Минулий рік був напруженим для системи безпеки Apple: зʼявилося більше шкідливого програмного забезпечення, більше вразливостей, було більше спроб обійти засоби захисту, вбудовані в macOS, iOS та iPadOS.

Крім того, стороннє програмне забезпечення, що використовується на платформах Apple, теж схильне до вразливостей і порушень, що робить вкрай важливим постійне оновлення безпеки як MacOS, так і самого ПЗ.

У 2023 р. низка вразливостей “нульового дня” змусила Apple випустити екстрені оновлення системи безпеки, включаючи перші оновлення “Швидкого реагування на загрози безпеці“. Також компанія запровадила нові функції, які допоможуть забезпечити конфіденційність і безпеку в macOS, iOS та iPadOS.

А тепер трошки детальніше про все.

Січень

 
Браузеру Safari від Apple виповнюється 20 років

У минулому січні компанія Apple відсвяткувала 20-ту річницю Safari. Оскільки веб-браузер є платформою для значної частини взаємодії з Інтернетом, компанія постійно додає функції для забезпечення безпеки та конфіденційності Safari. Існує велика конкуренція, але Safari є чудовим вибором для користувачів пристроїв Apple. Будучи другим за популярністю браузером у світі, Safari є основною мішенню для кіберзлочинців.

Оновлення безпеки Apple (і їх відсутність для Apple Watch Series 3)
 
Протягом 2023 року Apple випустила десятки оновлень безпеки для своїх операційних систем і програмного забезпечення, а в січні навіть випустила мінімальні патчі для десятирічних iPhone і iPad під управлінням iOS 12. Однак компанія забула виправити вразливості в безпеці, які вплинули на Apple Watch Series 3, що поставило під загрозу користувачів цього пристрою. Компанія продавала нові пристрої в основному розділі свого магазину ще у вересні 2022 року і продовжувала продавати відновлені пристрої до березня 2023 року.

Apple додала підтримку апаратних ключів безпеки

У січні 2023 року Apple додала до своїх операційних систем функцію, яка дозволяє користувачам захищати свої облікові записи Apple ID за допомогою апаратних ключів безпеки, які можуть працювати через USB, Bluetooth або NFC. Це не дозволяє хакерам змінити пароль Apple ID без цього апаратного ключа. Такий засіб захисту дуже надійний, але він передбачає певні труднощі для користувачів, тому цю технологію варто застосовувати лише тим, чиї облікові записи перебувають у зоні ризику.

Лютий

 
Twitter робить 2FA на основі SMS лише платною функцією

Twitter (тепер X) оголосив, що компанія відключає двофакторну автентифікацію (2FA) за допомогою SMS-повідомлень для всіх користувачів, які не платять за обліковий запис Twitter Blue (X Premium), який коштує щонайменше $7 на місяць. Хоча надсилання кодів двофакторної автентифікації через SMS за своєю суттю є небезпечним, це все ж краще рішення, ніж взагалі не використовувати 2FA, якщо з якихось причин користувачі не можуть використовувати інші варіанти аутентифікації.

Двофакторну автентифікацію в Twitter/X можна налаштувати за допомогою брелока Apple Keychain і додатків-автентифікаторів без необхідності платити за X Premium.

(Пізніше X представила план Basic за $3 на місяць, який включає в себе 2FA на основі SMS без синього значка “підтверджено”).

Apple запустила розширений захист даних для iCloud

Також у лютому Apple запустила функцію Advanced Data Protection для iCloud, що забезпечує користувачам “найвищий рівень безпеки хмарних даних. Це надає користувачам можливість захистити переважну більшість своїх конфіденційних даних в iCloud за допомогою наскрізного шифрування, щоб їх можна було розшифрувати лише на довірених пристроях”. Однак ця функція має певні обмеження, і вона не рекомендована для всіх.

Березень

 
Фішингові листи використовують інструменти штучного інтелекту, щоб виглядати легітимними

Фішинг – одна з головних загроз для користувачів, і ми вже давно попереджаємо людей про шкідливі електронні листи. З появою інструментів штучного інтелекту, таких як ChatGPT, одна з характерних ознак фішингових листів, а саме погана граматика та орфографія, стала менш поширеною.

Apple нарешті припинила продаж вразливого Apple Watch Series 3

Вище згадувалось про те, що Apple не випускала оновлення безпеки для Apple Watch Series 3, які припинила продавати (нові) у вересні 2022 року. Але компанія продовжувала продавати відновлені моделі цього годинника до березня 2023 року, через вісім місяців після того, як версія watchOS, яку він підтримує, отримала останнє оновлення безпеки. Вкрай небезпечно продавати пристрої, які не можуть отримати виправлення безпеки, і так само небезпечно купувати пристрої, які наближаються до кінця свого життя.

