Dispositivi Mobili Enterprise Vs Consumer: i perché di una scelta che parte dalla verifica del livello di sicurezza garantito.
Molti lavoratori delle utility ricevono dispositivi mobili di tipo consumer da utilizzare nei loro veicoli, sul campo e nei magazzini. Gestori di magazzini, produttori, fornitori di servizi sanitari e governi affermano di assistere alla stessa tendenza in quei settori. I lavoratori ricevono dispositivi di livello consumer anche se non sono intrinsecamente costruiti per il tipo di lavoro che svolgono.
Cosa spinge a prendere queste decisioni?
La disinformazione che circola su Internet potrebbe essere un fattore chiave, o forse un'interpretazione errata delle informazioni disponibili. Non è facile distinguere quando le raccomandazioni, le recensioni e le valutazioni sono specifiche per i dispositivi mobili di fascia consumer da quelle per i dispositivi di fascia enterprise.
Ad esempio, negli ultimi mesi si sono sentite numerose persone dire: "iOS è più sicuro di Android™". L'aspetto interessante è che le conversazioni si svolgevano nel contesto di dispositivi mobili per uso aziendale, ovvero dispositivi utilizzati da chi lavora per governi, aziende energetiche e servizi pubblici. Si tratta di persone che gestiscono informazioni e sistemi sensibili e devono dare priorità alla sicurezza dei dati e dei dispositivi. Perché si ritiene che i dispositivi iOS - prodotti per i consumatori - siano più sicuri dei dispositivi Android, soprattutto di quelli costruiti e configurati appositamente per l'uso in ambienti aziendali dove la sicurezza è una priorità assoluta?
Facendo una ricerca su Internet, chiedendo "È più sicuro Android o iOS?", si ricevono una serie di risposte contrastanti. Quello che non si ottiene è una chiara comprensione di come i dispositivi Android aziendali siano diversi dai dispositivi iOS consumer in termini di sicurezza, o dai dispositivi Android consumer, se è per questo.
Tuttavia, i dettagli sono importanti.
Your Edge Blog ha quindi chiesto a Bruce Willins, ingegnere di Zebra, di sfatare alcune delle voci che circolano in questo momento nella comunità aziendale sulla sicurezza dei dispositivi mobili e dei sistemi operativi.
Your Edge Blog: Bruce, arriviamo subito al punto: Android è più sicuro di iOS?
Bruce Willins: All'inizio sostenevo che iOS fosse più sicuro. Ma oggi Android è, a mio parere, altrettanto o più sicuro.
Your Edge Blog: Perché ritiene che Android sia più sicuro?
Bruce Willins: Un vantaggio fondamentale di Android è la possibilità per i produttori di dispositivi come Zebra di incorporare funzioni di sicurezza aggiuntive al sistema operativo di base. Non è possibile farlo su iOS. Non essendoci flessibilità in iOS, si rimane bloccati su ciò che offre Apple, che di solito è incentrato sull'esperienza utente del consumatore. Nel 2019, Gartner® ha pubblicato un rapporto di 72 pagine intitolato "Mobile OSs and Device Security: A Comparison of Platforms". Il rapporto classificava ogni sistema operativo in 32 categorie di sicurezza. Gli analisti hanno riscontrato che iOS si è classificato più in alto di Android in una categoria e che Android si è classificato più in alto di iOS in nove categorie. Sebbene i risultati siano aperti all'interpretazione, sono stati generati da una terza parte affidabile e non di parte. Se non altro, i risultati danno il via a una conversazione - o a un dibattito - incentrata innanzitutto sui vantaggi della piattaforma open source Android (AOSP) rispetto alla piattaforma binaria chiusa iOS.
Your Edge Blog: Quali sono i pro e i contro di AOSP e della piattaforma binaria chiusa di iOS?
