0
0
O sistema operacional Android do Google domina o uso de smartphones em todo o mundo – em todas as regiões, exceto na América do Norte e na Oceania, na verdade. Assim, as empresas em muitas regiões provavelmente oferecerão suporte e fornecerão dispositivos Android aos funcionários como seus principais dispositivos móveis. Mesmo em áreas onde o iPhone da Apple domina ou é comparável em participação de mercado, as empresas provavelmente oferecerão suporte ou lançarão dispositivos Android pelo menos como uma opção secundária.
Mas a segurança do Android tem sido uma preocupação de TI, apesar das melhorias significativas de segurança feitas na plataforma há uma década em resposta aos padrões de segurança implementados para iPhones, que rapidamente obtiveram a aprovação do selo de segurança como resultado. Isso torna a decisão de compra e suporte em torno de telefones Android mais complexa para os CISOs – seja como dispositivos corporativos (ou seja, os dispositivos que as empresas compram para seus funcionários) ou como dispositivos responsáveis pelos funcionáriosou dispositivos traga-seu-próprio (BYOD). que a TI permite acesso, pelo menos, a e-mails e calendários de trabalho e, muitas vezes, a serviços baseados na web.
Este artigo examina as principais considerações para a segurança do Android e, em seguida, classifica os principais fornecedores do Android com base no nível de segurança para ajudar a restringir as opções de compra e suporte da TI. (Nossa publicação irmã, Computerworld, detalha outras considerações de compra corporativa para dispositivos Android .)
Considerações de segurança para dispositivos Android
A Apple controla rigidamente o iPhone e seu sistema operacional iOS, o que dá ao CISO uma forte garantia sobre atualizações de software, patches de segurança e capacidade de gerenciamento. Por outro lado, o mundo Android é altamente diversificado, com dezenas de fabricantes usando a plataforma Android do Google, mas oferecendo vários níveis de qualidade e suporte e, em muitos casos, poucas ou inconsistentes atualizações de sistema operacional e segurança.
Nos primeiros dias do Android, a segurança era uma grande preocupação de TI para o mercado emergente de smartphones. O BlackBerry da Research in Motion estabeleceu altos padrões na década de 1990 e no início dos anos 2000 para segurança móvel, enquanto os primeiros dispositivos Android (e iOS) ficaram muito aquém das expectativas de TI.
A Apple e depois a Samsung passaram a tornar a segurança móvel pelo menos tão boa quanto a do BlackBerry no início de 2010, e o Google seguiu o exemplo alguns anos depois, tornando a criptografia padrão no Android e, em seguida, tornando a separação baseada em contêiner de trabalho e dados pessoais e aplicativos um padrão. parte do sistema operacional Android 5.0 Lollipop de 2015. Em 2017, a plataforma Android tinha fortes recursos de segurança . Recursos mais sofisticados tornaram-se disponíveis por meio de extensões de hardware e software, como a plataforma Knox da Samsung em 2013 para seus dispositivos corporativos e o Android for Work do Google (posteriormente renomeado como Android Enterprise) para o resto do mundo Android. O suporte do Android Enterprise tornou-se um recurso padrão no Android 9.0 Pie de 2018.
Hoje, a TI pode contar com todos os dispositivos Android com o nível básico de segurança necessário. Mas alguns usuários, como executivos de alto nível que lidam com dados corporativos confidenciais ou equipes de operações que gerenciam infraestrutura crítica ou cadeias de suprimentos, precisam de mais segurança.[ Participe do Virtual Summit em 8 de novembro – CIO’s Future of Cloud Summit: Mastering Complexity & Digital Innovation – Inscreva-se hoje! ]
A disponibilidade de fornecedores Android varia muito em todo o mundo, portanto, as opções de dispositivos adequadamente seguros onde sua organização opera também variam; nosso site irmão, Computerworld, destacou em quais mercados os fornecedores de Android têm presença significativa para orientá-lo aos prováveis candidatos para o seu negócio. Com base nos dados do StatCounter , 13 fornecedores atuais do Android têm 1% ou mais de participação de uso em pelo menos uma região:
- Huawei
- Mobilidade Infinix
- Itel Mobile
- Motorola Mobility, propriedade da Lenovo
- nokia
- OnePlus
- Oppo
- Telecomunicações Realme Chongqing
- Eletrônicos Samsung
- Tecno Mobile
- Vivo Mobile Communication
- Xiaomi
O Google tem uma certificação chamada Android Enterprise Recomendado (AER) que se concentra nas preocupações da empresa em relação ao desempenho, gerenciamento de dispositivos, registro de dispositivos em massa e compromissos de atualização de segurança. O Google publica uma ferramenta AER para ajudar a TI a ver quais dispositivos atendem a essa certificação em várias regiões, além de explorar as versões suportadas do Android e as datas de término das atualizações de segurança. Lembre-se de que os resultados da ferramenta AER podem estar desatualizados e incompletos, portanto, não confie apenas nela.