Пас-ключі поступово набувають популярності

Пас-ключі – це нова технологія, яка (ймовірно) з часом замінить паролі. З ними більше не потрібно запам’ятовувати надійні паролі або створювати занадто прості, але легкі для запам’ятовування паролі. Пас-ключі використовують біометричну автентифікацію на ваших пристроях, і їх неможливо підробити або зламати. Підтримка цієї технології почала впроваджуватися на низці веб-сайтів і сервісів на початку 2023 року, а компанія Apple також додала підтримку паролів до Apple ID.

Квітень

 
Шахраї все частіше використовують легальні сервіси для надсилання фальшивих рахунків

Як вже зазначалося, фішинг є однією з головних загроз для користувачів сьогодні. Поширюється нова тривожна тенденція: фішинг використовує надійне програмне забезпечення онлайн-бухгалтерії для створення фальшивих рахунків, у тому числі для відомих сервісів, таких як Best Buy’s Geek Squad. Багато з них надсилаються програмним забезпеченням від Intuit, таким як QuickBooks, і компанія не виявляє особливого інтересу до їх запобігання.

Google Chrome має дві вразливості нульового дня

Цього року у веб-браузері Google Chrome було виявлено кілька вразливостей нульового дня, в тому числі дві менш ніж за тиждень у квітні. Але вони впливають не лише на Chrome: інші браузери, які використовують движок Chromium, також потребують оновлень. Якщо ви використовуєте один з цих браузерів, вам необхідно регулярно оновлювати його. Ці уразливості також впливають на додатки, що використовують фреймворк Electron, тому переконайтеся, що ці додатки оновлені. Загалом протягом року було виявлено вісім уразливостей нульового дня, які вплинули на Chrome та рушій Chromium.

Травень

 
Apple випустила перші в історії патчі швидкого реагування на загрози безпеці

Для нових операційних систем Apple 2022 року компанія розробила оновлення, які вона називає “швидким реагуванням на загрози безпеці”. Ці оновлення призначені для усунення вразливостей “нульового дня”, які потрібно виправити якомога швидше, не чекаючи більш загальних оновлень для macOS, iOS та iPadOS. У травні Apple випустила своє перше оновлення швидкого реагування на загрози безпеці, а пізніше в цьому році випустила інші оновлення швидкого реагування на загрози безпеці.

Intego випустила інструкцію, як уникати загроз від старих операційних систем Apple

Apple випускає виправлення безпеки для поточної та попередніх версій своїх операційних систем, але старіші ОС можуть не отримувати оновлення, що робить їх небезпечними. Вище згадувалося, як постачалися відновлені Apple Watch Series 3 задовго до того, як пристрій перестав отримувати оновлення. Оскільки Apple та роздрібні продавці продають відновлені моделі iPhone, з’ясувалося, як довго можна безпечно купувати старі iPhone. У статті Intego “Коли старий iPhone стає небезпечним для використання?” даються детальні поради щодо того, скільки років Apple зазвичай підтримує iPhone з оновленнями безпеки. Іноді бувають винятки – наприклад, згадане вище оновлення в січні, яке виправило вразливості на пристроях десятирічної давності, – але вони трапляються рідко.

Червень

 
Apple спрощує отримання та встановлення бета-версій своїх ОС

Apple вже давно пропонує бета-версії свого програмного забезпечення користувачам з акаунтами розробників, які наразі коштують 99 доларів на рік. У 2022 році було вирішено дозволити будь-кому, хто хоче ризикнути, запустити бета-версію програмного забезпечення на своїх пристроях. Зробити це легко, але не без потенційних ризиків, особливо щодо даних на пристроях.

Apple анонсувала macOS Sonoma, iOS 17 та багато іншого на WWDC

На Всесвітній конференції для розробників у червні Apple представила свої майбутні операційні системи, які були випущені восени: iOS 17, iPadOS 17 та macOS Sonoma. Як й інші щорічні анонси, вони містили нові функції безпеки та конфіденційності, такі як покращений приватний перегляд у Safari та спільний доступ до паролів і ключів. Також було багато інших покращень безпеки та конфіденційності, таких як режим блокування та профілі Safari, щоб ви могли відокремити робочий браузер від особистого браузера.

Apple презентувала Apple Vision Pro на WWDC

Компанія також представила світу Apple Vision Pro, нову гарнітуру доповненої і віртуальної реальності (AR/VR), яка дебютує на початку 2024 року. Починаючи з $3500, важко уявити, що модель першого покоління отримає широке розповсюдження. Тим не менш, буде цікаво поспостерігати за розвитком продукту, якщо Apple продовжить випускати оновлені моделі, а не зречеться його взагалі.

