אבטחה בעולם המובייל העסקי

יצרני הטלפונים הסלולאריים שהתמקדו בעיקר בשוק הצרכני, מסיטים מבט בתקופה האחרונה גם לעבר השוק הארגוני. מדובר בשוק של פתרונות MDM שהיה נתון לשליטתן של חברות אבטחת מידע. אחד היצרנים הראשונים שעשה מהלכים בכיוון הוא חברת סמסונג שהשיקה את מוצר ה-KNOX

שוק תוכנות ניהול הטלפונים הניידים (MDM) בישראל נאמד ב-80,000 מכשירים בשנה ומוערך ב-3 מליוני דולרים. בשנתיים האחרונות המושגים (MDM(Mobile Device Management ו- BYOD (Bring Your Own Device) נזרקו בכל כנס הקשור לעולם המובייל, אולם בפועל מעטים הארגונים שפתחו בפועל מתודולוגיה מוסדרת בנושאים אלו בארגון.

בימים אלו מדובר בשוק בתנופה, כאשר יותר חברות מיישמות מוצרי MDM בארגון. נראה כי ארגונים הבינו שהסמארטפון של העובד צריך להיות מנוהל, הן במישור הלוגיסטי והן בזה האבטחתי. כאשר ארגון מחליט ליישם פרוייקט MDM הוא בדרך כלל מתחיל בכיוון הלא נכון – הוא בוחן את מוצרי ה-MDM הקיימים בשוק, מתחיל לערוך השוואות בין המוצרים ונכנס לתקופת בחינה (Demo).

לעומת זאת, הכיוון הנכון הינו צריך להתחיל בשאלה מהם צרכי הארגון? האם יש צורך בגישה מהסלולארי לארגון? האם לכל המכשירים נדרשת אותה רמת אבטחה? אילו מכשירי סלולאר קיימים בארגון? האם יש צורך בגישה לחומרת המכשיר (ניהול מצלמות, GPS, כיבוי מכשיר וכו')? התשובות לשאלות אלו יובילו את הארגון לבחון את מוצרי המובייל הקיימים בראי הצרכים.

סמסונג הינו יצרן הסלולאר הגדול בעולם בעל נתח שוק משמעותי של כ-50 אחוזים בשוק ה-B2B בישראל. בתערוכת הWMC האחרונה בברצלונה הכריזה החברה על כניסה לתחום ה-MDM ועל השקת מוצר הEMM -. זו אינה הפעם הראשונה של סמסונג בתחום ובעולם הזה. בשנתיים האחרונות סמסונג פיתחה את כל מכשירי הסלולאר ואת כל הטאבלטים עם ראייה לעולם הארגוני והתאמה לצרכיו.

בתחילת הפרויקט, סמסונג יצרה קשר עם יצרני התקשורת, אבטחת המידע ומוצרי הניהול הגדולים והמובילים בעולם, ופיתחה יחד איתם גרסה מותאמת למכשירי סמסונג בעזרת תוסף חינמי שנקרא SAFE. ה-SAFE איפשר למוצר ה-MDM יכולות ניהול נוספות כגון שליטה על חומרת המכשיר. זאת, הודות לשיתוף הפעולה והפיתוח המשותף של החברות.

בסוף 2013 סמסונג השיקה את שירות ה-KNOX – מוצר משלים אשר מאפשר לחלק את המכשיר הסלולארי לשתי ישויות, עסקית ופרטית. הישות העסקית תהיה במחיצה מוצפנת במכשיר ותקבל את מתדולוגיית הניהול ואבטחת המידע של הארגון בעזרת מוצר ה-MDM הארגוני. במאי 2014 הושק המוצר הנוכחי knox 2.0 יחד עם מוצר הניהול EMM.

הגנה בשכבות

ה-Knox הוא מעין מחיצה (container) מאובטחת ומוצפנת המורכבת ממספר שכבות הגנה. בניגוד ל-SendBox , הוא מאפשר הורדה של מידע לתוך המכשיר ושימוש באפליקציות ומידע על גבי המכשיר. ה-SandBox מאפשר קישור מאובטח לסביבה ארגונית ועבודה וירטואלית על הסביבה הארגונית ועל התוכן הארגוני, ללא הורדה פיזית של אפליקציות או מידע למכשיר.

