Come proteggere l'agente UEM (Unified Endpoint Management) sul proprio endpoint

Naviga le tue risposte
0

Molte aziende installano un agente UEM sul portatile dei dipendenti per tenere traccia dello stato di salute del laptop. Inoltre, consentono al laptop di connettersi alla rete interna se questo UEM restituisce lo stato "Integro" al server.

Se un dispositivo è compromesso, l'utente malintenzionato ha ottenuto il privilegio del livello di sistema operativo. Come possiamo impedire che l'aggressore uccida l'agente UEM e invii il traffico "sano" falso al server?

Le mie idee:

  1. Il traffico può essere crittografato con la chiave pubblica del server, ma questo non ha importanza dal momento che l'utente malintenzionato può ottenere la chiave pubblica nel computer con accesso al sistema operativo.

  2. Utilizzare la chiave Yubico (U2f) per autenticare l'agente prima di avviare una sessione con il server. Questo aiuta un po 'perché questo ha impedito l'attacco di duplicazione di sessione, l'attaccante poteva solo fare sessioni di guida. (la chiave privata non è memorizzata nel sistema) Ma cosa succede se l'attaccante patch l'agente invece di ucciderlo?

  3. Non ti fidi del tuo stato UEM?

posta Timothy Leung 02.12.2018 - 13:36
fonte

1 risposta

0

Ho letto alcune cose su questo nei giorni scorsi. Ho trovato alcune idee.

  1. Assicurati di avere l'autenticazione utilizzata sull'applicazione. Questo può impedire a qualcuno di uccidere il tuo agente E creare un agente falso per parlare al server. Avranno bisogno di autenticarsi prima con il loro agente falso, se non hanno le credenziali, non saranno in grado di farlo. È anche possibile implementare 2FA / U2F per aumentare la forza. Ciò ha eliminato la possibilità che il processo venga ucciso e crei la propria sessione.

  2. Utilizza TLS per la connessione, questo potrebbe sembrare loco, ma è una soluzione efficace per prevenire l'attacco MITM, quindi in questo caso, possiamo impedire che l'attaccante cambi il traffico.

  3. Scarica la tua applicazione firmata da Microsoft / apple / google e sfrutta il loro meccanismo di protezione nel sistema operativo per proteggere la tua app dall'applicazione delle patch in fase di runtime. Si prega di guardare la protezione dell'integrità del sistema in MacOS. Ciò impedisce al tuo processo di essere toccato anche se hanno ottenuto l'accesso root sul dispositivo / piattaforma.

Combinando tutte e tre le cose, penso che l'attaccante non sarà in grado di modificare l'app / il traffico. Fammi sapere se hai qualche idea!

    
risposta data 06.12.2018 - 11:37
fonte

Leggi altre domande sui tag

Risoluzione del difetto di entità esterna XML nel servizio di controllo dei messaggi? Ripristino automatico dell'unità BitLocker crittografata