Что такое Samsung Knox и как это работает?

Knox - это платформа безопасности Samsung, которая установлена на большинстве новых устройств Galaxy.

Samsung

Смартфоны Samsung - одни из лучших, которые вы можете купить на рынке, поэтому неудивительно, что они пользуются популярностью как у потребителей, так и у корпораций. Но если вы когда-либо пользовались смартфоном Samsung Galaxy, возможно, вы видели надпись “Защищено Knox” на упаковке и экране загрузки. Это может заставить вас задуматься: что такое Samsung Knox и что он делает? Итак, в этой статье давайте подробнее рассмотрим часто упускаемую из виду функцию безопасности и то, как она помогает Samsung позиционировать себя как защищенный бренд смартфонов.

БЫСТРЫЙ ОТВЕТ

Knox относится к набору решений для обеспечения безопасности, встроенных в большинство устройств Samsung Galaxy. Knox помогает защитить конфиденциальные данные на вашем телефоне, такие как пароли и биометрические данные, от хакеров. За последнее десятилетие он также эволюционировал и стал общим брендингом для нескольких решений в области безопасности и управления, предназначенных для корпоративных пользователей Samsung.

Что такое Samsung Knox?

Как конечный пользователь, вы, вероятно, слышали о Samsung Knox в связи с вопросами безопасности вашего конкретного смартфона Galaxy. Но для ИТ-администратора в корпоративном рабочем пространстве Knox представляет собой гораздо больше того, что он может делать.

Samsung определяет Samsung Knox как:

Samsung Knox - это бизнес-платформа для настройки мобильных устройств и управления ими, предлагающая эффективное и индивидуальное использование в различных отраслях промышленности.

В основе Knox лежит эффективное управление рабочими устройствами. Но для этого решение пришлось расширить, чтобы удовлетворить несколько других потребностей в области безопасности и предприятия, помимо простого MDM (управление мобильными устройствами).

Чтобы понять, что такое Samsung Knox, нам сначала нужно немного перемотать назад и посмотреть на его историю.

Почему Samsung создала Knox?

Если вы следите за смартфонами более десяти лет, вы, очевидно, слышали о BlackBerry. В период своего расцвета одним из ключевых преимуществ BlackBerry было то, что она обещала безопасность своим корпоративным клиентам. Ваша компания выпустит телефон BlackBerry, на котором будет надежно храниться ваша корпоративная учетная запись электронной почты и другие рабочие данные. Это хорошо работало, когда телефоны BlackBerry были на пике популярности, но через некоторое время они отстали от конкурирующих брендов с точки зрения функций. В результате сотрудникам по-прежнему будут выдаваться устройства BlackBerry для работы, в то время как для личного пользования они предпочтут Android или iPhone.

Конкуренты воспользовались этой ситуацией, предложив решения “BYOD” (Принесите свое собственное устройство). Сотрудники приносили свои собственные смартфоны для использования в корпоративной сети, полностью отказываясь от BlackBerry, выпущенного для работы. Samsung присоединилась к тренду BYOD в корпоративной сфере с Samsung Galaxy S3, который также дебютировал Samsung Knox.

Изначально основной целью Knox было сохранение корпоративных данных защищенными и отдельными.

Изначально Knox была встроенной в телефон платформой безопасности, служащей одной фундаментальной цели: защите корпоративных данных и их разделению. Для этого были применены запатентованные средства для запуска и хранения приложений и данных, чувствительных к безопасности, в защищенной среде выполнения на телефоне. Это означало, что ваши личные приложения и данные могут размещаться на том же телефоне, что и ваши рабочие приложения и данные, и все ваши рабочие данные будут по-прежнему оставаться безопасными и бескомпромиссными. Корпоративные пользователи оценили такой подход, и Samsung отреагировала на их потребности выпуском более широкой “Платформы Knox для предприятий”.

