Cómo proteger al agente UEM (Unified Endpoint Management) en su punto final

Navega tus respuestas
0

Muchas compañías instalan un agente UEM en la computadora portátil de un empleado para realizar un seguimiento del estado de la computadora portátil. Y permiten que la computadora portátil se conecte a la red interna si este UEM devuelve el estado "Correcto" al servidor.

Si un dispositivo está comprometido, el atacante obtuvo el privilegio de nivel de SO. ¿Cómo podemos evitar que el atacante mate al agente de UEM y envíe al servidor el tráfico falso y "falso"?

Mis ideas:

  1. El tráfico se puede cifrar con la clave pública del servidor, pero esto no importa ya que el atacante puede obtener la clave pública en su máquina con acceso al sistema operativo.

  2. Use la clave Yubico (U2f) para autenticar al agente antes de iniciar una sesión con el servidor. Esto ayuda un poco porque este ataque de duplicación de sesión evitado, el atacante solo podía realizar la sesión. (la clave privada no se almacena en el sistema) ¿Pero qué sucede si el atacante parcha al agente en lugar de matarlo?

  3. ¿No confías en tu estado UEM?

pregunta Timothy Leung 02.12.2018 - 13:36
fuente

1 respuesta

0

He leído algunas cosas sobre esto en los últimos días ... se me ocurrieron algunas ideas.

  1. Asegúrese de tener la autenticación utilizada en la aplicación. Esto puede evitar que alguien mate a su agente Y cree un agente falso para hablar con el servidor. Primero deberán autenticarse con su agente falso, si tienen las credenciales, no podrán hacerlo. También puede implementar 2FA / U2F para aumentar la fuerza. Esto eliminó la posibilidad de que su proceso sea eliminado y cree su propia sesión.

  2. Use TLS para la conexión, esto puede sonar escaso, pero es una solución efectiva para prevenir el ataque MITM, por lo que en este caso, podemos evitar que el atacante cambie el tráfico.

  3. Haga que su aplicación sea firmada por Microsoft / apple / google, y aproveche su mecanismo de protección en el sistema operativo para evitar que se aplique un parche en el tiempo de ejecución. Por favor mire la protección de integridad del sistema en MacOS. Esto evita que su proceso sea tocado, incluso si obtuvieron acceso de root en el dispositivo / plataforma.

Al combinar las tres cosas, creo que el atacante no podrá modificar la aplicación / el tráfico. Déjame saber si tienes alguna idea!

    
respondido por el Timothy Leung 06.12.2018 - 11:37
fuente

Lea otras preguntas en las etiquetas

Resolviendo el defecto de la entidad externa XML en el servicio de auditoría de mensajes? ¿Hay alguna forma de detectar si un host USB realmente cargó el controlador para el dispositivo USB que conecté?