A falácia da limpeza remota

editorial convidado por Thomas Porter

Dados publicados recentemente indicam que o empresário médio tem 3,5 tais dispositivos móveis – um laptop, um tablet ou netbook e um ou dois telefones celulares. Este número dobrou em três anos e, com toda a probabilidade, vai continuar a crescer.

Talvez esta seja uma razão pela qual tantos profissionais de segurança estão focados em controlar e, em particular, limpando remoto endpoints físicos. Ainda mais surpreendente é a evidência anedótica de que os profissionais de segurança estão dispostos a alocar até um terço do seu gerenciamento de dispositivos móveis (MDM) orçamentos a este esforço. Na superfície, esta parece ser uma abordagem razoável para a proteção de dados remotos em repouso. O algoritmo é simples: Se os dados confidenciais em um dispositivo móvel está ameaçada, então bombardeá-lo.

A verdade, no entanto, é que, quando utilizado como um controlo de segurança, de limpeza remota representa uma forma convencional de tentar resolver um problema que não é mais convencional.

Isto é particularmente verdadeiro quando – como é frequentemente o caso – o dispositivo móvel é de propriedade do empregado. Mesmo quando implementado e gerido de forma correcta (a exceção – não a regra), limpeza remota faz risco não menor, de forma significativa, que ofusca os processos viáveis ​​que fazer a função de proteger os dados remota confidenciais e cria o potencial de litígios relacionados com a privacidade muito real (quando a sua empresa mata seu iPhone).

MDM não é o problema

Posso imaginar que, se um empregado em um dos cerca de 60 empresas de MDM que surgiram recentemente foram para ler o parágrafo acima, eles podem discordar de mim na melhor das hipóteses, ou oferecer-se para pagar por uma corda pendurada na pior. Eu não os culpo. No entanto, eu diria que eles estão perdendo o meu ponto. Eu sou tudo para o gerenciamento de dispositivos móveis. Se um dispositivo for concedido o acesso a recursos de informação corporativa, em seguida, ele precisa ter políticas de usuário / acesso do grupo e senha forçada, ele precisa ser marcado, monitorado, registrado, apoiados – todos os procedimentos normais e adequadas de gestão de activos deve aplicar-se qualquer dispositivo, independentemente do seu tipo ou localização.

Com isto em mente, a empresa de TI e segurança de TI deve alavancar o aumento da consumerização de dispositivos móveis, a fim de maximizar a rentabilidade das empresas, protegendo, simultaneamente, ativos de informações corporativas.

Não é real dissonância aqui. fornecedores de MDM têm (naturalmente) aproveitado este conflito e que, em muitos casos, empurrou as suas soluções particulares passado destinados parâmetros de design dessas soluções – de gestão – em segurança, principalmente através da integração de algum tipo de apagamento remoto capacidade.

O processo contra Remote Wipe

ESTÁ BEM. Vamos supor por um minuto que o apagamento remoto é na sua lista quando você ir às compras para uma solução de segurança móvel. Você está à procura de paz de espírito quando um dispositivo móvel fica perdido ou roubado ou quando um funcionário deixa a organização. Você quer ter certeza de que os dados corporativos confidenciais no dispositivo comprometida é eliminado e que o acesso a aplicativos corporativos, hardware e dados está desabilitada. Apagamento remoto dá-lhe essa garantia, certo?

Não. Não quando você passo para trás e pensar sobre isso.

Invasão de privacidade por Ofensivo Intrusion (O réu invade do autor solidão, isolamento, assuntos particulares ou interesses pessoais); Trespass à propriedade pessoal (A expropriação indevida de bens pessoais de uma pessoa); Conversão (Geralmente, a conversão envolve uma apropriação indevida de propriedade do autor para a utilização do tortfeasor ou wrongdoer

Segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; segurança; WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas; segurança; Casa Branca nomeia primeiro CIO Federal de Segurança; Segurança; Pentágono criticado por cibernético resposta -emergency pelo cão de guarda do governo

Neste rápida mutação, virtualizado, mundo mobile, o desafio fundamental de segurança da empresa está a proteger contra a perda de dados corporativos confidenciais. Para este fim, temos uma pletora de políticas, processos e ferramentas que funcionam na maior parte do tempo. Se, em seus procedimentos de segurança, surge uma situação em que a única opção de um administrador é a limpeza remota, então já é tarde demais. Você pode limpar a porta do celeiro (eo celeiro, se quiser) mas o cavalo é muito longe. Em nosso campo, você tem apenas uma chance para proteger os dados.

Quando ele foi embora, ele foi embora.

fornecedores de MDM vai argumentar que isso simplesmente não é verdade – que os dados sentados no dispositivo ainda pode ser protegido por destruí-lo. Em um mundo perfeito quando as estrelas se alinham, eles podem estar certos. Mas não é e raramente o fazem.

Primeiro: Vamos começar com a física. A atual geração de dispositivos móveis utiliza principalmente flash NAND para armazenamento, e não um disco rígido. Embora, do ponto de vista do usuário, flash parece funcionar como um disco rígido, funcionalmente eles são bastante diferentes.

Há uma série de outras questões subtis de assegurar que um módulo de memória flash inteira foi apagada forense. O ponto aqui é que a exclusão de todos os arquivos em um dispositivo baseado em flash é mais complicado do que simplesmente formatar o disco, uma vez que o fornecedor de apagamento remoto tem de integrar-se com uma série de controladores incorporados em um ambiente cada vez mais heterogénea. Basta colocar – no mundo real, limpeza remota não funciona muito bem.

