Informatieve illustratie

9 Knox-functies die smartphones optimaal beveiligen voor zakelijk gebruik

Oct 30. 2017

9 Knox-functies die smartphones optimaal beveiligen voor zakelijk gebruik
Wie er nog aan twijfelde, zal sinds de lancering van de Galaxy S8 overtuigd zijn: de smartphone is een volwaardig werkinstrument, dat flexibiliteit en productiviteit garandeert. Maar hoe zit het met security? Dankzij deze 9 features vertrouw je je bedrijfdata met een gerust hart toe aan de mobiele devices van je werknemers.

1. Doorgedreven wachtwoord-vereisten
Rol je Knox Premium uit als mobile device management-systeem voor de smartphones in je organisatie? Dan kun je wachtwoordregels vastleggen op verschillende niveaus: om toegang te krijgen tot het toestel zelf enerzijds en tot de zakelijke container of workspace anderzijds. Enkele mogelijkheden:

• Bepaal de vormelijke vereisten van de wachtwoorden en maak ze immuun voor hackers en guessers: minimale lengte, verhouding tussen cijfers en hoofd- en kleine letters, …
• Laat toestellen na een bepaalde periode van inactiviteit weer op slot gaan. Gebruikers krijgen alleen opnieuw toegang met hun wachtwoord.
• Kies een geldigheidstermijn voor het wachtwoord. Na afloop moet de gebruiker het vervangen door een nieuwe code.
• Stel in of gebruikers het wachtwoord kunnen zien wanneer ze het intypen. Dat kan handig zijn voor hen, maar risicovol voor je bedrijfsdata.
• Bepaal of gebruikers het toestel of de workspace kunnen openen met hun vingerafdruk of niet.
• Leg een dubbele authenticatie op voor de workspace. Bijvoorbeeld een combinatie van wachtwoord en fingerprint.

2. Beperkingen op het delen van data
In Knox Workspace zijn je bedrijfsdata veilig. En met meer dan 600 ondersteunde IT-policy’s en 1800 MDM-API’s zorg jij er als administrator voor dat dat zo blijft. Enkele voorbeelden:

• Stel in dat het e-mailprogramma alleen digitaal versleutelde e-mails verstuurt.
• Maak het voor gebruikers onmogelijk om vanuit de container foto’s te delen op sociale media.
• Verhinder dat medewerkers informatie kopiëren van de persoonlijke naar de professionele zone – en omgekeerd.
• Kies of gebruikers screenshots kunnen nemen in de beveiligde workspace. Standaard is die functie uitgeschakeld.
• Maak een lijst van goedgekeurde websites waarop gebruikers documenten kunnen uploaden. Uploads zijn dan alleen mogelijk op gewhiteliste URL’s.
Knox houdt sommige acties altijd tegen uit veiligheidsoverwegingen. Zo kun je geen data overschrijven vanuit de Workspace-omgeving naar een externe SD-kaart. En neemt een medewerker een foto in de workspace? Dan verschijnt die alleen dáár in de galerij. Daarmee verdwijnt het risico op datalekken door verstrooidheid of onvoorzichtigheid.

3. Iris als betrouwbare sleutel naar Workspace
De nieuwste Knox versies (vanaf 2.7) laten gebruikers hun workspace openen via iris-herkenning – tenminste als de telefoon die functie al ondersteunt. En dat is goed nieuws, want fingerprint authentication is niet onfeilbaar.
Zo kunnen de afdrukken vervalst worden. Bovendien blijven de patronen op je vingertoppen niet eeuwig dezelfde: een blessure of handenarbeid kunnen je prints wijzigen. Je iris is op dat vlak stabieler. Tot vandaag zijn cybercriminelen er niet in geslaagd om ze te kopiëren.

4. Koppel VPN-verbinding met http proxyserver
Hoe meer flexibiliteit je mensen gunt, hoe productiever ze zijn. Almaar meer bedrijven moedigen dan ook thuiswerk aan. En een VPN-verbinding is de populairste manier om ervoor te zorgen dat die thuiswerkers daar net zo vlot werken als op kantoor – bijvoorbeeld omdat ze onmiddellijk toegang hebben tot alle businessdata.
Probleem: een gewone Android-smartphone laat het afweten als hij een VPN-verbinding moet maken in combinatie met een http proxyserver. En die laatste gebruiken heel veel bedrijven om hun uitgaande webverkeer te monitoren en te optimaliseren.
Knox zorgt ervoor dat VPN en http proxy wél moeiteloos samenwerken. Net zoals jouw interne en externe medewerkers, gemakkelijk én veilig op een netwerk waarvan jij de touwtjes in handen blijft houden.

