De bedrijfsomgeving en -gegevens kunnen gemakkelijker on-site worden beschermd, maar ook eindgebruikers hebben toegang tot gegevens en bewaren uiteindelijk kopieën op hun mobiele - of soms persoonlijke - apparaten.

Met mobiele apparaten wordt elk apparaat bedoeld dat van buiten het kantoor toegang heeft tot het netwerk en de middelen van de organisatie, dus zowel laptops als smartphones.  Laptops worden echter over het algemeen door het bedrijf verstrekt en opgenomen in de beveiligingsstrategie, en door de IT-afdeling geconfigureerd en beveiligd voordat ze aan de werknemer worden gegeven.

Daarom zal dit document zich voornamelijk toespitsen op de bedrijfs- en persoonlijke smartphones die door werknemers worden gebruikt. Deze toestellen en de daarmee verbonden apparaten (smartwatches, enz.) staan open voor de wereld, onder meer via de sociale netwerken. Ze vormen een hub van belangrijke persoonlijke, professionele of vertrouwelijke gegevens.

Of je nu een privépersoon bent, een werknemer in een kritieke sector, een minister, een militair of wie dan ook, de verzamelde gegevens moeten zorgvuldig worden beschermd. Het gaat om je locatie, biometrische gezondheid en gewoonten. Ze zijn waardevol en dreigen onbedoeld uit te lekken of te worden bespioneerd, niet alleen door privébedrijven, maar ook door concurrenten, andere landen of criminelen.

Het probleem van de gegevensbeveiliging is niet alleen technisch of direct afhankelijk van de gebruiker. Het kan ook voortkomen uit de wetgeving van het land waar de gegevens worden gehost. Want sommige landen geven de overheid bij wet toestemming om de uitgewisselde en opgeslagen gegevens van gebruikersaccounts te raadplegen. Dit kan zowel gelden voor een cloudoplossing die automatisch gegevens synchroniseert als voor wat gebruikers via sociale netwerken delen.

Als je een openbare gezagsdrager bent of als je persoonlijk een risico kunt vormen vanwege je positie of je kennis, moet je ook in een privé-context rekening houden met je bescherming en op zijn minst je persoonlijke en professionele digitale leven volledig gescheiden houden. Meer nog, je zou er goed aan doen de persoonlijke gegevens die je op sociale netwerken deelt in het algemeen te beperken. Die zouden namelijk tegen jou of je omgeving kunnen worden gebruikt.

In dit artikel bespreken we de beste praktijken en technologieën voor Mobile Device Management (MDM) op mobiele apparaten. Ze zijn bedoeld om gegevens die buiten de beveiliging van het bedrijfsnetwerk vallen en persoonlijke gegevens te beschermen.

Tegenwoordig omvatten de meeste MDM-oplossingen DLP. Daarom gaan we het hebben over de integratie van mobiele apparaten met MDM-oplossingen.

Als je met gegevens te maken hebt, wil je er altijd zeker van zijn dat de persoon die er toegang toe heeft, geïdentificeerd is en voldoende rechten heeft. Je zult ook willen dat het kanaal waarlangs de gegevens worden doorgestuurd niet door iemand anders kan worden gelezen. Verder zal je er zeker van willen zijn dat de gegevens niet door iemand anders kunnen worden gelezen wanneer ze worden opgeslagen. Dit zijn de drie principes die integriteit, vertrouwelijkheid en authenticiteit garanderen.

Op grond daarvan moet elk mobiel apparaat dat toegang heeft tot bedrijfsinformatie of deze opslaat ten minste:

• geconfigureerd zijn voor gebruikersidentificatie en sterke authenticatie (sterk wachtwoord, MFA),
• versleuteld zijn,
• actuele anti-malwaresoftware draaien (of beter een EDR die ook abnormaal gedrag detecteert in plaats van alleen bekende handtekeningen),
• en gebruikmaken van VPN-verbindingen (Virtual Private Network) om toegang te krijgen tot het bedrijfsnetwerk.

Voor een zakelijke Microsoft-omgeving, wat het vaakst voorkomt, geeft Intune al veel mogelijkheden. Deze oplossing kan ook IOS-apparaten beheren als werknemers zowel Android- als IOS-apparaten hebben.

Tegenwoordig biedt het belangrijkste mobiele Android-OS sandboxing voor toepassingen. Dat betekent dat toepassingen standaard niet met elkaar kunnen communiceren en beperkte toegang hebben tot het OS.

Bedrijfsapplicaties kunnen samengaan met persoonlijke applicaties, maar moeten wel strikt gescheiden blijven. Je kunt bijvoorbeeld twee versies van je favoriete berichtenapplicatie hebben, een professionele en een persoonlijke met aparte contactlijsten, berichtengeschiedenis, enz.

De isolatie met IOS is nog sterker en zal de interacties tussen applicaties zonder toestemming van de gebruiker sterk beperken. Daarom kan antivirussoftware in een IOS-omgeving niet efficiënt werken, omdat ze de acties van andere toepassingen niet kan analyseren.

