Root > Documents > IT Teknolojileri > Mobil Cihaz Güvenliği
Cyber-Warrior.Org \ Doküman \ IT Teknolojileri > Mobil Cihaz Güvenliği
Madde
  Yazar : seamtrie
  Date : 13.01.2017 21:29:53
 
# Mobil Cihaz Güvenliği
 

Kurum çalisanlarinin kendi mobil cihazlarini isyerine getirmeleri (BYOD) veya kurumsal mobil cihaz kullaniminin artmasi, aslinda bir varlik türü olarak kurumsal bilginin son kullanicinin parmaklarinin ucunda çesitli tehlikelere maruz birakilmasi ve kontrolsüz mobil cihazlarin tüm kurumsal agi tehlikeye sokmasi anlamlarina gelmektedir. Bu noktada ise mobil cihaz güvenligi ve mobil cihaz yönetimi teknolojileri devreye girmektedir.

Günümüzde mobil cihazlara hem kisisel hem de is nedeniyle artan bagimlilik sonucu ortaya çikan güvenlik kaygisi önü alinmadiginda, hem kisisel bilgilerin ifsasi hem de kurumsal bilgilerin ele geçirilmesi gibi çok önemli sonuçlar dogurmaktadir. Son yillarda mobil cihaz donanim ve yazilim teknolojinin çok hizli gelismesi artik mobil cihazlarin da özellikle uzaktan olacak sekilde kontrol edilebilmesini saglayacak firsatlar dogurmustur. Kurumlar için çok önemli hale gelen mobil cihaz kontrolünü saglayacak mobil cihaz yönetim yani mobile device management (MDM) sistemlerinin kullanilmasi artik kaçinilmaz hale gelmistir.

MDM (Mobile Device Management) Nedir ve Hangi Bilesenlerden Olusur?
MDM farkli isletim sistemleri ile platfomlar üzerinde çalisan akilli telefonlar, tablet ile dizüstü bilgisayarlari ve pos seklinde çalisan mobil cihazlarin genel olarak cihaz, içerik, uygulama ve güvenlik baglaminda uzaktan izlenmesi, güvenliginin saglanmasi, yönetilmesi ve desteklenmesini saglayan yazilimsal bir mobil cihaz güvenligi sistemidir. Güvenlik sektöründe kurumsal mobilite yönetimi (enterprise mobility management, EMM) olarak da adlandirilabilen MDM sistemleri ile mobil cihazlardaki veri, isletim sistemi ve kurulum gibi ayarlari kontrol edebilir, mobil cihaz aginizi gerçek zamanli takip edebilir ve farkli isletim sistemleri ile platformlarina sahip tüm cihazlar üzerinde tutarli ve benzer politikalar uygulayabilirsiniz. Bir EMM veya MDM sistemi genel olarak alttaki bilesenlerden olusur:


-Mobil Cihaz Güvenligi (Mobile Device Management, MDM): Cihazin güvenligi, cihazin yönetilmesi, kullanici güvenligi.
-Mobil Uygulama Yönetimi (Mobile Application Management, MAM): Mobil cihazdaki in-house ve harici uygulamalarin yönetimi ile güvenli uygulama katalogu.
-Mobil Içerik Güvenligi (Mobile Content Management, MCM): Mobil belge, veri ve içerik güvenligi ile güvenli web tarayici uygulamasi.
-Mobil E-Posta Yönetimi (Mobile E-Mail Management, MEM): Kurumsal e-postalarin güvenligi ve güvenli e-posta uygulamasi.
-Kisisel Cihaz Yönetimi (Bring Your Own Device, BYOD): Çalisanlarin kendi mobil cihazlari ile kurumsal kaynaklara ve uygulamalara erisimlerinin güvenligi.

Mobil Cihaz Güvenligi (MDM) Size Neyi Saglar ve Ihtiyaç Nasil Belirlenir?

MDM, mobil cihaz platformlarinin (iOS, Android, Windows Mobile, Blackberry vs) cihaz yönetimi için sundugu imkanlar ve yönetimi kolaylastirmak için açtigi API’ler ölçüsünde etkili olabilen bir sistemdir. Bunun yaninda örnegin ayni Android isletim sistemine sahip farkli üreticiler (Samsung, Sony, LG, HTC, Huawei vs) arasinda bile MDM kapasiteleri ve imkanlari arasinda ciddi farklar vardir. Hatta daha da ötesi olarak ayni üreticinin Android isletim sistemli farkli ürünleri için bile farkli MDM imkanlari söz konusudur.

Bir MDM sistemi almaya karar vermeden önce, bir kurumda MDM’in hangi platformda ve hangi cihaz tipinde kullanilacagi ile MDM’in tam olarak hangi maksatla kullanilacaginin çok net bir sekilde belirlenmesi gerekir. Bu tespitlerin yapilmasinin ardindan bir MDM projesinin basariya ulasmasi bir hayli yüksektir. Her kurumun farkli bir is kültürü, isleyisi ve iç dinamikleri oldugundan her üreticinin MDM sistemi ayni ölçüde yararli olmayabilir ve verimlilik saglamayabilir. MDM üreticileri her ne kadar birden çok mobil platform ile isletim sistemine sahip mobil cihazlari ayni anda desteklediklerini belirtseler de, aslinda MDM sisteminde cihaz karmasikliginin artmaya baslamasiyla beraber çok ciddi yönetimsel problemler de yasanmaya baslar. Bu problemlerin en basinda, cihazlarin senkron bir sekilde yönetilememesi ve sürekli tekrarlayan son kullanici sorunlari gelir. Bu yüzden MDM’i hangi tip cihaz ile isletim sistemlerinde ve hangi maksatla kullanilacaginin daha ilk asamada belirlenmesi gerekir.