5. Wis alle data van een verloren of gestolen toestel
Als een toestel in verkeerde handen valt, kun je als IT-admin alle data in de professionale container verwijderen op afstand. Zo’n wipe komt goed van pas bij diefstal of verlies van je smartphone.
IT-beheerders kunnen via hun MDM-console ook toestellen opsporen en afsluiten. Wordt het toestel uiteindelijk teruggevonden en weer in gebruik genomen? Dan installeert de MDM-software zichzelf opnieuw zodra het device verbinding maakt met een wifi-netwerk.

6. Automatische safetycheck-keten tijdens boot en runtime
Samsung Knox is een platform dat geïntegreerde beveiliging biedt. Dat begint al bij de opstart of boot van het apparaat. Eerst is er een hardwarcheck – de Hardware Root of Trust. Secure Boot controleert of de boot loaders niet zijn gewijzigd en Trusted Boot of ze wel alle updates hebben gehad.
Met die opeenvolgende acties checkt het device of zijn Knox-beveiligingssoftware niet gecompromitteerd is. Want in dat geval zou een hacker vrij spel krijgen.
Tijdens het gebruik van het apparaat (runtime) speuren Periodic Kernel Measurement en Real-time Kernel Protection dan weer naar verdachte activiteiten – zoals een kernelverzoek dat een veiligheidsprobleem veroorzaakt. En net als in de boot-fase geldt dan: stelt Knox een security-inbreuk vast? Dan wordt het apparaat onmiddellijk geblokkeerd.

7. Geofencing: virtueel hek rond mobile devices
Als IT-beheerder kun je een geografische perimeter of geofence instellen. Je trackt dan of een toestel zich binnen of buiten de afgebakende zone bevindt, en onderwerpt het device zo automatisch aan vooraf bepaalde policy’s. Voorbeelden:

• Je schakelt de camerafunctie uit in specifieke gebieden om te vermijden dat gebruikers zonder toestemming foto’s nemen en vertrouwelijke informatie naar buiten brengen.
• Je laat toestellen niet automatisch in screen lock-modus gaan in de vertrouwde werkomgeving. Zo stimuleer je de productiviteit van je medewerkers.
• Je zorgt ervoor dat toestellen buiten het geofence geen toegang hebben tot het bedrijfsnetwerk en beschermt op die manier je gevoelige data.

8. Gevoelige info beschermen met Data Loss Prevention (DLP)
Clouddiensten en mobiele telefoons maken dat bedrijfsdata volop rondvliegen buiten de bedrijfsmuren. Dat maakt het risico op datalekken groot. Natuurlijk is het ene stuk informatie al vertrouwelijker dan het andere. Daarom kun je vanaf Knox 2.6 concrete data categoriseren en beheren op basis van hun veiligheids- of gevoeligheidsvereisten.
Schakel daarvoor Data Loss Prevention (DLP) in en selecteer welke apps gevoelige data mogen openen of creëren. We noemen die data ook DLP content. Wil je nog meer veiligheid inlassen?

• Stel een geldigheidstermijn in als extra veiligheid. Na de vervaldatum verdwijnt de DLP content automatisch van het toestel.
• Leg netwerk- en klembordbeperkingen op aan gevoelige data.

9. Encryptie- en decryptiesleutels veilig opgeborgen
Gevoelige data worden versleuteld om ze af te schermen van nieuwsgierige blikken (encryptie), en gedecodeerd zodat bevoegde medewerkers ermee aan de slag kunnen (decryptie). Dankzij ARM TrustZone liggen de cryptografische sleutels niet zomaar voor het grijpen.
De kern van de oplossing schuilt in de opdeling tussen een onderbeveiligde Normal World en zwaarbewaakte Secure World. Standaard draait zowat alle smartphonesoftware in de Normal World. De Secure World is specifiek gebouwd voor bedrijfskritische berekeningen en vertrouwelijke data.
In de Normal World zou een hacker de versleutelingscodes kunnen achterhalen wanneer hij doorstoot tot de KeyStore. In de Secure World van TrustZone, met zijn TIMA KeyStore, is dat uitgesloten.

Knox-functies beschermen bedrijf én medewerkersprivacy
ARM TrustZone en de andere functies in dit artikel wapenen je bedrijf doeltreffend tegen datalekken en malware. Tegelijk beschermen ze de privacy van de medewerker: die weet zeker dat de werkgever niet meekijkt in zijn persoonlijke mails en foto’s. Iedereen gerust.

Meer over de secure experience van Samsung Knox?
Ontdek features en casestudy’s op http://www.samsung.com/be/knox/