Безопасность Headwind MDM

Мы прилагаем все усилия, чтобы сделать Headwind MDM безопасным и надежным решением для вашего бизнеса!

Информационная безопасность Headwind MDM

Наша команда придает первостепенное значение обеспечению информационной безопасности как самого продукта, так и пользовательских данных, и прилагает все усилия для того, чтобы наши клиенты могли быть уверены в безопасности Headwind MDM.

Методы обеспечения безопасности

  • Безопасные протоколы. В Headwind MDM используется зашифрованный протокол HTTPS, и средствами платформы (Android) проверяется валидность серверных сертификатов. Есть возможность включения режима HSTS (HTTP Strict Transport Security), блокирующую возможность игнорирования ошибок сертификата.
  • Хранение паролей. Пароли пользователей не передаются и не хранятся в базе данных в открытом виде. Используются исключительно хэши паролей (SHA-1).
  • Требования к паролям. Администратор может указать требования к сложности пароля, а также требовать от пользователя изменить пароль после первого входа в систему.
  • Двухфакторная авторизация. В Headwind MDM есть возможность включить двухфакторную авторизацию через TOTP аутентификатор.
  • Изоляция критичных сервисов. Критичные сервисы, такие, как передача Push-уведомлений, или доступ супер-администратора, имеют учетные записи и методы аутентификации, отличные от менее-критичных (REST-методы API).

Дополнительные опции безопасности

  • Подпись запросов и ответов API. Для критичных для работы системы REST методов, есть возможность включить подписи запросов и ответов, предотвращающие атаки Man in the Middle.

Безопасность корпоративных данных

  • Шифрование хранилища. В Headwind MDM может быть включена опция аппаратного шифрования хранилища устройства при начальной настройке, предотвращающего несанкционированный доступ к данным путем извлечения хранилища.
  • Блокировка доступа по USB. В Headwind MDM может быть включена блокировка доступа к хранилищу через USB.
  • Удаленная блокировка доступа к устройству и сброс. При необходимости (утерянное или украденное устройство), администратор может сбросить устройство к заводским настройкам с уничтожением всех конфиденциальных данных, или установить программную блокировку устройства (запрет доступа без уничтожения данных).
  • Авторизация доступа к контенту. Для предотвращения несанкционированного доступа к файлам, загружаемым на устройства, есть возможность включить авторизацию.

Методы контроля безопасности

Аудиты безопасности сторонними лицами и организациями

Headwind MDM, как ПО с открытым исходным кодом, регулярно подвергается проверкам на информационную безопасность, как волонтерами (Ethical Hackers), так и независимыми организациями – экспертами по кибербезопасности, как по заказу покупателей Headwind MDM, так и нанятыми нами в качестве независимых экспертов. По результатам аудита составляются отчеты об уязвимостях.

Работа с уязвимостями

Каждая уязвимость анализируется на критичность, и критичные уязвимости получают высокий приоритет (как баги, обнаруженные клиентами). После исправления уязвимостей запрашивается подтверждение аудитора.

Методики тестирования безопасности

  • Проверка всех методов, перечисленных в Swagger UI, требующих авторизации (помеченных как private) на блокировку неавторизованного доступа.
  • Проверка стороннего ПО и библиотек, входящих в состав Headwind MDM, на наличие общеизвестных уязвимостей (в этом случае рекомендацией будет обновление версий стороннего ПО и библиотек).
  • Развертывание тестового сервера и проведение Penetration Testing на известные типы атак, например:
    • Повышение уровня доступа пользователя через Cookies или прямое использование REST методов.
    • Атака базы данных через SQL внедрение.
    • Доступ к защищенным хранилищам через скрипты загрузки файлов.
    • Атака через исполнение выгруженных на сервер файлов.
  • Аудит исходного кода с целью выявления уязвимостей общего характера, например, хранение секретов и паролей в открытом виде, а также отсутствия недокументированных возможностей (Backdoor).