Поки що незрозуміло, як Vision Pro вплине на безпеку і конфіденційність. Імовірно, оскільки операційна система дуже схожа на інші продукти Apple, вона буде вразливою до багатьох з тих самих експлойтів, які використовуються проти iPhone, iPad і Mac, і, ймовірно, отримуватиме оновлення безпеки так само часто. І, звичайно, користувачам потрібно буде бути уважними, щоб не завантажувати шахрайські або потенційно шкідливі програми з App Store.

Липень

 
Запуск Threads; швидко імітується в App Store

На початку липня компанія Meta (власник Facebook та Instagram) запустила ще одну соціальну мережу. Вона отримала назву Threads і мала стати прямим конкурентом Twitter/X. Примітно, що нова мережа ще не була доступна в ЄС.

Невдовзі після запуску в App Store з’явився підроблений додаток Threads. Він був доступний в ЄС і пропонував надзвичайно дорогі покупки в додатку. Після громадського резонансу Apple видалила додаток з App Store.

У липні також був запущений WormGPT, чат-бот, схожий на ChatGPT, спеціально розроблений для використання кіберзлочинцями.

Серпень

 
Виявлено нову вразливість спекулятивного виконання, що впливає на комп’ютери Intel Mac – Downfall

Ще в січні 2018 року були виявлені вразливості Spectre та Meltdown – вразливості “спекулятивного виконання” в процесорах, які могли бути використані зловмисниками. У серпні 2023 року дослідник безпеки представив інформацію про схожу вразливість під назвою Downfall. Ця вразливість впливає лише на процесори Intel, тоді як всі нові комп’ютери Mac мають (непошкоджені) кремнієві чіпи Apple. Але старіші Macintosh потенційно вразливі.

Вересень

 
В Apple App Store з’явилися шахрайські та небезпечні додатки

Apple вже давно заявляє про безпеку купівлі додатків у своїх магазинах App Store, але шахрайські додатки в App Store стали постійною темою цього року. Багато з них – це кредитні програми, доступні в Індії та інших країнах Азії, але це підкреслює, наскільки мало Apple робить для того, щоб відсіяти шахрайські програми в своїх магазинах App Store.

Свого часу Intego наголошувала, що потрібно з великою обережністю ставитися до завантаження будь-яких додатків, навіть з магазинів App Store, які курують працівники Apple. Це стане ще більшою проблемою, якщо Apple буде змушена дозволити стороннім магазинам продавати додатки для iPhone та iPad.

Режим блокування тепер доступний у watchOS 10

У вересні в watchOS 10 вперше з’явився режим Lockdown Mode для Apple Watch, який став частиною watchOS 10. Тепер Apple Watch має такий самий режим підвищеної безпеки, який раніше підтримувався в macOS, iOS та iPadOS.

Режим блокування автоматично вмикається для будь-якого Apple Watch, підключеного до iPhone з увімкненим режимом блокування.

Жовтень

 
Старі Mac можна оновити (неофіційно) до macOS Sonoma

Як ми згадувалося вище, деякі старі Mac не отримують оновлення безпеки. Вже багато писалося про те, як за допомогою стороннього програмного забезпечення можна встановити найновішу операційну систему Apple – в даному випадку, macOS Sonoma – на деякі дуже старі комп’ютери Mac, щоб вони продовжували отримувати патчі безпеки. Це проект вихідного дня, хоча він не такий вже й складний, завдяки спільноті користувачів, які хочуть, щоб їхні старі комп’ютери працювали з найновішою ОС.

Листопад

 
В Apple App Store та Google Play Store з’явилися фейкові додатки для чат-ботів xAI (Grok)

Не лише Apple розміщує фальшиві додатки в своїх магазинах додатків: І Google, і Apple були помічені в розміщенні фальшивих додатків для штучного інтелекту Grok Ілона Маска ще до того, як він був випущений. Через кілька днів після того, як ці програми були виявлені, Apple видалила їх, а Google – ні.

Грудень

 
Шахрайські електронні листи погрожують операторам сайтів і вимагають біткоїни

Було виявлено новий тип шахрайських електронних листів, які погрожують притягненням до відповідальності за несанкціоноване використання зображень на веб-сайтах. Лист написаний досить добре і звучить як справжній; люди, які керують веб-сайтами з великою кількістю зображень, можуть бути обмануті. Однак, впадає в око те, що відправник просить 500 доларів у криптовалюті. Було проведено дослідження і виявилено, що, оскільки ви можете отримати доступ до всіх транзакцій, записаних через блокчейн (хоча вони є анонімними), адреси Bitcoin та Ethereum були зареєстровані як шахрайські.