Existem três níveis de segurança do Android a serem considerados e muitas organizações precisarão de mais de um para cobrir diferentes conjuntos de funcionários.
Segurança básica do Android definida
Este nível é apropriado em dispositivos pessoais com permissão para acessar sistemas corporativos básicos, como e-mail. O nível básico de segurança fornece criptografia de dispositivo, imposição de senha, bloqueio e limpeza remotos e execução em área restrita de funções de segurança. Todos os dispositivos Android atuais oferecem suporte a esse nível, mesmo com apenas uma ferramenta básica de gerenciamento, como o Google Workspace ou o Microsoft 365 .
Segurança moderada do Android definida
Este nível é apropriado para quando a TI exige ou permite que dispositivos pessoais sejam usados para acesso e aplicativos corporativos, bem como para dispositivos emitidos pela empresa que também podem ser usados para fins pessoais. O nível de segurança moderado fornece o nível básico mais a separação de dados e aplicativos de trabalho de dados e aplicativos pessoais por meio de contêineres, por meio de uma plataforma unificada de gerenciamento de endpoint (UEM)compatível com a plataforma Android Enterprise do Google ou, apenas para dispositivos Samsung, a plataforma Samsung Knox. Dica: compare os recursos das principais plataformas UEM no guia da Computerworld.
Todos os dispositivos Android atuais com pelo menos 3 MB de RAM oferecem suporte à separação trabalho/pessoal, mas algumas plataformas UEM podem exigir que os dispositivos executem versões mais recentes do Android do que as implantadas em sua organização.
Segurança avançada do Android definida
Este nível é adequado para executivos, profissionais de recursos humanos, profissionais de finanças e qualquer pessoa que lide com acesso a dados e sistemas críticos, como governo, defesa/militar, finanças, saúde e infraestrutura crítica, como serviços públicos, energia e transporte. O nível de segurança avançado fornece o nível moderado mais segurança baseada em chip habilitada para reduzir o acesso não autorizado por espiões e hackers, bem como conformidade com o recente padrão de segurança Common Criteria dos EUA .
A segurança no nível do chip detecta hacks no sistema operacional, firmware, memória e outros sistemas centrais e, como resultado, bloqueia ou desliga o dispositivo por meio do serviço Keystore do Android . Essa segurança no nível do hardware não é um requisito do Android Enterprise Recomendado, mas é essencial para a segurança de nível militar.
Apenas alguns dispositivos usam segurança em nível de chip para proteger a integridade do sistema: os telefones Android Secured by Knox da Samsung usam o chip Arm’s TrustZone para seu Trusted Boot, a série Pixel do Google usa seu próprio chip Titan-M para seu Trusted Execution Environment (TEE) e Motorola diz que todos os seus dispositivos Android usam o chip Arm’s TrustZone para seu Strongbox. (Os iPhones da Apple também têm esse recurso por meio do Secure Enclave.) Os outros fornecedores do Android não responderam às minhas perguntas sobre seus recursos de segurança, mas parecem não oferecer suporte à segurança baseada em hardware, com base nos dados de especificação de seus sites.
O Common Criteria impõe abordagens de segurança específicas nas quais o governo dos EUA sabe que pode confiar em todos os dispositivos. Embora também não seja um requisito do Android Enterprise Recomendado, o Common Criteria é um bom padrão de segurança avançada para TI usar em qualquer lugar do mundo.
Os modelos Android de vários fornecedores estão em conformidade com os Critérios Comuns: alguns do Google, Huawei, Motorola, Oppo, Samsung e Sony, bem como alguns dispositivos especializados de linha de frente da Honeywell e Zebra Technologies. (Filtre por “Mobilidade” na ferramenta Web Common Criteria para obter a lista atual.) O iPhone da Apple também está em conformidade.
Certificação de segurança do governo para dispositivos Android
As organizações podem querer consultar as certificações do governo para determinar suas seleções de dispositivos Android para usos sensíveis. Quando a Apple e a Samsung obtiveram a aprovação do Departamento de Defesa dos EUA, da Sede de Comunicações do Governo do Reino Unido (GCHQ) e da Diretoria de Sinais da Austrália para o uso de seus dispositivos de classe empresarial em meados de 2010, foi uma grande notícia – quebrando o monopólio de longa data do BlackBerry na aprovação do governo.
Hoje, esses anúncios são raros e os governos se concentram em garantir que plataformas UEM aprovadas estejam em vigor para gerenciar os iPhones e telefones Android amplamente usados. Recentemente, o Departamento de Defesa dos EUA aprovou vários telefones Samsung e alguns dispositivos Android de linha de frente da Honeywell e Zebra Technologies para usos sensíveis, à medida que passa a usar o padrão Common Criteria. A Diretoria de Sinais da Austrália também aprovouvários telefones Samsung recentemente.
