Zabezpečení přenosných zařízení s přístupem k citlivým firemním údajům je zásadní téma pro každé IT a bezpečnostní oddělení. Jako jednička na trhu tzv. Zero Trust Cloud Security se vyprofilovala britská Wandera, která jednu z vývojových poboček otevřela v roce 2015 i v Brně. Hosty další epizody technologického podcastu SCRIPTease jsou ředitel vývojářského týmu Ondřej Nevělík a senior inženýr Jakub Coufal, kteří dnes pracují v mateřské firmě Jamf, jež se chlubí tím, že se bez ní neobejdou majitelé Apple telefonů ve většině známých firem. Dodává totiž světově nejpoužívanější MDM (Mobile Device Management) řešení pro platformu Apple.
Článek vznikl v rámci spolupráce SJ News a podcastu SCRIPTease. Celou epizodu si můžete poslechnout zde:
Oba hosté podcastu SCRIPTease nastoupili v průběhu minulé dekády do služeb startupu Wandera, zaměřeného na bezpečnost mobilních zařízení. Ten se stal po devíti letech existence předmětem akvizice skupinou Jamf v červenci 2021 za částku 400 milionů amerických dolarů (asi 10 miliard korun). Jamf tím prostřednictvím zaměstnanců a technologií od Wandery získal kompetence v oblasti kybernetické a informační bezpečnosti. Právě díky těm nyní může nabízet kompletní produkt poptávaný firmami – řízení mobilních zařízení včetně jejich zabezpečení.
Jablka mají přednost
Oficiální misí skupiny Jamf je pomáhat organizacím s úspěšnou adaptací a provozem Apple produktů a služeb. „Děláme zabezpečení mobilních zařízení a firemních dat, tak aby bylo uživatelsky příjemné,“ vysvětluje Nevělík. „Jamf se sice zaměřuje na Apple a razí filosofii ‚Apple first‘, avšak většina firem, zejména těch větších, má ve svém portfoliu celou plejádu zařízení. Proto potřebujeme podporovat i platformy Android či Windows,“ doplňuje.
Technologie od Jamf používají největší světové firmy, vládní organizace jako americká NASA, ale také samotná společnost Apple pro management zařízení ve svých vlastních provozech. Konkrétně jde o 22 z 25 největších společností dle žebříčku magazínu Forbes nebo přibližně čtyři pětiny všech firem zařazených do žebříčku Fortune 500. A co ten zbytek? „Existují firmy, které vůbec nepoužívají produkty Apple. Tam bohužel neměl Jamf minimálně do akvizice Wandery co dělat,“ směje se Nevělík.
Na papíře zní nejdůležitější úkol pro Jamf v podstatě jednoduše: Zajistit, že k důvěrným datům firmy mají přístup jenom ti uživatelé, kteří k nim mít přístup mají, a to výhradně prostřednictvím autorizovaných zařízení. „Jenže je náročné vše udělat tak, aby technologie nekomplikovala zaměstnanci jeho běžný pracovní život a úkoly, na kterých pracuje. Aby se například nemusel desetkrát za den ověřovat s pomocí druhého faktoru,“ vysvětluje Nevělík.
Mimo kancelář více než kdy dříve
Jednou z velkých výzev, kterou musely firmy a zprostředkovaně i Jamf v posledních letech řešit, byla covidová pandemie. Řada firem totiž do prvních lockdownů v otázce zabezpečení dat razila princip, že skutečně citlivé informace byly přístupné pouze „on premise“, tedy v případě, že zaměstnanec fyzicky dorazil do kanceláře, z jejíhož prostoru se poté připojil do lokální sítě. To však s masivním přechodem na homeoffice nebyl dále udržitelný přístup.
Dalším typickým případem, který musí bezpečnostní specialisté řešit, jsou přístupy do cloudových úložišť, které odcházejícím zaměstnancům kvůli špatně nastaveným procesům zůstanou ještě dlouhé týdny, měsíce či dokonce roky po ukončení pracovního poměru. „Řada firem přitom takových aplikací v různých cloudech provozuje i několik stovek,“ přibližuje běžnou praxi Ondřej Nevělík. Úplně nejčastější, v podstatě každodenní starostí jsou phishingové útoky cílící na vylákání přístupových údajů. Ty se technologie od Wandery, respektive Jamfu, snaží odhalovat v reálném čase.
„Často se stává, že tzv. zero day útoky (úplně nové bezpečnostní hrozby – pozn. red.) nedetekuje ani Google, ani Apple, ale detekujeme je my. Pomocí strojového učení jsme vycvičili neuronovou síť, která běží na pozadí a vyhodnocuje obsah stránek, na něž e-mailové zprávy odkazují, i samotné URL. Umí třeba odhalit záměnu znaků, kterou běžný uživatel často nerozpozná, například 0 a O, ale i další podobnosti ve standardu Unicode,“ vysvětluje Jakub Coufal. V rámci boje proti ransomware a dalším formám škodlivého kódu udržuje firma i rozsáhlý seznam nedůvěryhodných aplikací, které se jejich autorům podařilo propašovat na oficiální digitální tržiště Apple App Store a Google Play. Bezpečnostní analýza se specificky zaměřuje na nadbytečná oprávnění nebo přítomnost tzv. sideloaderů, které nahrávají škodlivý kód do telefonů na pozadí.
