MobileIron beschermt ‘ieder endpoint, waar dan ook’

Abonneer je gratis op Techzine!

Binnen enterprise organisaties zijn vaak duizenden endpoints actief. Deze devices zijn vaak niet identiek en bevinden zich overal. Het goed beveiligen van de devices zou daardoor complex kunnen zijn. Security-leverancier MobileIron springt echter in op de vraagstukken die er spelen rond endpoints. Het wil met zijn producten helpen de ‘Everywhere Enterprise’ mogelijk en veilig te maken: er wordt overal gewerkt en data en devices bevinden zich op allerlei plekken.

MobileIron vindt zijn oorsprong als een leverancier van Mobile Device Management (MDM)-oplossingen. Zo’n platform wordt gebruikt om mobiele devices te beheren, zoals iOS- en Android-toestellen. Door de jaren heen zijn aan het oorspronkelijke MDM-product dusdanig veel functionaliteiten toegevoegd, dat het uitgegroeid is tot een zeer uitgebreid beheer- en securityplatform. Vanuit één console kunnen alle endpoints van een enterprise beheerd worden, ook bijvoorbeeld Windows 10- en macOS-devices.

We schreven medio 2019 al eens wat organisaties precies met het product van MobileIron kunnen bereiken. Sindsdien heeft het bedrijf de nodige innovaties doorgevoerd, met het oog op de ondersteuning van de Everywhere Enterprise. We gingen in gesprek met Global Lead Solutions Enablement Maxime Chardome en Regional Sales Director Benelux Arjan Veenboer voor een update.

Everywhere Enterprise staat centraal

Het merendeel van de activiteiten van MobileIron staat in het teken van de Everywhere Enterprise. Met deze term omschrijft het bedrijf de huidige manier van werken, waarbij waardevolle eigendommen van enterprise organisaties zich overal bevinden. Uiteraard doordat personeel overal werkt: op kantoor, thuis, onderweg, het magazijn en zo kunnen we nog wel even doorgaan. De endpoints, de data, de infrastructuur, de klanten en de medewerkers bevinden zich door dit verspreide landschap ook op allerlei plekken. Er is een ontzettend hybride wereld ontstaan.

Uitsluitend een hele sterke on premise endpoint security-strategie is daarmee eigenlijk niet meer voldoende. Tot op zekere hoogte gold dat al voor de uitbraak van het coronavirus, want toen waren er ook al veel mobiele werkers. Door corona is de verschuiving echter in een stroomversnelling gekomen. Bedrijven zijn hier ook op ingesprongen door allerlei IT-diensten versneld uit te rollen. Inmiddels worden heel veel cloud-gebaseerde diensten afgenomen, aangezien ze kunnen helpen bij het werken in de Everywhere Enterprise.

Ook cybercriminelen zijn zich bewust van deze veranderende omstandigheden. Ze passen hun aanvallen aan op de situatie. Het is bijvoorbeeld aantrekkelijker geworden om phishing toe te passen. Als hackers op deze manier inloggegevens weten te bemachtigen, dan kunnen ze die onder meer gebruiken om gevoelige bedrijfsinformatie uit clouddiensten te halen. Een phishing-aanval hoeft in theorie dus maar één keer succesvol te zijn om ernstige schade aan te kunnen richten. En zo zijn er meerdere soorten aanvallen die de afgelopen periode een boost hebben gekregen. Hackers proberen op allerlei manieren via devices, netwerken en applicaties toegang te krijgen tot bedrijven en de bedrijfsinformatie.

Unified Endpoint Management als fundering

Het antwoord van MobileIron is het inzetten van een Unified Endpoint Management (UEM)-oplossing. Hiermee krijgen beheerders de beschikking over één console, om van hieruit de security te regelen voor alle devices binnen de organisatie. Het is mogelijk om de endpoints te voorzien van de apps, instellingen en configuraties die volgens het security-beleid benodigd zijn om de veiligheid van de bedrijfsinformatie zo goed mogelijk te waarborgen. Beheerders kunnen als ze willen in een keer een configuratie pushen naar een groep van endpoints, zonder hierbij ieder device los af te hoeven gaan.

Voor de eindgebruiker, vaak de werknemer, is dit ook ontzettend handig. De gebruiker zal waarschijnlijk een voorkeur hebben voor het werken met Android, iOS, Windows 10 en/of macOS en kan met het platform van diens keuze aan de slag binnen een vastgesteld security-beleid. MobileIron ondersteunt al deze besturingssystemen. Stel dat een enterprise organisatie besluit om 1.000 Windows 10-laptops te leveren om thuiswerken te ondersteunen. Werknemers hebben in dat geval de zekerheid dat de devices voldoen aan de standaarden van de IT-afdeling. De gewenste instellingen en benodigde apps en tools zijn immers direct aanwezig. UEM zorgt er ook voor dat de devices blijven voldoen aan de gestelde richtlijnen. Beheerde devices bieden IT-afdelingen namelijk ook voortdurend inzicht in wat er in het endpoint-landschap speelt. UEM ziet bijvoorbeeld wanneer een app die voor het security-beleid noodzakelijk is verwijderd wordt van een beheerd device en kan hier dan eventueel een passende actie op nemen. Het is bijvoorbeeld mogelijk om op dat moment de toegang tot bedrijfsinformatie te blokkeren vanaf dit device.