С этого момента платформа эволюционировала, чтобы включать в себя более надежные решения для управления устройствами, в том числе те, которые опирались на облако. К 2015 году платформа получила такие функции, как EMM (управление мобильностью предприятия), контроль версий ОС, настройка устройств, защита от кражи и многое другое. ИТ-администраторы получили доступ к централизованным консолям, которые обеспечили лучший пользовательский интерфейс и более согласованное и унифицированное решение для управления растущим числом этих функций на еще большем количестве устройств. Ближе к текущему дню платформа приобрела функции, позволяющие автоматически регистрировать устройства и даже обслуживать клиентов на предприятиях.

Портфолио Samsung Knox

Samsung

Бренд Knox расширился и охватывает следующее:

• Защищено Knox: основной платформой безопасности
• Knox Suite: унифицированное решение Samsung для управления конечными точками, которое дополнительно включает в себя следующее:Платформа Knox для предприятий
  Регистрация Knox Mobile: для массовой настройки и развертывания устройств
  Knox Manage: для мобильного управления
  Knox E-FOTA: для контроля обновлений ОС
  Knox Asset Intelligence: для предоставления аналитики использования
  
• Настройка Knox: для удаленной настройки устройств
• Knox Guard: для ограничения использования мошеннических устройств
• Knox Capture: для сканирования штрих-кодов корпоративного уровня
• Программа развертывания Knox: для ребрендинга устройств

Что такое “Защищенный Knox”?

Для большинства людей брендинг “Обеспечено Knox” будет наиболее узнаваемой формой Knox, с которой они сталкиваются. Когда вы видите этот фирменный знак, вы можете быть уверены, что решение Samsung для обеспечения безопасности активно и работает на вашем устройстве. В отличие от антивирусных приложений, которые обеспечивают защиту от вирусов с помощью программного обеспечения, Knox обеспечивает защиту вашего устройства от многих других моделей угроз, и делает это с помощью комбинации программных и аппаратных средств защиты.

Основная платформа безопасности Knox включает в себя следующие функции:

• Корень доверия
• Хранилище Knox
• Надежная загрузка
• Защита ядра в режиме реального времени
• Проверка работоспособности устройства
• Защита конфиденциальных данных
• Безопасность приложений

Что такое Knox Vault?

Одной из функций, которыми Knox может похвастаться как частью своей основной платформы безопасности, является Knox Vault. Думайте о нем как о сейфе внутри сейфа, предназначенном для защиты ваших самых ценных данных, таких как PIN-коды, пароли, биометрические данные и многое другое, от злоумышленников, которые пытаются вывести ваше устройство из строя и раскрыть эту информацию.

С технической точки зрения Knox Vault - это изолированная защищенная подсистема с защитой от несанкционированного доступа, имеющая собственный процессор, память и интерфейс для выделенного энергонезависимого защищенного хранилища. Это расширение Samsung TrustZone, доверенной среды выполнения (TEE), разработанной Samsung впервые. В то время как TrustZone работает под управлением другой ОС наряду с Android на основном процессоре приложений, Knox Vault работает полностью независимо от основного процессора под управлением ОС Android. Такое разделение означает, что Knox Vault защищает конфиденциальные данные, даже если сам основной процессор полностью скомпрометирован.

Samsung Knox Vault хранит конфиденциальные данные, такие как аппаратные ключи хранилища ключей Android, Samsung Attestation Key, биометрические данные и учетные данные блокчейна. Knox Vault интегрирован в устройства Samsung, начиная с серии Galaxy S21.

Что такое доверенная загрузка?

Надежная загрузка - это функция платформы Knox, которая идентифицирует не авторизованные или устаревшие загрузчики, прежде чем они смогут скомпрометировать устройство. Предприятия могут проверять целостность устройства по требованию с помощью Knox Attestation, которая считывает данные измерений, собранные Trusted Boot, вместе с настройкой принудительного использования SE для Android, чтобы вынести вердикт о состоянии безопасности устройства.

