it-sa 2013 Nürnberg, 08.10.2013 Neue Lösungen für Mobile Security Von Sicherheitskernen zu Work-Life Balance Stefan Gieseler Sirrix AG security technologies
2013 ı Classification: Public Neue Lösungen für Mobile Security Von Sicherheitskernen zu Work-Life Balance It-sa 2013
Was wollen wir? Telefonieren Nachrichten lesen & schreiben Bahnauskunft, Hotel buchen Twittern Fotos aufnehmen und teilen Spiele für zwischendurch? 2
Was wollen wir? Gerät auch beruflich nutzen Kontakte verfügbar haben Termine synchron halten Mail lesen & schreiben Dokumente lesen Unternehmensspezifische Anwendungen 3
Was will der Nutzer nicht? IT Zugriff auf persönliche Daten geben Funktionalität des Gerätes einschränken 4
Was will das Unternehmen nicht? Private Nutzerdaten verwalten Unkontrollierten Zugriff auf Unternehmensdaten und - ressourcen riskieren 5
Herausforderungen 6
Gefährdungen für Smartphones (1/2) Smartphones gehen verloren und werden geklaut Risiko Preisgabe gespeicherter Daten (Mails, Kontakte, ) Passworte sind oft unsicher und werden geknackt Risiko Preisgabe gespeicherter Daten, unautorisierter Zugriff auf Unternehmensressourcen (Intranet, Mails, ) Kommunikation wird abgehört Risiko Preisgabe übertragener Daten (z.b. Passwörter, PINs, Zugangscredentials, Webzugriffe, ), abgehörte Telefonate Datensauger-Apps Risiko Preisgabe vertraulicher Daten (Kontakte, Kalendereinträge, Ortsangaben, ) 7
Gefährdungen für Smartphones (2/2) Exploits von App-Fehlern Direkter Zugriff auf App-Daten Indirekter Zugriff auf Daten anderer Apps Risiko Preisgabe vertraulicher Daten Exploits von Android-Fehlern Zugriff auf kryptographische Schlüssel Umgehung von Isolations- und Verschlüsselungsmechamismen Risiko Preisgabe vertraulicher Daten, unautorisierter Zugriff auf Unternehmensressourcen (Intranet, Mails, ) 8
Lösungen der 1. Generation Mobile Device Management (MDM) Container-basiert Server/Proxy-basiert 9
Schutz vor Diebstahl und Verlust Schutz der Kommunikation Remote-Lock, Remote-Wipe Zentrale Sicherheitsvorgaben (PIN-Aktivierung, etc.) VPN, Mobile Device Management (MDM) Verschlüsselung der Gerätedaten 10
Schutz vor Datensauger-Apps Kontrolle über App-Installation, Einschränkung von Apps Separate PIM-Anwendung Schutz der Unternehmens-Apps durch Container Remote Virtualisierung der Unternehmens-Apps 11
Rasant zunehmende Gefährdungen: Exploits und Malware 12
Mobile Sicherheit 13
Mikrokern-basierte Sicherheitsarchitektur Business Private Vorteile App App App App App App Android Middleware Android Middleware Linux Kernel Linux Kernel Virtualization Security Layer & Driver Mikrokern Smartphone Hardware Kleine TCB Nachteile Aufwändige Portierung Treiberentwicklung Hoher Ressourcenverbrauch Beispiele SimKo III Sicherheitskern 14
Sicherheitsarchitektur mit Type Enforcement Business (classified) App App App App App App Hardened Android Middleware With Security Extensions TURAYA Security Kernel & Type Enforcement Smartphone Hardware Sicherheitskern Personal (unclassified) Vorteile Einfachere Portierung Geringer Ressourcenverbrauch Nachteile Größere TCB Beispiele BizzTrust (Sirrix/Fraunhofer SIT) BlackBerry Balance 15
BizzTrust für Android BizzTrust Trusted Objects Manager Cert Apps Profile Management HTTPs VPN Gateway IPSec 16
Trennung von beruflichen und privaten Anwendungen Business- und Private-Umgebung Benutzer hat volle Kontrolle über die private Umgebung Unternehmen hat volle Kontrolle über die berufliche Umgebung Strikte Trennung Trennung von Apps und Benutzerdaten Apps einer Umgebung haben keinen Zugriff auf die Apps der anderen Umgebung Optionale Trennung von Kontakten und Kalendereinträgen Business-Apps haben keinen direkten Zugriff auf das Internet 17
Zusammenfassung Gehärtetes Betriebssystem Schutz vor Exploits Strenge Isolation Schutz vor Datensaugern Datenverschlüsselung Aktivierung von Sicherheitsmechanismen VPN 18
Referenzen: Sirrix AG Im Stadtwald, Geb. D3 2 66123 Saarbrücken GERMANY Alkassar, Heuser, Stüble: Vertrauenswürdige Smartphones: Technologien und Lösungen, 13. Deutscher IT-Sicherheitskongress, Bad Godesberg Mai 2013. Alkassar, Schulz, Stüble: Sicherheitskern(e) für Smartphones: Ansätze und Lösungen, Datenschutz und Datensicherheit (DuD) 3/2012. Tel +49 (0)681/95986-0 Fax +49 (0)681/95986-500 Email Web info@sirrix.com www.sirrix.com 19