Bruce Willins: Con la piattaforma binaria chiusa, ci si affida alla "sicurezza per oscurità". Gli esperti di sicurezza non sono generalmente favorevoli a questa strategia. Perchè il governo degli Stati Uniti pubblica gli algoritmi di crittografia? Esporre il codice al pubblico scrutinio finisce per rendere più difficile la soluzione. Molto spesso, la conversazione passa agli "aggiornamenti di sicurezza" in quella che oggi viene chiamata "igiene delle patch", ovvero la capacità di ottenere patch di sicurezza tempestive per un periodo di tempo prolungato. Studi passati di Zebra hanno dimostrato che il 58% dei clienti aziendali cerca una durata di servizio di cinque o più anni. I dispositivi Apple e gli aggiornamenti iOS provengono da un'unica fonte, Apple. Android è offerto da oltre 1.300 marchi, soprattutto perché è il sistema operativo mobile numero 1 con oltre il 75% di quota di mercato globale, 2,8 miliardi di utenti attivi e 1 miliardo di unità spedite ogni anno. Ora, è giusto sottolineare che non tutti i marchi operano allo stesso modo per quanto riguarda l'igiene delle patch. Quindi, è possibile confrontare la cadenza e la durata delle patch di iOS con quelle di un fornitore Android minore e dire che Apple è migliore. Ma il risultato può capovolgersi quando si confronta un fornitore Android di fascia alta con Apple. Ad esempio, Apple in genere supporta gli aggiornamenti di iOS (compresa la sicurezza) su un dispositivo per circa quattro anni. I dispositivi Android di Zebra hanno in genere aggiornamenti di sicurezza per 6-10 anni. Alcuni anni fa, Apple sosteneva di essere più sicura grazie alla protezione hardware degli algoritmi crittografici e del materiale delle chiavi. Si trattava del "processore enclave sicuro" (SEP), rilasciato per la prima volta sull'iPhone5S nel settembre 2013. Un SEP è un ambiente isolato in cui un aggressore non può ottenere chiavi sicure o compromettere gli algoritmi crittografici anche se il sistema operativo principale (in questo caso iOS) viene compromesso. Sebbene il SEP sia stato il primo ad arrivare sul mercato, le piattaforme Android lo hanno presto seguito con il supporto di un "Trusted Execution Environment" (TEE). Il TEE fornisce un ambiente di esecuzione indipendente isolato dal Rich Execution Environment (REE) di Android in hardware. Esegue un piccolo sistema operativo protetto e la sua memoria è isolata dal REE. Oggi, quindi, entrambe le piattaforme dispongono di archivi di chiavi protetti da hardware dedicato.
Your Edge Blog: Zebra non aggiunge funzioni di sicurezza alle sue versioni di Android?
Bruce Willins: Sì, le aggiungiamo. Un elenco dettagliato, però, esula dallo scopo di un post sul blog. In generale, i miglioramenti della sicurezza di Zebra si concentrano sulla difesa in profondità (DID), sul principio del minimo privilegio (PoLP) e sull'igiene delle patch. DID è il concetto di fornire più livelli di protezione della sicurezza, in modo che se uno dei livelli è compromesso, la protezione è comunque garantita. Il PoLP abbraccia il concetto di minimizzazione: spegnere e/o impedire tutto ciò che non serve. In molti casi si tratta di semplici controlli on/off resi disponibili a uno strumento di gestione della mobilità aziendale (EMM) o di staging. Riducendo al minimo le funzionalità, si riduce la "superficie di attacco", riducendo i potenziali vettori di attacco, ovvero i modi in cui si può essere attaccati.
Your Edge Blog: Recentemente si sono sentite affermazioni del tipo "Android non è sicuro". Può commentare?
Bruce Willins: Probabilmente sarei d'accordo se si trattasse di 10 anni fa, ma le cose sono cambiate enormemente da allora. Quando Android è stato rilasciato per la prima volta nel 2008, era innanzitutto una risposta a Apple iOS e si concentrava sul mercato consumer. E, come ogni sistema operativo (OS) di successo, ha attraversato una fase di crescita per quanto riguarda la sicurezza. Spesso le prime critiche alla sicurezza si basavano su app potenzialmente dannose (PHA). A ciò si aggiungeva la mancanza di supporto VPN per la protezione dei dati in movimento (DIM), la mancanza di crittografia dei dati memorizzati (protezione dei dati a riposo - o DAR), molteplici punti di suscettibilità agli attacchi runtime (ad esempio, buffer overflow) e così via. Nessuno nega che Android abbia delle falle nella sicurezza.