Apple продовжує постачати небезпечні інструменти з відкритим вихідним кодом в macOS

Apple не завжди відслідковує оновлення деяких Unix-інструментів, що входять до складу macOS, два з яких мають критичні вразливості, які використовуються в дикій природі. Дослідження Intego показало, що це відбувалося протягом певного часу, коли компанія не оновлювала такі поширені інструменти, як curl, LibreSSL, zlib та nghttp2. У минулому Apple також продовжувала постачати вразливу версію Python в macOS протягом майже двох років після того, як вона востаннє була виправлена. Ці інструменти з відкритим вихідним кодом можуть бути використані будь-яким додатком, що працює на macOS, і вразливості в цих інструментах повинні бути виправлені якнайшвидше.

Apple продовжує активно впроваджувати Wi-Fi 6E в лінійку своїх продуктів. Чи наближається переломний момент, коли вже необхідно розглядати розгортання цього стандарту у вашій мереж? А як щодо Wi-Fi 7?

Багато хто ще пам'ятає битву між 2,4 ГГц і 5 ГГц. Останній - набагато швидший і чистіший, але він не просунувся так далеко, як 2,4 ГГц, а також потребує більше заряду акумулятора. Але ж 2,4 ГГц – це переповнений діапазон. Він має лише 3 канали, що не перекриваються. У щільному середовищі складно уникнути міжканальної інтерференції. Можна було б очікувати, що 5 ГГц з часом витіснить 2,4 ГГц, але технологія Wi-Fi 6 фактично повернула 2,4 ГГц.

Якщо Wi-Fi 6 був 4-смуговим шосе, то Wi-Fi 6E – це 8-смугова автомагістраль, на якій дозволена лише певна швидкість. Новий стандарт використовує спектр у діапазоні 6 ГГц, який може вмістити до семи каналів 160 МГц або чотирнадцять каналів 80 МГц. Цей додатковий спектр значно збільшує пропускну здатність, доступну для Wi-Fi пристроїв, що особливо корисно в місцях великого скупчення людей. Wi-Fi 6E – це, на мою думку, найбільше оновлення Wi-Fi за багато років. Пристрої, які його підтримують, мають зворотну сумісність зі старішими технологіями Wi-Fi, а пристрої, які не підтримують Wi-Fi 6E, не можуть працювати в діапазоні 6 ГГц. Це все одно, що сказати, що з’явилося нове шосе, яким можуть їздити лише електромобілі. На ній буде набагато менше людей. Отже, ми маємо ситуацію, коли є нова технологія Wi-Fi, яка є досить революційною, і вона швидко поширюється на всю платформу Apple. Технологія Wi-Fi 6E існує вже кілька років, але, як і будь-яка нова специфікація, потрібен час, щоб вона потрапила на пристрої.

Чи настав час розгортати Wi-Fi 6E?

Якщо ви розгортаєте новий парк пристроїв Apple для офісу, які підтримують Wi-Fi 6E, то саме час подумати про розгортання його підтримки у мережі. Але слід зазначити, що Wi-Fi 7 вже починає наступ, але до того, як він замінить Wi-Fi 6E в пристроях Apple, залишилося ще кілька років. Слід зазначити, що компанія ніколи не розгортає новий стандарт Wi-Fi першою, оскільки ранні версії, як правило, є досить вибагливими до заряду акумулятора. Wi-Fi 7 в ідеальному середовищі справді має значні покращення продуктивності, але для цього потрібно багато чого зробити.

На завершення слід зазначити, що точки доступу з підтримкою Wi-Fi 6E дорожчі за ті, що базуються на Wi-Fi 6. Але якщо ви розгортаєте 6E-сумісні пристрої сьогодні має сенс розглянути можливість модернізації хоча б частини вашої мережі для підтримки нового стандарту. Якщо ви все ще використовуєте пристрої Wi-Fi 6, наприклад, MacBook Air, ви, ймовірно, можете використовувати Wi-Fi 6, поки не з’являться пристрої Wi-Fi 6E.

Організації, в яких працюють «позаштатні» співробітники, що використовують сучасні мобільні пристрої, можуть зіткнутися з проблемою балансування між ефективною підтримкою користувачів і дотриманням стандартів управління пристроями та безпеки.

А для команд, які підтримують мобільних співробітників, що користуються технікою Apple, наприклад, iPad та iPhone, важливо знати, як оптимізувати ці пристрої для кожного випадку використання і перетворити їх на ефективні та безпечні робочі інструменти.