שכבות האבטחה יחד יוצרות פתרון קשה לחדירה ונוח לשימוש. המערכת לא תאפשר למשל למכשיר עם גרסת אנדרואיד לא רשמית (גרסה צרובה) שאינה חתומה על ידי סמסונג וגוגל לבצע התקנה. כך שהחשש ממכשיר שנצרב בגרסה לא רשמית העלולה להכיל סוגים שונים של malwares נחסך מראש. בנוסף, המוצר משתמש ביכולות ה- ODE ( (on device encryption כבר מהדלקת המכשיר. המערכת תומכת גם בכל מפתח הצפנה של יצרני צד שלישי (Third Party trusted-key management).

השכבה הבאה הינה שכבת ה- TIMA ( (TrustZone-Based Integrity Management & Architecture. השכבה הזו אחראית על ההגנה משינויים בזמן אמת היכולים להיווצר מניסיונות פריצה למוצר. המערכת מבצעת בדיקות בקבועי זמן קצרים לקובץ ה-kernel (קוד שהוא ליבה של מערכת ההפעלה) ובמקביל מריצה את ההגנה וההצפנה של ה-trustzone.

השכבה הבאה הינה שכבת ההצפנה של המידע בתוך המחיצה (Security enhancement). מדובר בהצפנה פרי פיתוח של ה-NSA בשיתוף גוגל המאושרת תחת תקן FIPS. השכבה הבאה הינה השכבה הותיקה של סמסונג – מערכת ההפעלה יחד עם יכולות ה-SAFE המאפשרות שליטה על המכשיר, עד רמת החומרה. השכבה האחרונה הינה שכבת המיכל עצמו, המשמשת כ-sendbox ארגוני ומנוהלת על ידי כל מוצר MDM בעל יכולות של Per app VPN , SSO ועוד, המאפשרות לעובד יכולת התחברות קלה לארגון.

בנוסף, על מנת לספק מוצר שלם יותר סמסונג השיקה לאחרונה את מערכת הEMM . מדובר במערכת ניהול ושליטה על מכשירי סלולאר (כל סוגי ה-Android וה-iOS). המערכת יכולה להגיע כשירות (SAAS) או בתצורת on premise - בשרת מקומי בארגון. נכון להיום, זוהי המערכת היחידה שתומכת בכל יכולות ה-KNOX, כולל dual Knox Persona ו- Per App VPN.

הפתרון של ה-FBI

ה-knox מוגדר בצורה לוגית על המכשיר. זאת, בניגוד להגדרה פיזית אשר לא מאפשרת גמישות בשימוש בזיכרון ההתקן. ההגדרה הלוגית מאפשרת למערכת "לשחק" בזיכרון המכשיר ולאפשר לצד הפרטי או לצד העסקי להתרחב על פי צרכי המשתמש ללא מחיקת נתונים וכתלות בזיכרון הפנוי במכשיר. בנוסף, ההגדרה הלוגית לא פוגעת בביצועי המכשיר, לא מחלקת את מעבדי המכשיר ואת הזיכרון. בצורה כזו, המשתמש מקבל בכל מצב, פרטי או עסקי, את מלוא יכולות המכשיר והביצועים.

יתרון נוסף טמון בפיתוח ייחודי של סמסונג המאפשר יצירת שני מכלים מנוהלים על אותו מכשיר. כל אחד מהם יכול לקבל מתודולוגיית אבטחת מידע שונה כאשר הוא מנוהל על ידי אותו MDM. מצב ה-Knox אינו מבזבז משאבים, סוללה ולא פוגע בביצועי המכשיר, כך שמשתמש הקצה נהנה ממכשיר קצה חדש ומנהלי הארגון נהנים מפתרון אבטחה ארגוני.

מוצר ה-knox קיבל בעולם מספר הסמכות כולל STIG from US DISA, End-user device guidance from UK CESG , FIPS certified Crypto module from US NIST, Licensed VPN using FIPS certified Crypto module, Common Criteria certification, הממצבות אותו כפתרון אבטחה חזק עבור מערכת ההפעלה אנדרואיד. בשנה האחרונה הצליחה סמסונג לצרף לשירות כ- 1.5 מיליוני מכשירים בעולם. המוצר גם נבחר להיות המוצר המוביל במשרד ההגנה האמריקאי ונמצא בשימוש בארגון ה-FBI.

הכותב הוא מנהל תחום B2B בחברת סמסונג ישראל

You might be interested also