Il rilascio nel 2012 del sistema operativo Ice Cream Sandwich di Android è stato il punto di svolta. Aggiunte come il supporto per le password forti, i criteri di Exchange ActiveSync (EAS), il supporto VPN, la crittografia completa del dispositivo, l'archivio di chiavi crittografate, SE Linux e la randomizzazione dello spazio degli indirizzi (ASLR) erano solo alcune delle nuove funzionalità di sicurezza introdotte. Allo stesso tempo, Zebra, in collaborazione con Google, ha iniziato ad aggiungere componenti aggiuntivi di sicurezza proprietari, molti dei quali derivanti dall’esperienza con Blackberry e Microsoft CE/Windows Mobile. Sebbene all'inizio fossero proprietari, Zebra ha rispettato il piano originale, che prevedeva di non mantenere mai funzioni proprietarie, ma di collaborare con Google per integrare tali funzioni in Android standard. Dal 2012, Google ha rafforzato diligentemente la sicurezza di Android, incorporando funzioni sviluppate organicamente da Google e da Zebra".
Your Edge Blog: Che cosa ha fatto Google per rendere Android più sicuro negli ultimi dieci anni?
Bruce Willins: Di recente sono state effettuate analisi delle funzionalità di sicurezza aggiunte ad Android dalla sua nascita. Ce ne sono centinaia, e ancora di più se si includono le patch di vulnerabilità: troppe per essere analizzate in questa conversazione. Ma vediamo alcuni esempi rappresentativi di diversi tipi di miglioramenti:
1. Play Store (2012): Google aggiunge la scansione e l'analisi delle app per escludere i contenuti dannosi e successivamente introduce Google Play Protect, che consente la scansione di tutte le app sul dispositivo, anche quando sono offline.
2. Supporto VPN (2012): Con Android Ice Cream Sandwich (A4.0) viene aggiunto il supporto VPN completo.
3. SafetyNet/Verifica delle app (2012): È ora possibile rilevare, segnalare e bloccare le applicazioni potenzialmente dannose (PHA) con Android Jellybean (A4.2).
4. Verified Boot (2013): Aggiunto come parte di un root-of-trust per assicurare l'integrità del codice in Android Kit Kat (A4.4).
5 Full Enforced SE Linux (2014): Aggiunto in Android Lollipop (A5) per prevenire l'escalation dei privilegi e fornire controlli di accesso al sistema più controllati.
6. TEE Hardware Protected Keystore (2015): In Android Marshmallow (A6) è disponibile la protezione hardware isolata delle chiavi e delle operazioni di crittografia.
7. Address Space Layout Randomization (ASLR) (2011-2017): La protezione dagli attacchi in fase di esecuzione e l'ASLR del kernel vengono aggiunti in Android Nougat (A7).
8. Prevenzione del rollback (2017): Con Android Oreo (A8) diventa più facile prevenire la compromissione di vulnerabilità note del passato.
9. Crittografia completa del disco/crittografia basata sui file (2013-2018): Tra Android Kit Kat (4.4) e Android Pie (A9), Google ha migliorato la crittografia predefinita dell'intera partizione dati e ha aggiunto la crittografia indipendente dei file (AES-256-XTS).
10. Proprietario del dispositivo (2019): Con Android Q (A10), diventa obbligatorio utilizzare Device Owner per garantire il controllo e la gestione sicura dei criteri del dispositivo.
11. Modalità Common Criteria (2020): È prevista una nuova modalità operativa per aumentare la sicurezza (cioè la certificazione Common Criteria).
Your Edge Blog: Android ha ricevuto qualche certificazione di sicurezza?
Bruce Willins: Sì. Le certificazioni e le valutazioni sono state eseguite sia dai fornitori di Android che da Google stessa. Ad esempio, i dispositivi Android di Zebra hanno ricevuto le certificazioni FIPS 140-2 e Common Criteria. Più recentemente, Google ha incaricato NCC Group di esaminare l'interfaccia di programmazione delle applicazioni (API) di Android 12 (A12) rispetto a una STIG di Google derivata dal profilo di protezione dei Common Criteria per i fondamenti dei dispositivi mobili (PPMDF). Il gruppo ha esaminato circa 120 controlli e ha riscontrato zero problemi critici, elevati o medi. Esistono anche altre certificazioni, ma questi sono un paio di esempi del perché i clienti dovrebbero avere fiducia nella sicurezza di Android.
Your Edge Blog: Come si colloca oggi la sicurezza di Android rispetto a quella di altri sistemi operativi mobili?