Рішенням можуть стати системи управління мобільними пристроями (MDM) – технології ідентифікації та безпеки, які спрощують робочі процеси, підвищують ефективність і допомагають відповідати нормативним вимогам і стандартам безпеки.

Що означає «мобільний працівник»?

Більшість працівників у світі – 80%, або 2,7 млрд – не сидять за столом. Зауважте, що йдеться не про віддалених працівників, які просто працюють поза офісом, а про тих, чиї робочі функції є мобільними через необхідність.

У таких галузях, як охорона здоров’я, транспорт, роздрібна торгівля, освіта, виробництво та обслуговування на місцях, працівники, які не сидять за столом, проводять свій час у русі – вони працюють з транспортного засобу, переходячи з кімнати в кімнату, в середині великої будівлі (склад, цех, торговельна зала) або на відкритому повітрі. Такі співробітники можуть займати найрізноманітніші посади: оперативні працівники, медсестри, пілоти, бортмеханіки та касири.

Коли ці мобільні працівники взаємодіють з технологіями, вони, як правило, орієнтовані на виконання конкретних завдань і чутливі до часу. Однак ці робітники можуть відчувати брак підтримки в технологіях, які вони використовують. Насправді понад 60% безофісних працівників повідомляють про відсутність задоволення або відчувають потребу в удосконаленні технологій, якими вони користуються.

Тож як організації можуть краще підтримувати працівників та їхні пристрої?

Вирішення проблем за допомогою технологій

Хоча організації можуть надавати мобільні пристрої, щоб допомогти працівникам, які працюють поза офісом, бути більш ефективними та спростити робочі процеси, вони також повинні з’ясувати, як найкраще впроваджувати, керувати та захищати ці інструменти, щоб зробити їх продуктивними на практиці.

Типові потреби в управлінні пристроями, які виникають у середовищі «без столу», включають автоматизацію завдань управління та безпеки, бездротове забезпечення пристроїв, забезпечення роботи додатків для продуктивності з кожним новим оновленням ОС та підключення авторизованих користувачів до додатків для продуктивності.

Середовище «Deskless» також стикається зі специфічними викликами, такими як «приховування» технології, щоб працівники могли швидко підключатися до орієнтованих на індивідуальні завдання інструментів, які підвищують їхню продуктивність. Наприклад, додатки для торгових точок, інструменти клінічної комунікації та передпольотні контрольні списки.

Потреби, характерні для випадків використання без столу, охоплюють наступні:

• Спільне використання пристроїв: пристрої клінічного зв’язку в лікарні, змінні працівники на виробництві;
• Налаштування пристроїв для конкретних ролей: можливість зрозуміти стан пристрою та відрізнити його від інших у парку;
• Робочі процеси для перевірки відповідності пристроїв для регульованих галузей: пристрої для роздрібних магазинів підтримують правильну версію iOS або iPadOS і POS-додатки;
• Відповідність галузевим вимогам безпеки: PCI DSS в роздрібній торгівлі, HIPAA в охороні здоров’я;
• Фільтрація контенту та обмеження даних: контроль типів даних, до яких надається доступ, управління споживанням стільникового зв’язку;
• Можливість роботи в середовищах з проблемами підключення: мінімізація переривання з’єднань додатків;
• Інтеграція з іншими платформами, інструментами та робочими процесами: допоможіть під’єднати співробітників до всіх їхніх робочих ресурсів;
• Бажаний результат організації: здатність забезпечити дружній до працівників досвід, що сприяє підвищенню продуктивності та спрощує адміністрування ІТ.

Якщо ви використовуєте технології Apple (як і багато інших співробітників) для підтримки віддалених працівників, ваша організація може отримати вигоду від використання першого постачальника Apple, який підтримує як віддалених, так і прив’язаних до робочого місця працівників: спеціально розроблені рішення для управління, ідентифікації та безпеки від Jamf.

Оптимізація робочих процесів для мобільних працівників

Роботодавці можуть запропонувати працівникам, які використовують iPhone та iPad для виконання мобільних завдань, простий, безпечний та індивідуальний досвід роботи з Jamf.

Технології Jamf забезпечують успіх, надаючи цим сучасним робочим інструментам набір можливостей, призначених для спільної роботи, прямо «з коробки».

Переваги використання Jamf включають: забезпечення найкращого досвіду роботи з Apple завдяки використанню нативних фреймворків; виконання бездротових завдань управління та безпеки, не перериваючи роботу кінцевих користувачів; оптимізацію адміністрування коштом спрощення робочих процесів ІТ та усунення надлишкових процесів; задоволення потреб кінцевих користувачів в ефективних, надійних технологіях, які допомагають їм краще виконувати свою роботу; надійність та сумісність з кожною новою версією ОС.