Segundo: Os usuários muitas vezes jailbreak, raiz ou modificar o sistema operacional do seu dispositivo. Do ponto de vista de segurança, esta é uma faca de dois gumes. Por um lado, os usuários que modificam seus aparelhos desta forma são muitas vezes tecnicamente esclarecido e, portanto, são presumivelmente mais provável estar ciente dos potenciais problemas relacionados à segurança. Por outro lado, Jailbreakers / hackers do kernel contribuir complexidade adicional ao MDM em um ambiente já heterogénea. E, mais importante, como é que vamos apagamento remoto desses dispositivos? Bem, primeiro temos que detectar que um dispositivo tenha sido modificado. Para a maioria dos sistemas operacionais remotos, isso é difícil ou impossível, já que as chamadas de API que podem ser consultados sobre o status jailbreak são muitas vezes os primeiros convites alterados como parte do jailbreak.

apagamento remoto defensores podem argumentar: “Mas 95% dos nossos dispositivos móveis são iOS baseada em e Apple fornece ganchos para as nossas soluções de MDM.”

Isto era verdade até dezembro de 2010, quando a Apple – por qualquer razão – removeu a API de detecção de jailbreak. Desde aquela época, os fornecedores de MDM foram obrigados a inventar métodos que lhes permitam detectar semi-confiavelmente dispositivos iOS jailbroken. Todos estes métodos em última análise, dependem de serviços de localização para validação iOS, e nenhum deles é infalível. Assim, a sua capacidade de limpeza remota para usuários iOS depende primeira rastrear a localização de todos os seus usuários cada vez que mudar para uma nova torre de celular e, em seguida, sobre a capacidade inconsistente de sua solução de MDM para acessar iOS primitivas (proibido pela Apple, BTW) . Mesmo se assumirmos que tudo isso funciona como o planejado, a sua organização ainda terá de lidar com muitos usuários que acreditam (compreensivelmente) que eles têm o direito civil não deve ser monitorado 24×7 por seus empregadores.

A linha inferior é que o apagamento remoto de dispositivos móveis modificados não podem ser invocadas com um alto grau de confiança.

Terceiro: Em geral, o apagamento remoto – quando ela não funciona – é um porrete. Ele tem consciência pouco ou nenhum contextual e muitas vezes de forma indiscriminada destrói ambos os dados corporativos e pessoais.

Isto tem uma série de implicações. Existem as consequências negativas óbvias de errôneas limpar e privacidade preocupações. A meu ver, o mais interessante são as potenciais consequências legais, como é certo (pelo menos em os EUA) que as entidades que empurrar o botão de apagamento remoto terá que alocar recursos para se defender nos tribunais civis contra pelo menos três violações de delito graves

No contexto ou apagamento remoto, estas são todas as alegações razoáveis ​​e irá fornecer dores de cabeça adicionais para quem optar por esta abordagem.

Quarta: É trivial para a guerra-jogo qualquer número de cenários onde a limpeza remota pode ser contornado. Se aprendemos alguma coisa na prática da segurança da informação nos últimos vinte anos, é que à medida que tenta usuários da cerca, eles vão – seja propositalmente ou inadvertidamente – inventar formas engenhosas para contornar os controles que colocamos no lugar. Uma pesquisa global recente conduzido pela Fortinet revelou que 1 em cada 3 usuários de dispositivos móveis possam violar a política de segurança da sua empresa, a fim de usar o seu dispositivo pessoal para fins de trabalho.

“Você limpou o meu e-mail?” Sem problemas. Eu tenho o conteúdo armazenado como uma imagem JPG PDF ou.

“Você nukado todo o meu dispositivo?” Isso está ok. I replicado todas as coisas importantes para o Facebook, vários provedores de armazenamento em nuvem diferentes e meu computador de casa usando o Google +, Evernote, Bolso, Delicious, USB directo, etc.

O ponto aqui é que se o apagamento remoto é um componente do n número de controlos de segurança específicos, não é difícil imaginar, pelo menos, n + 1 meios de contornar esses controles.

Em conclusão, a capacidade de limpeza remota dispositivos é muitas vezes um item de lista de verificação quando a caça para um MDM ou solução de segurança móvel. Mas, como descrito acima, os terminais podem não ser trusted.They só pode ser autenticado. Bem … eles também podem ser perdido ou roubado. A maioria dos profissionais de segurança da informação reconhecer isso, e eles entendem que, fundamentalmente, a integridade de um ponto final é sempre suspeito. Para o efeito, o desenho racional de qualquer estratégia de protecção de dados depende da integração e gerenciamento de uma série de controles de segurança possivelmente relacionados (defesa em profundidade), independentemente do estado do ponto de extremidade.

Nós já comprovado possuem ferramentas, protocolos e técnicas que podem ser utilizados economicamente para gerir esses riscos.

Alguns deles podem não ser tão fria como a limpeza remota, mas ao contrário de limpeza remota, eles são tecnicamente sensível, eles são economicamente racional, e eles trabalham.

* Thomas Porter é diretor sênior de segurança da empresa na Fortinet.

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas

Casa Branca nomeia primeiro Chief Information Security Officer Federal

Pentágono criticado por resposta cyber-emergência por watchdog governo