Bruce Willins: Dato che Android e iOS rappresentano oltre il 95% del mercato mondiale dei computer palmari e degli smartphone, si intende principalmente iOS. Dato che entrambi i sistemi operativi sono in circolazione da oltre 14 anni, non sorprende che ci sia stata una grande convergenza di funzioni di sicurezza. E non è la prima volta che mi viene posta questa domanda. L'argomento è molto vasto e credo che avremo una conversazione successiva per approfondire i dettagli. Ma ecco cosa penso valga la pena di notare in questo momento: dal punto di vista del puro conteggio delle vulnerabilità per il 2021, i dettagli CVE hanno identificato 365 vulnerabilità su iOS e 572 su Android. In genere non do molta importanza a questi numeri. Un numero più alto potrebbe implicare una piattaforma più vulnerabile o semplicemente che una piattaforma è più brava a nascondere le vulnerabilità o che non è ben controllata. Quello che deduco da questi numeri è che esiste un numero significativo di vulnerabilità per entrambi i sistemi operativi e che i nostri clienti, e in realtà tutti i professionisti aziendali, dovrebbero essere estremamente vigili nel mantenere, gestire e bloccare le loro soluzioni di mobilità, indipendentemente dal sistema operativo utilizzato. Negli ultimi 10 anni, infatti, Zebra ha distribuito oltre 10 milioni di dispositivi Android in tutti i principali settori aziendali, da quello governativo, sanitario e finanziario a quello dei trasporti e della logistica, della vendita al dettaglio, dell'industria manifatturiera, dell'energia e dei servizi pubblici, e 94 aziende Fortune 100 utilizzano i dispositivi Zebra. E sebbene i risultati ottenuti dai nostri dispositivi Android parlino da soli, manteniamo un sano grado di paranoia e umiltà nei confronti del compito di sicurezza da svolgere.
Your Edge Blog: Qualche consiglio per i clienti attenti alla sicurezza?
Bruce Willins: Sì. Indipendentemente dal sistema operativo scelto, ricordate che la sicurezza non è gratuita. Uno studio Ponemon del 2014 su 518 professionisti ha rilevato che il 52% degli intervistati ha sacrificato la sicurezza per la produttività.
Uno studio di Verizon del 2021 ha rilevato che:
- Il 76% degli intervistati ha subito pressioni per sacrificare la sicurezza in nome della rapidità.
- Il 40% considerava i dispositivi mobili come il principale rischio per la sicurezza dell'azienda.
- Il 23% era a conoscenza del fatto che la propria azienda avesse subito una compromissione della sicurezza legata ai dispositivi negli ultimi 12 mesi, e più della metà di questo 23% ha dichiarato che la compromissione ha avuto conseguenze importanti. In fin dei conti, cerchiamo sempre di rendere la sicurezza il più semplice possibile e mettiamo a disposizione numerosi strumenti per proteggere la nostra piattaforma Android. Ma anche i nostri clienti devono fare la loro parte.
Prima di scegliere un sistema operativo, considerate sempre:
1. cosa si sta cercando di proteggere (che è correlato al costo di una compromissione)
2. da che cosa si sta cercando di proteggere (cioè, il livello di sofisticazione dell'attaccante)
3. la probabilità che un'entità dannosa riesca a sferrare un attacco (parte della valutazione del rischio).
Your Edge Blog: Quindi, in sostanza, bisogna fare i compiti a casa prima di decidere tra iOS e Android?
Bruce Willins: Sì. Ascoltate entrambe le parti e valutate voi stessi. Le osservazioni fatte 10 anni fa non sono più valide. Google ha fatto passi da gigante per rendere Android la piattaforma OS più sicura.
* Bruce Willins è ingegnere di soluzioni tecnologiche di Zebra. Le opinioni espresse sugli account dei social media dell'autore non riflettono necessariamente quelle di Zebra Technologies. Ha oltre 30 anni di esperienza nel marketing e nello sviluppo di prodotti ad alta tecnologia e ha ricoperto numerose posizioni di alto livello, tra cui quella di Vicepresidente di Ingegneria per Hauppauge Computer, Vicepresidente di Ricerca e Sviluppo per Symbol Technologies, Vicepresidente di Ingegneria/General Manager, Strategic Business per SMC Networks e Presidente/Fondatore di Netways Inc. Willins è stato membro del Motorola Science Advisory Board (SABA) e Symbol Technologies Fellow. È stato insignito del premio IEEE Charles Hirsch, ha numerosi brevetti e tiene spesso conferenze.
Login
Per poter acquistare i prodotti su multimac.it è necessario accedere con la propria email e password.
Recupera password dimenticata
Non possiedi i dati di accesso? Registrati
Login
Per poter acquistare i prodotti su multimac.it è necessario accedere con la propria email e password.
Recupera password dimenticata
Non possiedi i dati di accesso? Registrati