Робоче середовище «Принеси свій пристрій» – це коли ви використовуєте, наприклад, свій iPhone, iPad або MacBook для виконання будь-яких робочих обов’язків – відповідати на електронні листи, підтримувати зв’язок з командою за допомогою обміну повідомленнями або використовувати робочі програми тощо.

Однак зрозуміло, що в такому випадку можуть виникати певні застереження щодо безпеки та конфіденційності. Хоча компанія Apple розробляє свої пристрої з високим базовим рівнем безпеки, робоче середовище часто може вимагати ще суворіших стандартів. Яким особисті пристрої можуть не відповідати. Крім того, персональні пристрої Apple зберігають деякі приватні дані. Зрозуміло, бажано, щоб професійні та особисті дані були відокремлені та захищені під час використання BYOD (Bring Your Own Device).

Якщо ваша компанія використовує для управління пристроями Apple систему MDM (Mobile Device Management), таку, наприклад, як Mosyle, вона може залучити ексклюзивний для платформи Apple підхід, відомий як «Реєстрація користувачів» (User Enrollment). Цей метод BYOD дозволяє співробітникам реєструвати свої особисті пристрої Apple в MDM-рішенні компанії, щоб керувати певними аспектами роботи пристрою, забезпечуючи при цьому чіткий поділ між особистими та робочими даними, а також підвищуючи загальний рівень безпеки пристрою. Він вже є в наявності та готовий до використання на всіх пристроях iPhone та iPad під управлінням iOS 13 або новішої версії.

Наведемо три способи, як процес реєстрації користувачів Native BYOD від Apple забезпечує безпеку особистого пристрою для використання на роботі, коли компанія застосовує реєстрацію користувачів (User Enrollment).

1. Розділення та шифрування робочих даних. Одне з перших занепокоєнь, яке може виникнути у разі використання сценарію «Принеси свій пристрій», – це те, наскільки робочі дані будуть відокремлені від усіх інших персональних даних на особистому пристрої Apple. Зрештою цілком обґрунтоване занепокоєння, оскільки змішування робочих і особистих даних може становити загрозу безпеці.

Коли персональним пристроєм керують за допомогою програми MDM, використовуючи метод BYOD, на ньому створюється окремий том. Він повністю зашифрований і відокремлений від решти пристрою, і саме в ньому зберігаються всі робочі дані, включно з будь-якими сторонніми програмами, документами iCloud Drive і нотатками, пов’язаними з роботою. Цей зашифрований том не лише відокремлює всі особисті дані від робочих, але й забезпечує їхню безпеку.

Крім того, якщо виникне потреба, робочі дані, що зберігаються на цьому зашифрованому томі, можуть бути дистанційно видалені ІТ-командою вашої компанії, без необхідності повністю чистити пристрій або видаляти будь-які приватні дані. При цьому буде видалено лише те, що встановлено на цьому окремому томі, включно з робочими програмами та будь-якими іншими робочими даними, якими керує ваша компанія. Тобто якщо, наприклад, ви використовуєте BYOD і переходите на нову роботу, все, що вам потрібно зробити, – це видалити свій робочий обліковий запис на iPhone (або ваш роботодавець може зробити це віддалено). Після цього всі робочі дані зникнуть, а ви будете готові до того, щоб почати цей процес заново, з новим роботодавцем.

2. Контрольований доступ. При використанні BYOD важливо, щоб ви відчували себе комфортно, знаючи, що ваша компанія має лише певні можливості в управлінні вашим особистим пристроєм. Apple подбала про те, щоб системний адміністратор міг керувати лише обліковими записами, налаштуваннями та інформацією, створеними у вашій організації. З огляду на це, ось список того, що саме може робити ваша ІТ-команда: налаштовувати робочі облікові записи; доступ до інвентаризації робочих програм; видаляти лише робочі дані; встановлювати та налаштовувати робочі програми; вимагати пароль доступу; впровадження певних обмежень; налаштування VPN для кожної програми.

Завдяки окремому зашифрованому тому ваша компанія не має доступу до будь-якої особистої інформації, даних про використання чи будь-чого іншого, що зберігається на основному накопичувачу пристрою або створеного за допомогою вашого особистого Apple ID. Крім того, ваш роботодавець ніколи не зможе отримати доступ до місцеперебування пристрою, побачити будь-які особисті програми або віддалено стерти весь пристрій. Усе це дозволяє вам бути впевненими, що ваш персональний пристрій Apple залишається вашим, навіть якщо ви використовуєте його на роботі.

