В области управления мобильными устройствами последние пару лет все чаще возникают разговоры о дополнительной защите мобильных устройств (если хотите, то про антивирусы).
Можно много обсуждать необходимость дополнительных мер, ведь можно ограничить установку ненадежных приложений и вроде как проблемы нет. Но проблема в том, что вектор атаки на мобильных устройствах смещен с прямого вредительства на фишинговые действия или доступ к данным (как личным, так и корпоративным).
Чаще всего решения по защите мобильных устройств действуют (Mobile Threat Defense или MTD) на следующих уровнях:
- Уровень устройства – мониторинг версии ОС, уровня обновлений безопасности, параметров системы и устройства, прошивки, системных библиотек для отслеживания модификаций этих параметров из вне или их несоответствие требуемому уровню.
- Уровень сетей – мониторинг сетевой активности, для обнаружения подозрительного поведения, подложенных сертификатов, атак man-in-the-middle и т.д.
- Уровень приложения – поиск вредоносных программ и так называемых grayware (программы не вредоносные по сути, но несут в себе риски персональным и корпоративным данным).
По
исследования британских
ученых независимых агентств, к 2020 году 30% всех
организаций будут использовать MTD, в целях
минимизации рисков.
Почему я об этом пишу? Потому что эти инструменты интегрируются с Intune, для того чтобы MTD служили сигналами для статуса compliance устройств.
Вот такую примерную схему интеграции рисует Gartner.
Соответственно устройство одновременно общается с Intune и решением MTD, передавая разные данные и инструменты общаются между собой для передачи данных об устройстве.
Intune из коробки, на момент написания, интегрируется со следующими инструментами:
Symantec Endpoint Protection Mobile
Далее я буду рассказывать интеграцию на примере сервиса Lookout, потому что довелось работать.
Первым делом, естественно, необходимо настроить интеграцию между Lookout и Intune. Если вам когда то придется с этим работать, то у сервисов есть подробные инструкции по настройке, поэтому в деталях останавливаться не буду.
Если коротко, для при настройке проходятся следующие шаги:
- Добавление данных о вашем тенанте и предоставление необходимых прав
- Настройка соединения с указанием периодичности подключения между системами (heartbeat).
- Указание групп в Azure AD, которые будут использоваться для обнаружения устройств и группа админов.
- Регистрация и настройка приложения в Azure AD для функционирования iOS приложения.
- Создание приложения в Intune, для доставки на конечные устройства.
- Создание конфигурации приложения, чтобы iOS устройства настраивались в полуавтоматическом режиме(пользователю нужно будет только открыть приложение и раздать необходимые права)
- Доставить приложение и конфиг до пользователей.
После настройки, вы сможете наблюдать за процессом активации приложений. На основе группы в Azure AD, система будет опрашивать Intune на предмет наличия у этих пользователей устройств и будет ожидать их подключения.
В процессе это будет выглядеть примерно вот так.
Но зачем это нужно?
Lookout (или другой инструмент), будет сообщать о статусе устройства в Intune, а тут уже вы можете настроить Compliance policy для работы с Conditional Access.
В Lookout есть список уже настроенных политик с установленным Risk Level, который вы можете менять по своему усмотрению и можете создавать свои политики.
А на стороне Intune, вы можете установить уровень риска, выше которого устройство будет считаться non-compliant.
Далее через Conditional Access вы можете создавать разные сценарии.
Например, у вас внутренняя сеть построена на базе Cisco ISE, который выступая в роли NAC может проверять статус compliance устройства. В этом случае вы можете автоматический блокировать доступ к корпоративной сети устройствам с высоким уровнем риска. Так же это может работать и с Defender ATP.
Вывод
Если у вас есть большое количество мобильных устройств, то по крайней мере вам стоит задуматься и рассмотреть варианты решений. Пока еще нет серьезных угроз для мобильных устройств уровня NoPetya, но все идет к тому, что могут появиться. Так что лучше начать готовиться.
