Mobil eszközökön tárolt adatok biztonsága Romics Attila IT biztonsági tanácsadó Compliance Data Systems Kft. 2014. Október 2.
Tartalom Tartalom • Mobil Trendek • IT – Felhasználói igények • Vállalati Hatások
• Szabályzatok • Oracle Mobile Security Suite
HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága 2
Mobility – BYOD Trendek • Fogyasztói üzletág prioritása – Megfizethetőség – Vállalati termékfrissítés
• BYOD – Fogyasztó centrikus IT világ – Vmware, Citrix, saját eszközökkel érik el a
vállalat hálózatát, bizal mas adatokhoz férnek hozzá – 2011-re formális ajánlások segítik mederbe terelni a folyamatot
HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága 3
Aktualitások – PC korszak vége
39% 2010 177M corp PCs 2015 246M corp PCs
HOUG Szakmai Nap 2014
69% 2010 173 M personal PCs 2015 293M personal PCs
340% 2010 300M okostelefon 2015 1017M okostelefon
21,70% 2010 15M tablet 2015 326M tablet
Mobil eszközökön tárolt adatok biztonsága 4
HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága
IT kihívások • Adatvédelmi terv (eszköz életciklus) – Nem eszköz alapú szemlélet
• Jailbreak, root – Biztonsági, tartalmi, eszköz szabályzatok megkerülése
• Titkosítás (eszköz\konténer) – Nem elhagyható védelem
– Konténer titkosítás
• Memóriahasználat – Memória modulok törlési lehetőségei
• IT – Felhasználó párharc
HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága 6
8 biztonsági pont • Adatvesztés lopott, elvesztett, vagy feltört mobilkészülékek miatt • Mobil Malware által ellopott információk • Eszközön belüli sebezhetőségek (OS, tervezési hiányosságok, harmadik fél által készített alkalmazások) • Nem biztonságos Wifi, hálózati hozzáférések, hozzáférési pontok
• Adatvesztés, vagy szivárogtatás rosszul megírt alkalmazás miatt • Nem biztonságos alkalmazás áruházak • Nem megfelelő management eszközök, képességek, és API hozzáférések • NFC, és hasonló közelség-alapú (proximity-based) hacking HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága 7
Menedzsment mátrix BYOD Vállalati eszközök felügyelet nélkül
Vállalati felügyelet az adatok, és alkalmazások fölött
Unmanaged
User and App Access Management
App and Data Protection
Secure File Sharing
1
4
Eszközfelügyelet Managed
User and App Access Management
App and Data Protection
Device Management
Threat Protection
Személyi eszköz vállalati felügyelete
Secure File Sharing
User and App Access Management.
App and Data Protection
Device Management
22
Threat Protection
Secure File Sharing
3 Company Owned
Personally Owned
8
HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága
Mobility Management
NAC: Network Access Control MBaaS: Mobile Backend as a Service
MDM: Mobile Device Management MAM: Mobile App Management PIM Container: Personal Information Manager (email) Container
Source: 451 Group
HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága
Oracle Mobil Security Stratégia Biztonsági kontrollok és központosított alkalmazásmenedzsment
Konténerkezelés
•
•
Házirend felhasználók korlátozására a konténeren belül illetve a konténerből/be történő adatmozgatásra
Egységes megközelítés minden mobil platformon
HOUG Szakmai Nap 2014
• • •
VPN infrastruktúra nélküli biztonságos kommunikáció a vállalati rendszerekkel Vállalati app store Policy update
IDM szolgáltatások kiterjesztése
•
Nemcsak felhasználók hanem eszközök kezelése is
•
Közös felhasználó, szerepkör, önkiszolgálás, felülvizsgálat
•
SSO nativ és böngészős alkalmazások számára
•
Kockázat alapú authentikáció, eszközfelismerés fingerprinting
Mobil eszközökön tárolt adatok biztonsága
Konténer Életciklus
HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága
Adatbiztonság Data-at-rest
Adatátvitel
• FIPS140-2 Level 1
• AppTunnel és nem VPN
• Kódolt tárolás
–
Nem szükséges VPN infrastruktúra
–
Csak trusted alkalmazások
–
File system
–
Preferenciák
• FIPS140-2 Level 1
–
SQLite
• Mobil forgalomra optimalizált
–
Cache
• Felhasználói jelszavak NEM tárolódnak az eszközön,
HOUG Szakmai Nap 2014
–
Kompresszió
• Wifi-3G váltást tolerálja
Mobil eszközökön tárolt adatok biztonsága
Autentikáció • Autentikáció
– Single Sign-on • Kerberos, NTLM, SAML, OAuth
– Erős autentikáció– PKI – Több faktoros • Virtuális smart card (PIN védett x509 cert)
• Radius alapú OTP token (RSA certified)
– Oracle Access Manager authentikáció és Oracle Unified Directory vagy AD mint userstore
HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága
Házirendek Data Leakage Protection
Szempontok
• Dinamikus, felhasználófüggő szabályok
• Alkalmazásonként
• Kontrollok
• Authentikáció erőssége
– No backup – Restrict open-in
– Restrict copy/paste – No email, messaging
• Remote lock/wipe • App Catalog • Inaktivitás • Time-fence / geo-fence
– No chat, social sharing – No print
HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága
Adminisztráció
Felhasználók és csoportok
HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága
Házirendek
HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága
Konténerizációs eszköz
•Saját alkalmazások is behelyezhetők a konténerbe.
•Az alábbi szolgáltatásokat nyújtja a konténer •Biztonságos adattranszport: Az AppTunnel segítségével biztonságos kommunikáció a backend alkalmazásokkal •Autentikáció: Windows Integrated Authentication/SSO (Kerberos v NTLM) a backend szolgáltatások felé • Biztonságos adattárolás: Kódoltan tárolt alkalmazás adatok, fileok, cache •Adatszivárgás: file sharing-copy paste, nyomtatás, mentés szabályozható •Házirendek hozzárendelése: Több mint 50 féle kontroll pl authentikáció gyakorisága, geo és time fencing, remote lock és wipe.
HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága
Köszönöm! Romics Attila IT biztonsági tanácsadó,
Compliance Data Systems Kft. cím: 1074 Budapest, Madach Imre út 13 email:
[email protected] mobil: +36 30 254 17 38 HOUG Szakmai Nap 2014
Mobil eszközökön tárolt adatok biztonsága 19