienda strumenti per l'individuazione di malware e altre minacce.!

Page 18: Mobile Device Management And BYOD

Data & disaster recovery

•  La creazione di una corretta configurazione dei device e le politiche di sicurezza adottate, non possono nulla contro eventi inattesi come: •  il guasto del dispositivo; •  il danneggiamento di dati e configurazioni dovuti a cadute di rete, di tensione,

scaricamento delle batterie (es. durante un upgrade);

•  allo stesso modo, un'attaccante potrebbe modificare dati e configurazioni sul dispositivo in modo da garantirsi l'accesso alla rete.

•  È quindi opportuno attuare un processo di data e disaster recovery che consenta: •  il backup dei dati importanti memorizzati sul dispositivo; •  il backup dell'ultima installazione/configurazione valida; •  il ripristino del dispositivo all'ultima configurazione stabile; •  la gestione della sicurezza del repository e dei dati in esso contenuti con ripristino dello

stesso in caso di violazioni (se il repository viene violato... Tutti i dispositivi sono violati); •  ...

18!

Page 19: Mobile Device Management And BYOD

Schema, ad alto livello, di una soluzione MDM per dispositivi aziendali e/o BYOD

19!

Processo di governance!

Page 20: Mobile Device Management And BYOD

Grazie per l'attenzione

20!