White paper

Mobile software e sicurezza: il ruolo di Knox per la protezione dei device e dei dati

Come garantire la sicurezza dei device mobile aziendali con l’aiuto di Samsung Knox.

03-12-2018

Al giorno d’oggi, con la diffusione dello smart working, la security aziendale non può più trascurare il fatto che i cosiddetti lavoratori agili utilizzano sempre più spesso lo smartphone e il tablet (sia aziendali sia personali) per svolgere le normali attività produttive.
Un grado di complicazione in più per i responsabili IT che devono necessariamente effettuare un attento assessment delle numerose app mobile con le quali è possibile accedere alle risorse aziendali. Solo così è possibile individuare quelle che, in apparenza utili, contribuiscono in realtà ad incrementare le vulnerabilità dell’azienda sul fronte della sicurezza.

Nell'assistenza sanitaria, la rivoluzione mobile è stata più lenta rispetto ad altri settori, ma è comunque importante. Il fattore che ha favorito la progressiva adozione di tablet e smartphone nell’healthcare è stata la diffusione delle App, che permettono ai medici di monitorare lo stato di salute del paziente e acquisire i dati sanitari a distanza, gestire il calendario degli appuntamenti e delle visite, controllare i dosaggi dei farmaci e le interazioni. Negli ospedali più evoluti, i terminali a bordo letto hanno già sostituito le cartelle cliniche cartacee, con il risultato evidente che i dati del paziente (pressione, esami del sangue, diagnostica per immagini) sono sempre aggiornati in tempo reale.

Mobile security: le best practice da seguire

Un’attività, quella del controllo delle mobile app utilizzate per l’accesso alle risorse aziendali che, soprattutto in ambienti lavorativi dove è sempre più diffusa una gestione del personale di tipo BYOD (Bring Your Own Device, letteralmente: porta il tuo dispositivo), COPE (Corporate Only, Personal Enabled: l’azienda compra il device e permette al dipendente di usarlo anche per scopi personali) e COBO (Corporate Owner, Business Only: il device è aziendale e può essere usato solo per lavoro), deve diventare organica ad una più ampia strategia di risk management che consenta di identificare, analizzare, valutare, eliminare e monitorare i rischi associati a qualsiasi attività.
È importante, inoltre, che i team di sicurezza delle aziende sappiano sempre come comportarsi per garantire la sicurezza in ambito mobile. A tal proposito, possono tornare utili i consigli del SANS Institute applicabili a qualsiasi dispositivo sia esso aziendale oppure di proprietà del dipendente:

• rendere obbligatoria l’autenticazione dell’utente sul dispositivo;
• monitorare l’accesso e l’uso del dispositivo;
• garantire l’applicazione delle patch di sicurezza;
• proibire l’accesso agli app store di terze parti non controllate;
• controllare l’accesso fisico;
• valutare la compliance dell’applicazione ai criteri di security;
• prepararsi a gestire gli incidenti; dispositivi persi o rubati;
• implementare il supporto di gestione e operativo.

È evidente che questi consigli sono semplici da mettere in pratica quando si ha a che fare con i dispositivi mobili di proprietà dell’azienda. Molto più complicato, invece, applicarli in scenari di tipo BYOD. In questi casi, l’opzione più sicura per monitorare i dispositivi dei dipendenti e proteggere i dati aziendali, garantendo al contempo la necessaria riservatezza di quelli personali, è quella di usare una “applicazione container”. In questo modo è possibile isolare i dati aziendali all’interno di un’area virtuale protetta nella memoria del dispositivo, consentendo comunque ai dipendenti di continuare ad usare liberamente il proprio smartphone o il tablet in assoluta sicurezza.

Samsung Knox: la soluzione giusta per scongiurare un data breach

In questa ottica, la piattaforma Samsung Knox può rivelarsi la soluzione giusta per avere il controllo da remoto e in sicurezza dei dispositivi mobili aziendali. Integrata nativamente sia nell’hardware sia nel software dei dispositivi Samsung alto di gamma, offre tutta una serie di controlli multilivello in grado di rilevare accessi non autorizzati ai dati aziendali ed eventuali manomissioni che potrebbero compromettere l’integrità del dispositivo:

1. il Container rappresenta il primo livello di sicurezza della piattaforma Knox. Si tratta di un contenitore virtuale di app preinstallate che funzionano indipendentemente da tutte le altre applicazioni e contenuti presenti sul dispositivo o installate dall’utente.

2. Il successivo livello di sicurezza è il SE per Android (Security Enhancements per Android) che impedisce alle app e ai processi di accedere a dati e risorse non autorizzate. Ad esempio, alle applicazioni esterne al Container non è consentito accedere ai dati gestiti mediante le app interne al contenitore sicuro. Con SE per Android, inoltre, è possibile concedere privilegi d’uso speciali basati su specifiche politiche di Enterprise Mobility Management (EMM). In particolare, SE per Android suddivide il sistema operativo in domini di sicurezza all’interno dei quali alle applicazioni vengono concessi i permessi minimi necessari per funzionare. Questo contiene i danni che possono essere causati da applicazioni dannose o difettose, in quanto i problemi in un dominio non si diffondono in un altro. Utilizzando una serie di policy specifiche, inoltre, è possibile definire quali utenti e applicazioni possono accedere a quali file e risorse. Qualora SE per Android dovesse rilevare un accesso non autorizzato, all’utente verrà notificato un messaggio con le indicazioni degli eventuali limiti d’uso.

3. Il livello più importante di Samsung Knox è il TIMA (o TrustZone-based Integrity Measurement Architecture) , un modulo che integra funzioni di privacy e sicurezza integrate nel sistema che funzionano come un buffer tra il kernel Android e il processore del dispositivo mobile. Questa particolare tecnologia incorpora caratteristiche di sicurezza che garantiscono un monitoraggio continuo, isolato e protetto da meccanismi basati direttamente sull’hardware del device: in questo modo diventa difficile, se non impossibile, aggirare i controlli. Cosa che invece potrebbe facilmente accadere utilizzando software e app di sicurezza facilmente aggirabili creando vulnerabilità pericolose per gli utenti, soprattutto in ambito aziendale.

4. Il livello Secure Boot & Trusted Boot garantisce invece la sicurezza del sistema e delle app installate fin dall’avvio del dispositivo stesso. Con la tecnologia Secure Boot vengono verificate all'avvio le firme dei componenti e verificata l'integrità di ciascuno di essi. Il processo di avvio della periferica si arresta qualora il processo di verifica della firma dovesse fallire. Secure Boot ha però un limite: non è in grado di distinguere, ad esempio, tra un bootloader legittimo ma con una vulnerabilità nota e una versione successiva patchata, in quanto entrambe le versioni hanno firme valide. Per risolvere questo problema, Knox adotta oltre a Secure Boot anche la tecnologia Trusted Boot che in fase di avvio del dispositivo verifica la chiave hash di ogni singolo componente della memoria prima di caricarlo.

5. L’ultimo livello di Knox, Hardware Root of Trust , effettua come è facile intuire un controllo già a livello hardware prima di consentire l’esecuzione del sistema operativo e delle varie applicazioni.

Grazie alla piattaforma Knox è possibile, inoltre, utilizzare un algoritmo di crittografia a 256 bit basata sull’hardware del device stesso che impedisce qualunque accesso non autorizzato alle applicazioni e al sistema operativo.
Soluzioni di sicurezza per l’accesso ai dati sensibili davvero a prova di ogni possibile manomissione.