Knox-functies die smartphones optimaal beveiligen voor zakelijk gebruik

Knox-functies die smartphones optimaal beveiligen voor zakelijk gebruik

25-07-2017

Wie er nog aan twijfelde, zal sinds de lancering van de Galaxy S8 overtuigd zijn: de smartphone is een volwaardig werkinstrument, dat flexibiliteit en productiviteit garandeert. Maar hoe zit het met security? Dankzij deze 9 features vertrouwt u uw bedrijfsdata met een gerust hart toe aan de mobiele devices van uw werknemers.

1. Strenge wachtwoord-vereisten

Rolt u Knox Premium uit als mobile device management-systeem (MDM) voor de smartphones in uw organisatie? Dan kunt u wachtwoordregels vastleggen op verschillende niveaus: om toegang te krijgen tot het toestel zelfenerzijds en tot de zakelijke container of workspace anderzijds. Enkele mogelijkheden:

  • Bepaal de vormelijke vereisten van de wachtwoorden en maak ze immuun voor hackers en guessers: minimale lengte, verhouding tussen cijfers en hoofd- en kleine letters, enz.
  • Laat toestellen na een bepaalde periode van inactiviteit weer op slot gaan. Gebruikers krijgen alleen opnieuw toegang met hun wachtwoord.
  • Kies een geldigheidstermijn voor het wachtwoord. Na afloop moet de gebruiker het vervangen door een nieuwe code.
  • Stel in of gebruikers het wachtwoord kunnen zien wanneer ze het intypen. Dat kan handig zijn voor hen, maar risicovol voor uw bedrijfsdata.
  • Bepaal of gebruikers het toestel of de workspace kunnen openen met hun vingerafdruk of niet.
  • Leg een dubbele authenticatie op voor de workspace. Bijvoorbeeld een combinatie van wachtwoord en fingerprint.

2. Beperkingen op het delen van data

In Knox Workspace zijn uw bedrijfsdata veilig. En met meer dan 600 ondersteunde IT-policy’s en 1800 MDM-API’s zorgt u er als administrator voor dat dat zo blijft. Enkele voorbeelden:

  • Stel in dat het e-mailprogramma alleen digitaal versleutelde e-mails verstuurt.
  • Maak het voor gebruikers onmogelijk om vanuit de container foto’s te delen op sociale media.
  • Verhinder dat medewerkers informatie kopiëren van de persoonlijke naar de professionele zone – en omgekeerd.
  • Kies of gebruikers screenshots kunnen nemen in de beveiligde workspace. Standaard is die functie uitgeschakeld.
  • Maak een lijst van goedgekeurde websites waarop gebruikers documenten kunnen uploaden. Uploads zijn dan alleen mogelijk op gewhiteliste URL’s.

Knox houdt sommige acties altijd tegen uit veiligheidsoverwegingen. Zo kunt u geen data overschrijven vanuit de Workspace-omgeving naar een externe SD-kaart. En neemt een medewerker een foto in de workspace? Dan verschijnt die alleen dáár in de galerij. Daarmee verdwijnt het risico op datalekken door verstrooidheid of onvoorzichtigheid.

3. Iris als betrouwbare sleutel naar Workspace

De nieuwste Knox versies (vanaf 2.7) laten gebruikers hun workspace openen via irisherkenning –als de telefoon die functie tenminste al ondersteunt. En dat is goed nieuws, want fingerprint authentication is niet onfeilbaar. Zo kunnen de afdrukken vervalst worden. Bovendien blijven de patronen op uw vingertoppen niet eeuwig hetzelfde: een blessure of ruw werk kunnen uw vingerafdruk wijzigen. Uw iris is op dat gebied stabieler. Tot vandaag zijn cybercriminelen er niet in geslaagd om de iris te kopiëren.

4. Koppel VPN-verbinding met http proxyserver

Hoe meer flexibiliteit u mensen gunt, hoe productiever ze zijn. Steeds meer bedrijven stimuleren dan ook thuiswerk. En een VPN-verbinding is de populairste manier om ervoor te zorgen dat die thuiswerkers daar net zo soepel werken als op kantoor – bijvoorbeeld omdat ze onmiddellijk toegang hebben tot alle businessdata.

Probleem: een gewone Android-smartphone laat het afweten als hij een VPN-verbinding moet maken in combinatie met een http proxyserver. En die laatste gebruiken heel veel bedrijven om hun uitgaande webverkeer te monitoren en te optimaliseren. Knox zorgt ervoor dat VPN en http proxy wél moeiteloos samenwerken. Net zoals uw interne en externe medewerkers, gemakkelijk én veilig op een netwerk waarvan u de touwtjes in handen blijft houden.