3. Автоматизована віддалена конфігурація. На додаток до специфічних функцій безпеки Apple для BYOD, реєстрація вашого персонального пристрою в MDM вашої компанії надає низку загальних функцій безпеки та зручних переваг.

ІТ-команда може швидко розгортати робочі програми безпосередньо на ваших персональних пристроях Apple та завжди підтримувати їх в актуальному стані без будь-якої участі з вашого боку.

Крім додатків, BYOD дозволяє ІТ-команді віддалено розгортати певні конфігурації на вашому пристрої Apple, які можуть містити все, від надання пристрою облікових даних Wi-Fi, налаштування VPN до розгортання робочих календарів та налаштування пошти. Ці конфігурації принесуть багато зручності, оскільки ваш персональний пристрій Apple буде автоматично налаштований для бездоганної роботи, дотримуючись при цьому загальних протоколів безпеки вашої компанії.

Реєстрацію користувачів Apple легко впровадити в будь-якій компанії, а робоча електронна пошта Google або Microsoft може стати обліковим записом User Enrollment.

Все, що потрібно для реалізації User Enrollment, – це сучасне MDM-рішення, орієнтоване на Apple, таке як Mosyle. До того ж цей баланс між конфіденційністю працівників та безпекою роботодавця, а також повний спокій під час використання особистих пристроїв на роботі коштує лише $1 на місяць.

На початку осені Apple анонсувала свої нові операційні системи iOS 16 і tvOS 16, і Jamf з радістю пропонує вам підтримку сумісності в той же день 11-й рік поспіль.

Для Jamf підтримка в той же день означає забезпечення сумісності для версій Apple у день, коли вони доступні для вас, щоб допомогти клієнтам адаптувати найважливіші робочі процеси Apple і впровадити найновіші можливості.

Комерційні організації завжди шукають шляхи вдосконалення процесів управління, розширення протоколів безпеки та покращення взаємодії з кінцевим користувачем. З випуском iOS 16 і tvOS 16 сьогодні, а також очікуваним випуском iPadOS 16 пізніше, цієї осені, Apple знову допомогла організаціям зробити саме це. У цій статті буде висвітлено ключові функції та те, як вони можуть вплинути на вас і вашу організацію. Jamf перевірив наведені нижче функції та незабаром зробить цікаві оголошення про те, як вони планують підтримувати кожен робочий процес на користь клієнтів.

Manage Device Attestation

Користувачам потрібен доступ до всіх типів інформації на своїх пристроях – програм, електронної пошти та веб-сайтів. Історично організація могла використовувати захищену внутрішню мережу: наприклад VPN або брандмауер, щоб захистити ці ресурси. Але зі швидкою зміною сучасного світу і дедалі більшою кількістю ресурсів у хмарі змінилися вимоги безпеки щодо того, як пристрій ідентифікується мережею. Managed Device Attestation покращує становище у цьому плані.

Managed Device Attestation додатково підтверджує ідентичність пристрою. Він гарантує, що лише оригінальні пристрої можуть підключатися до сервера організації та отримувати доступ до ресурсів, гарантуючи, що ідентифікатор iOS/iPadOS (UDID і серійний номер) є автентичним і не був змінений.

Удосконаливши команду DeviceInformation MDM і включивши більше підтримки для автоматизованого середовища керування сертифікатами або протоколу ACME, Apple може підвищити безпеку керованих пристроїв за допомогою перевірки.

Перевірка Device Information дозволяє серверу MDM знати, що пристрій дійсно існує та має певні властивості. Водночас перевірка ACME ідентифікує пристрій, оскільки сервер ACME видає новий клієнтський сертифікат, якому всі сервери вашої організації вже довіряють.

Це оновлення впливає на корпоративні екосистеми безпеки організації, удосконалюючи варіанти організації захисту пристроїв та надання їм доступу до корпоративної інформації.

Реєстрація Single Sign-On

За останні кілька років реєстрація користувачів значно покращилася, включаючи інтеграцію Single Sign-on в iOS 13 і реєстрацію користувачів на основі облікового запису (Account Driven User Enrollment) в iOS 15 і iPadOS 15. Цього року з появою iOS 16, а незабаром і iPadOS 16, Apple продовжує покращувати як взаємодію з користувачем, так і безпеку реєстрації пристроїв у MDM за допомогою системи Single Sign-on (SSO).