MDM sistemleri alttaki maksatlar veya ihtiyaçlar için kullanilabilir



-Kurumsal mobil cihazlarin cografi konumunun takibi.
-Kurumsal mobil cihazlarin data (SMS, 3G/4G internet, Wifi) kullaniminin takibi.
-Kurumsal e-postalarin güvenli ve kontrollü bir sekilde dagitilmasi.
-Mobil e-postalar (ActiveSync) için veri sizintisi önleme tekniklerinin uygulanmasi.
-Kurumsal e-postalarin sadece MDM sistemine dahil olan cihazlar tarafindan alinip gönderilmesi.
-Mobil cihazlardaki native e-posta istemcisinin yönetilmesi.
-Mobil cihaz donanim envanterinin takibi.
-Kurumsal mobil uygulama envanterinin takibi. Bu uygulamalar hem kurum içi gelistirilmis (in-house) hem de uygulama magazalarindan olabilir.
-Mobil isletim sistemi konfigürasyon yönetimi.
-Mobil uygulama kurulumu, güncellenmesi ve kaldirilmasi.
-Mobil güvenlik politikasi uygulanmasi.
-Mobil cihazlara ortak kablosuz wifi ayarlarinin gönderilmesi.
-Mobil cihazlara ortak Exchange/ActiveSync ayarlarinin gönderilmesi.
-Mobil cihazlardaki SMS ve çagrilarin izlenmesi (iOS’ta yok ama özellikle
Android isletim sistemli bazi ürünler için yapilabiliyor)
-Mobil cihazlardan kurumsal aga VPN ile erisim saglanmasi (hem uygulama tabanli per-app VPN hem de uzaktan erisim için remote VPN).
-Mobil cihazlara uzaktan komut gönderilmesi (mesela cihaz kayboldugunda uzaktan wipe edilmesi yani silinmesi ve kullanicilara SMS veya push notification gönderilmesi gibi).
-Kurumsal ortak dosya paylasim alanlarina mobil cihazlardan erisim.
-Mobil cihazlardaki içeriklerin kontrol altinda tutulmasi (paylasilmamasi, baska bir yere gönderilmemesi veya screenhot alinmamasi gibi kontrollerin yapilmasi).
-Mobil cihazlarda isletim sistem güvenligi ve güvenlik zafiyet taramasi

Bir Mobil Cihaz Güvenligi (MDM) Sistemi En Azindan Hangi Özellikleri Saglamalidir?

Bir MDM sistemi almadan önce veya demo çalismalari safhasinda kurumsal ihtiyaçlarin da gözetilerek en azindan alttaki fonksiyonlarin yerine getirilmesini beklemek gerekir:

ActiveSync’i sadece MDM’le yönetilen cihazlara yönlendirebilme. Yani kurumsal e-postalara sadece MDM’e dahil olan cihazlarda kullandirma.
MDM sisteminin major/minor güncellemelerinde mobil cihaz MDM sistemine yeniden kayit olmak (register) zorunda olmamali, profili silinmemeli ve mevcut potikalar çalismaya devam etmelidir.
iOS isletim sistemli cihazlardaki native e-mail client’larinda mesajlarla gelen eklerin/belgelerin “Open with” ile baska bir uygulamada açilmasini engelleme.
Kismi MacOS cihaz kontrolü.
NAC (network access control) ürünleriyle entegrasyon.
AD (Active Directory) gibi LDAP sistemleriyle entegrasyon.
Kurumsal mobil telefonlarda SIM kart degisikligini algilama ve bunun tespit edilmesi durumunda cihazi kisitlama.
SIEM (syslog) entegrasyonu.
Kurumsal exchange ayarlarinin gönderilebilmesi.
iOS tabanli cihazlarin jailbreak veya Android cihazlarin rooted edilmesinin kontrolü.
Mobil cihazlardaki native web tarayicilarini veya MDM’in kendi web tarayicisini VPN ile tünelleme. Bu sayede kurum içi uygulamalara da mobil cihazdan erisim saglanmasi.
MDM sisteminin harici bir veri tabanina ihtiyaç duymayarak kendi built-in veri tabanini kullanmasi.
Mobil cihazin uzaktan tamamen silinmesi (full wipe)
Mobil cihazin uzaktan sadece kurumsal içeriklerinin silinmesi (enterprise wipe)
Bir mobil cihazda kullanici tarafindan MDM uygulamalari ile profillerinin kasti olarak silinmesi yoluyla MDM sisteminden çikarilmasi durumunda tüm kurumsal hizmetlerin (e-posta, erisim, uygulama vb) otomatik olarak kesilmesi.
Mobil cihazlardaki MDM politikalarinda önceliklendirme.
Kurumsal çalisanlarin esnek bir sekilde etiketlenebilmesi ve etiketlere bagli olarak politika ve kural verilebilmesi.
Mobil uygulamalarda kara liste/beyaz liste uygulamasi.
Detayli raporlama, rapor portali vb.

Bir Mobil Cihaz Güvenligi (MDM) Ürünü Kurumsal Agda Nasil Konumlandirilmalidir?

MDM sistemini kullanacak client sayisina göre MDM’de hem yerinde hem de uzakta felaket konumunda yedeklilik önemlidir. Kurumsal e-posta trafiginin yönetilmesi durumunda, e-posta trafigi ile içerik ve uygulamalari yönetecek ve yönlendirecek sunucularin ayristirilmasi da önemlidir. Ayrica MDM kurulumunda kurumsal e-posta trafiginin MDM yüklü olmayan cihazlardan alinmamasi için kurum topolojisinde ayarlama yapilmali, load balance üzerinde veya Exchange/CAS sunucularinda ilgili kisitlamalar yapilmalidir.

seamtrie
   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©