Segurança e garantias de atualização do sistema operacional para dispositivos Android
A TI normalmente quer garantias de que os dispositivos receberão atualizações de segurança e atualizações do sistema operacional por vários anos para reduzir o risco de serem invadidos por dispositivos antigos que não mantiveram suas defesas. A certificação Android Enterprise Recomendada do Google requer apenas uma futura atualização do sistema operacional. Para atualizações de segurança, não há mínimo, exigindo apenas que os fornecedores publiquem seus compromissos de atualização em seus sites — e essas informações podem ser difíceis de encontrar.
Em minha pesquisa de sites de fornecedores Android, três a cinco anos é típico para compromissos de atualização de segurança do Android em dispositivos de classe empresarial, e uma a três versões futuras do sistema operacional Android é típico para atualizações do sistema operacional. (Por outro lado, a Apple normalmente oferece sete anos de atualizações de segurança e cinco anos de atualizações do iOS.) Os fornecedores Android mais mesquinhos em termos de atualizações do sistema operacional são Motorola, Oppo e Xiaomi, que se comprometem com apenas uma grande atualização do Android para sua classe empresarial. modelos. Google e Samsung têm os melhores compromissos de atualização.
Os compromissos de atualização publicados pelos fornecedores para dispositivos Android de classe empresarial incluem:
- Google: cinco anos de atualizações de segurança, três anos de atualizações do sistema operacional
- Motorola: três anos de atualizações de segurança, um ano de atualizações do sistema operacional
- Nokia: três anos de atualizações de segurança, dois anos de atualizações do sistema operacional
- OnePlus: quatro anos de atualizações de segurança, três grandes atualizações do sistema operacional
- Oppo: três anos de atualizações de segurança, um ano de atualizações do sistema operacional
- Realme: três anos de atualizações de segurança, duas grandes atualizações do sistema operacional
- Samsung: “pelo menos” quatro anos de atualizações de segurança, três “gerações” de atualizações de sistema operacional
- Vivo: três anos de atualizações de segurança, três anos de atualizações do sistema operacional
- Xiaomi: três anos de atualizações de segurança, uma grande atualização do sistema operacional
Não consegui encontrar informações de atualização nos sites da Huawei, Infinix, Itel e Tecno, e as empresas não responderam aos meus pedidos de informações.
Para dispositivos certificados, você também pode usar a ferramenta recomendada para Android Enterprise do Google para definir a data em que as atualizações de segurança dos modelos específicos de vários fornecedores terminarão. Lembre-se de que a ferramenta pode não listar modelos recentes. Também recomendo que você verifique se os fornecedores cumprem o que prometem obtendo alguns dispositivos mais antigos e verificando se as atualizações de segurança disponíveis são recentes: eles mantiveram a duração prometida?
Por fim, lembre-se de que as operadoras de celular podem anular, desacelerar ou bloquear atualizações em muitos países, anulando quaisquer promessas feitas pelo fornecedor do dispositivo. Por exemplo, o Google observa em sua página Pixel que os telefones Pixel comprados diretamente do Google geralmente recebem atualizações mais cedo do que os comprados por meio de uma operadora. Esse controle da operadora é uma realidade de longa data, bem anterior aos dispositivos móveis modernos, com apenas a Apple capaz de obter controle total sobre as atualizações das operadoras.
Guia de compra: como os telefones Android classificam por nível de segurança
O Android Market se divide em quatro classes de garantia de segurança, com base em como os fornecedores abordam as principais preocupações de segurança de TI da empresa:
- Segurança avançada: esses fornecedores fornecem altos níveis de segurança adequados até mesmo para uso governamental e militar e acesso a dados confidenciais.
- Segurança moderada: esses fornecedores fornecem níveis de segurança adequados e garantia de atualização adequada para uso básico, como aplicativos de produtividade e ferramentas da Web.
- Segurança básica: esses fornecedores fornecem níveis de segurança adequados, mas garantia de atualização inadequada.
- Não confiável: esses fornecedores têm forte oposição ao seu uso pelos principais governos.
Segurança avançada: os fornecedores Android mais seguros
Há apenas um fabricante Android com disponibilidade global de dispositivos e segurança de classe empresarial (até mesmo de nível militar), além de atualizações de software e segurança plurianuais após a compra: Samsung. Isso torna a Samsung a melhor (e muitas vezes única) escolha para dispositivos Android corporativos em todas as regiões do mundo. Seus modelos de nível empresarial (o que a Samsung chama de Android Secured by Knox) incluem as séries Galaxy S, Galaxy A5x, Galaxy A3x, Note, XCover, Z Flip3 e Z Fold3. Para esses modelos, as atualizações de segurança são prometidas por cinco anos após o lançamento inicial; A Samsung publica o tempo de vida de segurança para seus dispositivos de nível empresarial , que variam de acordo com o dispositivo.
Os telefones da série Pixel 7 do Google são igualmente seguros. O Google também promete cinco anos de atualizações de segurança após o lançamento inicial. No entanto, a série Pixel 7 está disponível apenas na Austrália, Canadá, Dinamarca, França, Alemanha, Índia, Irlanda, Itália, Japão, Holanda, Noruega, Cingapura, Espanha, Suécia, Taiwan, Reino Unido e Estados Unidos.
FONTE: CSO ONLINE