5. Wis alle data van een verloren of gestolen toestel

Als een toestel in verkeerde handen valt, kun je als IT-admin alle data in de professionele container verwijderen op afstand. Zo’n wipe komt goed van pas bij diefstal of verlies van uw smartphone. IT-beheerders kunnen via hun MDM-console ook toestellen opsporen en afsluiten. Wordt het toestel uiteindelijk teruggevonden en weer in gebruik genomen? Dan installeert de MDM-software zichzelf opnieuw zodra het device verbinding maakt met een WiFi-netwerk.

6. Automatische safetycheck-keten tijdens boot en runtime

Samsung Knox is een platform dat geïntegreerde beveiliging biedt. Dat begint al bij de opstart of boot van het apparaat. Eerst is er een hardwarcheck – de Hardware Root of Trust. Secure Boot controleert of de boot loaders niet zijn gewijzigd en Trusted Boot of ze wel alle updates hebben gehad. Met die opeenvolgende acties checkt het device of zijn Knox-beveiligingssoftware niet gecompromitteerd is. Want in dat geval zou een hacker vrij spel krijgen.

Tijdens het gebruik van het apparaat (runtime) speuren Periodic Kernel Measurement en Real-time Kernel Protection dan weer naar verdachte activiteiten – zoals een kernelverzoek dat een veiligheidsprobleem veroorzaakt. En net als in de boot-fase geldt dan: stelt Knox een security-inbreuk vast? Dan wordt het apparaat onmiddellijk geblokkeerd.

7. Geofencing: virtueel hek rond mobile devices

Als IT-beheerder kunt u een geografische perimeter of geofence instellen. U trackt dan of een toestel zich binnen of buiten de afgebakende zone bevindt en onderwerpt het device zo automatisch aan vooraf bepaalde policies. Voorbeelden:

  • U schakelt de camerafunctie uit in specifieke gebieden om te vermijden dat gebruikers zonder toestemming foto’s nemen en vertrouwelijke informatie naar buiten brengen.
  • U laat toestellen niet automatisch in screen lock-modus gaan in de vertrouwde werkomgeving. Zo stimuleert u de productiviteit van uw medewerkers.
  • U zorgt ervoor dat toestellen buiten het geofence geen toegang hebben tot het bedrijfsnetwerk en beschermt op die manier uw gevoelige data.

8. Gevoelige info beschermen met Data Loss Prevention (DLP)

Clouddiensten en mobiele telefoons maken dat bedrijfsdata volop rondvliegen buiten de bedrijfsmuren. Dat maakt het risico op datalekken groot. Natuurlijk is het ene stuk informatie vertrouwelijker dan het andere. Daarom kunt u u vanaf Knox 2.6 concrete data categoriseren en beheren op basis van hun veiligheids- of gevoeligheidsvereisten.

Schakel daarvoor Data Loss Prevention (DLP) in en selecteer welke apps gevoelige data mogen openen of creëren. We noemen die data ook DLP content. Wilt u nog meer veiligheid inlassen?

  • Stel een geldigheidstermijn in als extra veiligheid. Na de vervaldatum verdwijnt de DLP content automatisch van het toestel.
  • Leg netwerk- en klembordbeperkingen op aan gevoelige data.

9. Encryptie- en decryptiesleutels veilig opgeborgen

Gevoelige data worden versleuteld om ze af te schermen van nieuwsgierige blikken (encryptie), en gedecodeerd zodat bevoegde medewerkers ermee aan de slag kunnen (decryptie). Dankzij ARM TrustZone liggen de cryptografische sleutels niet zomaar voor het grijpen. De kern van de oplossing schuilt in de opdeling tussen een onderbeveiligde Normal World en zwaarbewaakte Secure World. Standaard draait zowat alle smartphonesoftware in de Normal World. De Secure World is specifiek gebouwd voor bedrijfskritische berekeningen en vertrouwelijke data. In de Normal World zou een hacker de versleutelingscodes kunnen achterhalen wanneer hij doorstoot tot de KeyStore. In de Secure World van TrustZone, met zijn TIMA KeyStore, is dat uitgesloten.

Knox-functies beschermen bedrijf én medewerkersprivacy

ARM TrustZone en de andere functies in dit artikel wapenen uw bedrijf doeltreffend tegen datalekken en malware. Tegelijk beschermen ze de privacy van de medewerker: die weet zeker dat de werkgever niet meekijkt in zijn persoonlijke mails en foto’s. Iedereen kan gerust zijn.

Meer informatie, interesse of vragen?

Heeft u vragen of wenst u meer informatie?
Neem dan contact op met uw accountmanager, bel met 088 – 411 00 11 of stuur een e-mail naar info@btc.nl.

Alle contactgegevens