Pro uživatele nejviditelnější je pak technologie pro blokování webových stránek, které není vhodné si prohlížet v pracovní době a na zařízeních poskytovaných zaměstnavatelem. Typicky jde o stránky obsahující erotický obsah, umožňující sázení či rovnou gambling, nebo online hry. Blokování v tomto případě probíhá na úrovni DNS (služba pro překlad doménových jmen na IP adresy – pozn. red), samotný obsah se však pro analýzu v cloudové technologii od Jamf obvykle neposílá. „Teoreticky tak je možné, aby si uživatel pustil tvrdou pornografii, pakliže se bude nacházet na stránce, která je běžně zcela neškodná,“ připouští Jakub Coufal. Opačný přístup by neúměrně zvedal náklady na celé řešení.
Blokace na úrovni DNS je ve světě bezpečnosti velké téma, neboť právě tuto variantu zneužívají vlády totalitních států pro blokování nepohodlných webů či stránek opozičních žurnalistů. Bránit se proti němu jde využitím alternativních DNS serverů (například známé adresy 8.8.8.8 od Google), nebo prohlížečem s funkcí šifrování a mnohonásobného přesměrování (Tor).
Zjednodušení pro uživatele i IT oddělení
Jamf se zaměřuje výhradně na B2B trh a „managed devices“, tedy zařízení, která jsou v majetku a správě korporací. „Zaměstnanec rozbalí telefon z krabice, ten se přihlásí skrze API do Apple a zjistí, že je majetkem konkrétní firmy. Na základě toho dostane okamžitý pokyn ke stažení konkrétních aplikací, změně nastavení, oprávnění a podobně. Tím pádem dostává Jamf na těchto firemních zařízeních přístup k jiným funkcím než řadový programátor u telefonu vlastněného fyzickou osobou,“ upřesňuje Jakub Coufal technické pozadí služby MDM. „Firemní administrátor může zařízení spravovat na dálku. V případě, že zaměstnanec odchází, lze telefon kompletně vymazat a připravit pro předání dalšímu člověku, aniž by ho musel mít administrátor fyzicky v ruce,“ dodává Coufal.
S každou platformou se přitom před programátory otevírají odlišné výzvy. „V případě iOS a MacOS je trošku těžší samotné programování a náročný design starších API. U Androidu nás naopak trápí roztříštěnost platformy, kde se liší konkrétní implementace stejných funkcí od Xiaomi, Huawei či Samsungu,“ připouští Jakub Coufal. Kromě iOS a Androidu se Jamf zaměřuje i na osobní počítače. Některé funkcionality – zejména ty, které do firmy přišly s akvizicí startupu Wandera – jsou však nabízeny jen na telefonech či naopak jen na laptopech.
Rozbor uživatelských aktivit v reálném čase probíhá tak, že se vybraná data o síťovém provozu konkrétního zařízení posílají do cloudového analytického řešení firmy Jamf. A právě to je kámen úrazu například v operačním systému Windows od Microsoftu. „Je to asi úplně nejkomplikovanější platforma, kterou podporujeme. Vytáhnout síťový provoz lze pouze tehdy, když programátor napíše vlastní ovladače ke konkrétní síťové kartě. Je to velmi konkrétní dovednost, kterou nemá jen tak někdo – jde spíše o jednotky lidí na celém světě,“ popisuje Jakub Coufal. Vlajkovým produktem firmy s největším počtem aktivních uživatelů je prý v současnosti řešení Jamf Connect, určené primárně pro počítače od firmy Apple s operačním systémem MacOS.
Data se zařízení v rukách zaměstnance vždy snaží posílat na nejbližší dostupnou serverovnu. Z důvodu úspory nákladů na provoz, škálovatelnosti a nejnižší možné latence tak stejné analytické řešení běží současně na několika desítkách lokalit a stovkách serverů po celém světě, které firma souhrnně nazývá Edge (hrana či hranice). Jádro celého ekosystému je provozováno v Irsku, kde sídlí i evropské ředitelství firmy Apple a dalších technologických gigantů.
Jak probíhá vývojový proces v Jamfu? Kolik vývojářů v současnosti pracuje v týmu v Brně a jak velkou část developerských aktivit celé skupiny aktuálně tvoří? Jakým způsobem si zákazníci mohou řešení od Jamfu přizpůsobit? A kdy se oba hosté podcastu obávali o to, jestli budou mít druhý den kam přijít do práce? To všechno se dozvíte v další epizodě podcastu SCRIPTease, ve kterém moderátor Jirka Bachel z vývojářského klubu LOLO.team diskutoval s Ondřejem Nevělíkem a Jakubem Coufalem, softwarovými inženýry původně z Wandery, od roku 2021 z Jamfu.
Podcast SCRIPTease: Mobilní aplikace má kompletně suplovat pobočku. Jak na to vyzráli inovátoři z Monety a jak se vypořádávají s narůstajícími podvody?
