Beheer: Smartphones en tablets beheren

Aan de lijn

Moritz Förster

In alle bedrijven gebruikt elke werknemer minstens één smartphone, en er komen steeds meer privételefoons bij op bedrijfsapparaten. Om zo’n stroom aan clients onder controle te houden, wordt het gebruik van een MDM-systeem aanbevolen. Velen bieden dezelfde basisfuncties, maar verschillen in details.

Hoewel de moderne smartphone dit jaar zijn tiende verjaardag viert, houden nog te veel verantwoordelijken vast aan het laissez-faire principe als het gaat om het beheren en controleren van de voortdurende mobiele vloed. Anderen richtten zich op de iPhone met het in 2007 geïntroduceerde iOS en merken nu dat gebruikers steeds vaker overstappen op Android van Google. De markt voor systemen voor het beheer van mobiele apparaten (MDM) blijft navenant groot en verwarrend. Er is nog geen consolidatie; naast de toppers kunnen kleine bedrijven nog steeds overleven. De twaalf gepresenteerde services – veel providers gaven geen antwoord – laten al zien hoe de software vergelijkbaar en verschillend is.

Geen enkel bedrijf kan het zich veroorloven om Apple’s iOS te negeren. Het feit dat alle providers iPhones en iPads kunnen beheren, is op zijn minst gedeeltelijk te danken aan de eerdere lancering van het systeem. Bovendien komen veel apparaten van het bedrijf uit Cupertino. Hoewel er vroeger een BlackBerry in aktetassen zat, veranderden veel bedrijven het systeem al vroeg. De Canadezen daarentegen staan alleen op de agenda bij VMware – vooral omdat de fabrikant nu zelf op Android is overgestapt. Met uitzondering van SimpleDMM hebben alle MDM-systemen dit laatste in hun assortiment. Hoewel Google in recente versies steeds meer professionele gebruikers het hof maakt, waren het lange tijd vooral privé-smartphones die het besturingssysteem binnenbrachten.

Tabel: Leveranciers van MDM-systemen

Microsoft’s Windows 10 Mobile daalt al lange tijd qua verkoopcijfers, maar dit is niet terug te zien in de MDM-systemen. Dit is des te verbazingwekkender omdat het bedrijf uit Redmond vooral punten wist te scoren met goedkope smartphones – die zelden bedoeld zijn voor bedrijven. Vooral met Windows moet echter rekening worden gehouden met de nabijheid van de klassieke pc. Steeds meer providers integreren ook desktops in hun software. Dit geldt niet alleen voor Windows, macOS is ook te vinden in veel systemen. De richting is duidelijk: Als alle clients steeds meer vergelijkbare functies uitvoeren, de meeste applicaties en gegevens uit de cloud komen en ze op dezelfde technische basis zijn gebaseerd, moeten beheerders alles op één plek kunnen bundelen en beheren.

Mobiele systemen, desktops en binnenkort het IoT

Met Sophos Mobile Control kun je niet alleen smartphones beheren, maar bijvoorbeeld ook een Raspberry Pi met Android Things (Afb. 1).
Bron: Sophos

Een volgende stap is het internet van dingen (IoT). Vooral Google wil Android hier meer op richten. Tot nu toe hebben slechts een paar ontwikkelaars zich beziggehouden met ingebed beheer, hoewel aanvallers zonder beveiligingsupdates al netwerklampen tot slaaf maken voor DDoS-aanvallen. Slechts een paar gebruikers zullen waarschijnlijk geïnteresseerd zijn in het feit dat VMware nog steeds Symbian en S60 in zijn assortiment heeft. Geen enkele provider heeft echter Linux en BSD computers op hun radar.

Een van de fundamentele kenmerken van elk MDM-systeem is dat beheerders applicaties zoals besturingssystemen op afstand kunnen bijwerken. Bijna alle providers kunnen beide functies aan – alleen Citrix, MicroNova en Sophos moeten hier iets opgeven. Terwijl de laatste zich concentreert op Samsung-apparaten voor Android, moeten de andere twee smartphones het doen zonder updates van Android of iOS. Op de desktop met een langere levensduur – Windows 7 is nauwelijks jonger dan de eerste iPhone – zijn upgrades van het besturingssysteem misschien niet zo vaak beschikbaar, maar Apple en Google geven vaak alleen belangrijke functies aan hun nieuwste versies, vooral op het gebied van beveiliging. Apps kunnen tenminste altijd up-to-date worden gehouden.

Smartphones vergrendelen en gegevens wissen

Naar de doos Google in plaats van derden

Alle providers bieden immers zonder uitzondering een lockdown en een wipe van de apparaten. Dit zijn ook elementaire taken van een MDM-systeem die bijzonder effectief zijn in het geval van aanvallen op smartphones, diefstal van het apparaat of het verlies ervan. Tijdens een lockdown stopt de beheerder op afstand alle communicatie van de client – gebruikers kunnen niet langer gegevens verzenden of ontvangen op het internet. Dit voorkomt niet alleen dat belangrijke informatie uitlekt, maar kan er ook voor zorgen dat een virus zich niet binnen het interne netwerk verspreidt. Wissen is drastischer: met een muisklik verwijdert de beheerder alle gegevens op de smartphone. Dit betekent dat er geen informatie verloren kan gaan voor derden. Dit geldt niet alleen voor aanvallers van buitenaf – voormalige werknemers mogen immers ook geen toegang hebben tot interne informatie. Sommige systemen kunnen ook onderscheid maken tussen privé- en werktoepassingen en, indien gewenst, alleen de laatste verwijderen.

AppTec biedt beheerders in één oogopslag belangrijke informatie over apparaten, systemen en toepassingen die in gebruik zijn (Afb. 2).
Bron: AppTec

Logs en rapporten kunnen ook worden aangemaakt voor alle systemen. Net als bij andere systemen, zoals desktops, kunnen beheerders ongebruikelijke activiteiten van gebruikers of apparaten handmatig detecteren of de gegevens beschikbaar stellen aan een tool van derden. Een dergelijke dienst moet machine learning kunnen gebruiken om een basislijn van normaal gedrag te creëren en vervolgens automatisch te reageren op afwijkingen voor echte en potentiële bedreigingen. In de regel zijn dit echter diensten uit de publieke cloud, wat betekent dat de verantwoordelijken de benodigde rekenkracht krijgen van een gigant als Amazon of Microsoft, maar deze tegelijkertijd voeden met uitgebreide informatie over hun eigen bedrijf. …

Bron: https://www.heise.de/ix/heft/Angeleint-3780427.html