Цей метод для особистих пристроїв – також відомий як Bring Your Own Device (BYOD) – дозволяє користувачам отримувати доступ до ресурсів компанії за допомогою єдиної автентифікації, використовуючи свій керований Apple ID і облікові дані постачальника хмарної ідентифікації. Що потрібно для роботи Enrollment SSO? Додаток, який підтримує реєстрацію SSO; керований Apple ID, створений в Apple Business Manager (ABM) або Apple School Manager (ASM); MDM, об’єднаний із постачальником хмарних ідентифікаторів; і ваш сервер MDM, налаштований на перевірку кінцевого користувача шляхом повернення інформації про програму.

Розберімо, як користувач увійде та використовуватиме реєстрацію SSO:

1. Користувач переходить у програму «Налаштування» та вводить свій керований Apple ID;
2. Потім з App Store треба завантажити програму, сумісну з Enrollment SSO, яка містить розширення Enrollment Single Sign-on;
3. Користувач авторизується;
4. Потім програма входить у систему, де користувач проходить процес реєстрації, і йому більше не потрібно входити знову.

Важлива примітка: реєстрація SSO буде недоступна під час початкового запуску, але буде з пізнішим оновленням до iOS 16, і має бути хмарний постачальник ідентифікаційної інформації, який підтримує Enrollment SSO workflow.

Rapid Security Response

Ще одне цікаве вдосконалення безпеки для підприємства. Rapid Security Response забезпечує оновлення безпеки для пристроїв і користувачів швидше, ніж ми бачили в минулому. Як? Тому, що Rapid Security Response встановлює критичні оновлення безпеки, навіть якщо в MDM налаштована затримка оновлення, наприклад на два тижні.

Це означає, що відповідь включена в наступне незначне оновлення (наприклад, iOS 16.1). Крім того, будь-яке оновлення, запроваджене Rapid Security Response, не коригуватиме версію програмного забезпечення (iOS 16.0), та не потребуватиме перезавантаження пристрою.

Це заспокоїть команди безпеки та ІТ, які можуть знати, що важливі оновлення безпеки доходять до користувачів швидше, таким чином посилюючи протоколи безпеки в усій організації.

Декларативне керування пристроями

Наступна особливість, яку слід виділити, переводить MDM зі свого історичного пасивного підходу до управління проактивним. Це називається Declarative Device Management і дозволяє пристроям діяти більш проактивно в межах політик зі свого сервера керування. Пристрій виявляє зміни свого стану та вживе заходів на основі визначених критеріїв, замість того, щоб чекати відповіді від сервера керування.

Уперше представлений на WWDC 2021 для iOS та iPadOS, Declarative Device Management перегляне керування пристроями для зацікавлених сторін у корпоративних організаціях. Він підтримує сучасні складні стратегії управління; покращує загальний досвід користувача під час використання керованих пристроїв; звільняє ІТ-адміністраторів від виконання нудних завдань; і, нарешті, дозволяє пристроям бути оператором у власному стані керування. Ця нова функція, повторно представлена на WWDC 2022, спочатку підтримуватиме пристрої iOS і iPadOS, зареєстровані через user enrollment.

Віддалена автентифікація

Удосконалення віддаленої автентифікації позбавляють iPad, налаштованих як shared iPads віддаленої автентифікації кожні сім днів. З iPadsOS 16 будь-які чинні користувачі спільного пристрою повинні будуть використовувати лише локальну перевірку, щоб отримати доступ. Якщо ІТ-адміністратор хоче й надалі застосовувати віддалену автентифікацію, він все одно може встановити «ніколи» за допомогою ключа OnlineAuthenticationGracePeriod.

Passkeys

Ще одне важливе оновлення системи безпеки: паролі відходять у минуле з ключами доступу. Ключі доступу – це технологія автентифікації, яка допомагає розв'язувати проблеми безпеки, як-от вразливі паролі або фішинг. Коли користувач входить у програму або на веб-сайт, він може додати ключ доступу до облікового запису цієї програми або сайту. Після додавання пристрій користувача має новий криптографічно надійний ключ для цього облікового запису, який зберігається в iCloud Keychain. Це означає, що ключ доступу синхронізуватиметься на всіх пристроях під керуванням iOS 16, iPadOS 16, та macOS 13.

Ключі доступу – це технологія на додаток до інструментів керування пристроями та оновленнями, захисту (endpoint) кінцевих точок і технологій веб-фільтрації, які працюють разом у багаторівневому підході для захисту конфіденційних даних для компаній.

Оновлення Apple – це завжди бентежний час для адміністраторів ІТ та безпеки Apple. У iLand ми з нетерпінням чекаємо, щоб дізнатися, як ми можемо підтримувати ці нові функції та допомогти нашим клієнтам інтегрувати їх в екосистему своїх пристроїв.