IT-beheerders zijn echter ook haastig op zoek naar het inbouwen van meer zekerheid met betrekking tot het gebruik van onbeheerde devices, zoals privé devices van gebruikers, wanneer deze bedrijfsinformatie benaderen. Op dat vlak wil je ook de nodige security-zekerheden hebben wanneer deze toegang krijgen tot gevoelige bedrijfsinformatie. Het is voor het beschermen van onbeheerde endpoints dan ook belangrijk om een zero trust-aanpak te hanteren, stelt MobileIron. Door deze benadering krijgen alleen gebruikers, devices en diensten toegang tot de waardevolle bedrijfseigendommen die toegang zouden mogen krijgen. Vertrouw niets, verifieer altijd, is het idee van zero trust.

Tip: Zero trust-platform van MobileIron gebruikt mobiele apparaten als digitale ID

Extra beveiliging met Threat Defense

Het zero trust-principe is doorgevoerd in de meeste services van MobileIron. Zo ook de dienst Threat Defense (MTD), een extra module van het UEM-platform. MobileIron kan hiermee iOS- en Android-devices beschermen tegen aanvallen die op device-, netwerk- en applicatieniveau plaatsvinden, alsmede phishing aanvallen voorkomen. Voor de werking van MTD is geen internetverbinding nodig, want de benodigde technologie staat op het device en maakt gebruik van machine learning algoritmes. Deze algoritmes zijn in staat om voortdurend belangrijke threats op te sporen. Ook controleren ze op verdachte URL’s in o.a. phishing mails, SMS, etc.

MTD is een onderdeel geïntegreerd in de MobileIron UEM client die op de devices aanwezig is en die weinig impact heeft op de prestaties van het device. Doordat MTD in de UEM client geïntegreerd is heeft de gebruiker geen extra app op het device nodig of ingewikkelde procedure voor installatie, en heeft de IT Security afdeling de zekerheid dat de extra beveiliging op 100 procent van de devices actief is. MobileIron gelooft heel sterk in deze manier van dreigingen opsporen. Zo zijn er mobile threat detection-oplossingen in omloop waar heel erg vertrouwd wordt op de cloud. Bij het ontdekken van een bedreiging via de cloud connectie wordt daarna het UEM-platform ingelicht, om vervolgens instructies te geven aan de UEM-agent op het device om de aanval op te lossen. Een dergelijke werkwijze werkt niet in het geval er geen cloud verbinding is, om welke reden dan ook. De MTD-dienst van MobileIron zal echt op het device zelf detecteren.

Onveilige wachtwoorden elimineren

Tot slot zet MobileIron nog een derde laag in om de Everywhere Enterprise te beveiligen: Zero Sign-On (ZSO). De inzet van ZSO sluit goed aan op het zero trust principe. ZSO zal namelijk het inloggen met gebruikersnaam en wachtwoord overbodig maken. In plaats daarvan wordt een iOS of Android-device als ID van een gebruiker ingezet, door bijvoorbeeld gebruik te maken van biometrische gegevens als factor voor veilig inloggen. Iets wat we in de consumentenwereld ook reeds vaak doen met oplossingen als Apple Pay of bankieren via een app. Certificaten worden ook hier veelal ingezet met een extra factor zoals biometrische gegevens ter verificatie. De zero trust-aanpak moet er uiteindelijk voor zorgen dat ZSO volledig veilig verloopt: het verifieert naast de gebruiker, het device, het netwerk en de gebruikte apps.

Tip: ‘Meeste IT-managers willen af van wachtwoordauthenticatie’

Voor de medewerker is deze werkwijze relatief eenvoudig. Er kan wachtwoordloos toegang verleend worden tot applicaties als Microsoft Office 365, Salesforce, SAP, Oracle en Workday. Daarnaast neemt door het overbodig maken van wachtwoorden het risico van dataverlies als gevolg van gestolen inloggegevens zeer sterk af. Het is voor eindgebruikers een kleine stap, maar phishing zal er minder door plaatsvinden. Er zijn immers geen login credentials te stelen want het wachtwoord bestaat niet meer en de algehele beveiliging neemt toe. Bovendien worden gebruikers en beheerders ook niet meer belast met het resetten van passwords, want ze kunnen niet meer verloren raken.

Gelaagde aanpak voor enterprise van de toekomst

MobileIron kiest ervoor om drie hele sterke lagen goed met elkaar samen te laten werken. Unified Endpoint Management staat daarbij centraal, aangevuld met Threat Defense en Zero Sign-On. Door hier ook een zero trust-aanpak bij te hanteren, moet het beheer en beveiligen van endpoints eenvoudig en goed verlopen. Dit om de Everywhere Enterprise te ondersteunen: een moderne organisatie waar infrastructuur, klanten en werknemers zich in principe over de hele wereld kunnen bevinden.

Het is ook goed om te zien dat MobileIron steeds meer diensten biedt naast zijn traditionele endpoint beheeractiviteiten. Op die manier kan ook een antwoord geboden worden op het groeiend aantal aanvallen van cybercriminelen. Het bedrijf kijkt wat dat betreft voortdurend naar wat het nog meer kan betekenen in het beveiligen van endpoints, met als belangrijke focus beheer- en gebruiksgemak.

Tip: Ivanti neemt MobileIron en Pulse Secure definitief over