Meer nog, veel bedreigingen waartegen anti-malware van derden beschermde, worden nu standaard aangepakt wanneer de juiste configuratie op OS-niveau is ingesteld. Dit geldt zowel voor laptops als voor smartphones. Maar ook al is de ingebouwde anti-malwarebeveiliging goed, vergeet niet dat deze up-to-date moet worden gehouden. Updates van apps en OS-niveau kunnen automatisch gebeuren, maar het kan ook zijn dat apps van een fabrikant een handmatige tussenkomst vereisen.

7.1. Om controle te krijgen op je mobiele apparaten moet het volgende gebeuren:

• Er bestaat een lijst van toegestane mobiele apparaten en platforms die verbinding mogen maken met het (de) bedrijfsnetwerk(en).
• Een norm voor mobiele beveiliging definieert eisen en configuratiebasislijnen voor mobiele apparaten en platforms.
• Verloren of gestolen apparaten worden gemeld, gevolgd en beheerd via een standaardproces en via een geïmplementeerde MDM-oplossing.
• Een gecentraliseerd platform voor het beheer van mobiele apparatuur wordt ontwikkeld en gebruikt om het gebruik en de configuratie van apparatuur etc. te controleren en te volgen, en voert integriteitscontroles uit (bv. detectie van jailbreaks) alvorens toegang te verlenen tot interne bronnen.
• Voor BYOD-apparaten wordt een basisset toegangsrechten en configuratieregels gedefinieerd en geïntegreerd in de MDM-oplossing.
• Vertrouwelijke gegevens en toepassingen op mobiele apparaten zijn alleen toegankelijk via een veilige, geïsoleerde sandbox of een beveiligde container.
• Mobiele apparaten implementeren basis DLP (Data Loss Prevention) use cases zoals monitoring en alarmering en zijn geïntegreerd met de SIEM-infrastructuur van het bedrijf voor monitoringdoeleinden.
• Voor BYOD-apparaten gelden dezelfde of betere beperkingen en veiligheidscontroles dan voor mobiele apparaten die eigendom zijn van het bedrijf.

7.2. Apparaat encryptie toepassen

• Alle apparaten maken gebruik van sterke encryptie tijdens opslag en transmissie.
• Er worden technologieën voor volledige disk-encryptie toegepast (bv. BitLocker in Windows, Filevault in MacOS) met authenticatie vóór het opstarten.
• Door FIPS (U.S. Federal Information Processing Standards) goedgekeurde algoritmen zoals AES, of gelijkwaardige bedrijfsstandaarden, worden toegepast.
• Encryptiestandaarden worden gepersonaliseerd en aangepast op basis van het kritieke karakter van het apparaat en de gegevens die op het apparaat zijn opgeslagen.

7.3. Mobile devices correct configureren en beveiligen

• Controles om ongeoorloofde wijzigingen in configuraties en baseline builds te voorkomen.
• Voor alle technologieplatforms, inclusief iOS, Android enz., zijn normen voor veilige configuratie of hardening vastgesteld en gepubliceerd, en deze zijn voor elk apparaat vereist voordat het met het netwerk kan worden verbonden.V
• Eindgebruikers hebben geen beheerdersrechten op hun endpoint.
• Er worden regelmatig patches van besturingssystemen of toepassingen uitgevoerd.
• Apparaten zonder de laatste beveiligingspatches worden in quarantaine geplaatst en gepatcht vóór ze met het netwerk worden verbonden.
• Baseline / build images en normen worden periodiek herzien en bijgewerkt.
• Er worden geautomatiseerde instrumenten gebruikt om afwijkingen van de normen voor beveiligingsconfiguratie op te sporen, en er worden tijdig corrigerende maatregelen genomen om afwijkingen te corrigeren.

7.4.  Host-based detection implementeren, zoals anti-malware

Je vindt alle nuttige informatie in ons gerelateerd document: https://cert.be/en/paper/recommendations-anti-virus-edr-and-xdr-security-solutions

7.5. Mobiele apparaten en software traceren

• Er bestaat een centrale inventaris van alle geautoriseerde en niet-geautoriseerde software en apparaten, waarin de nodige details over de desbetreffende apparatuur zijn vastgelegd (bv. eigenaar, kriticiteit, enz.).
• Deze inventaris wordt ten minste jaarlijks herzien en bijgewerkt.

7.6. Mobile devices ownership & lifecycle monitoring implementeren

• Kritieke apparaten worden in de hele organisatie bewaakt en hebben een gekende eigenaar.
• Apparaten, inclusief hardware en software, worden gevolgd gedurende hun gehele levenscyclus, van aankoop tot buitengebruikstelling, en alle veranderingen van eigenaar worden bijgehouden.
• Er bestaat een wijzigingsbeheerproces voor het aanvragen en goedkeuren van wijzigingen aan apparaten gedurende hun gehele levenscyclus.
• Automatisch monitoren van de apparaten door middel van inventarisatie.

7.7. Mobiele apparaten labelen en controleren

• De apparaten zijn voorzien van de juiste beveiligingsrubricering
• De apparaten worden periodiek gecontroleerd en opnieuw gelabeld bij veranderingen.