Samsung устанавливает на устройство предохранитель от не санкционированного доступа. При обнаружении неавторизованного или устаревшего компонента загрузчика с помощью Trusted Boot срабатывает предохранитель не санкционированного доступа, в результате чего конфиденциальные рабочие приложения и данные становятся постоянно зашифрованными и недоступными, поскольку целостность устройства больше не гарантируется. Пользователь устройства по-прежнему может загружать устройство и запускать персональные приложения, но электронный предохранитель остается постоянно и необратимо отключенным, а некоторые функции Knox больше недоступны. Некоторые приложения, такие как Samsung Pay, Samsung Pass, Samsung Health и Secure Folder, также перестают работать при срабатывании Knox, хотя вы можете использовать неофициальные обходные пути, чтобы заставить некоторые из них снова работать.

Что такое защита ядра в реальном времени?

Еще одна известная функция Knox - защита ядра в реальном времени (RKP). Это одна из самых надежных систем защиты от угроз и эксплойтов ядра в отрасли, и она работает без проблем "из коробки", не требуя настройки.

Как следует из названия, защита ядра в режиме реального времени защищает ядро различными способами. Основным средством является использование монитора безопасности в изолированной среде выполнения. Этот монитор безопасности перехватывает и проверяет критически важные действия ядра, прежде чем разрешить их выполнение. Таким образом, защита ядра в режиме реального времени не позволяет скомпрометированному ядру обойти другие средства защиты.

Samsung kроме того, он предотвращает модификацию кода и логики ядра, критически важных структур данных ядра и потока управления ядром. Защита ядра в реальном времени также включает функцию, называемую периодическим измерением ядра (PKM). Эта функция периодически отслеживает ядро, чтобы определить, были ли вредоносно изменены законный код ядра и данные. Во время сборки прошивки устройства хэш SHA1 каждого кода ядра и страницы данных, доступной только для чтения, вычисляется и собирается в файл измерений. Эти измерения подписываются Samsung для обеспечения целостности и подлинности данных. ПКМ периодически пересчитывает измерения запущенного ядра и сравнивает их с подписанными файлами измерений. При обнаружении какого-либо несоответствия сообщение о нарушении передается как в системные журналы, так и пользователю.

Что такое защищенная папка?

Безопасная папка - это функция последних моделей смартфонов Samsung Galaxy, которая позволяет дополнительно защитить ваши личные приложения и данные. Samsung заявляет, что Secure Folder “использует платформу безопасности Samsung Knox оборонного уровня для создания приватного зашифрованного пространства на вашем телефоне Samsung Galaxy”. Приложения и данные, перемещенные в защищенную папку, изолируются на устройстве отдельно и получают “дополнительный уровень безопасности и конфиденциальности”.

Тем не менее, компания не сообщает дополнительных технических подробностей о том, как это делается, но упоминает, что пользователям необходимо повторно пройти аутентификацию с помощью PIN-кода, пароля, шаблона разблокировки или зарегистрированной биометрической аутентификации, такой как отпечатки пальцев, чтобы получить доступ к содержимому в защищенной папке.

По сути, Secure Folder позволяет скрывать приложения и данные с главного экрана и требует от вас прохождения аутентификации для повторного доступа к нему. Он похож на сторонние приложения для блокировки приложений, которые можно найти в Google Play Store, но распространяется как решение первого производителя, встроенное в смартфоны Galaxy.

Secure Folder также предоставляет возможность управлять двумя отдельными учетными записями приложений на одном устройстве без необходимости входить в них и выходить из них. Если приложение не поддерживает быстрое переключение между двумя разными учетными записями, то вы можете создать копию приложения в защищенной папке, чтобы получить доступ ко второй учетной записи, не прибегая к повторному циклу входа в систему. Вы также можете удалить приложение за пределами защищенной папки, не затрагивая приложение внутри нее, на случай, если вы хотите скрыть приложение со своего главного экрана.

Защищенная папка против отдельных приложений

Samsung

Защищенная папка отличается от функции "Отдельные приложения" Knox, доступной ИТ-администраторам. Разделенные приложения изолируют сторонние приложения (такие как приложения авиакомпаний, гостиничные приложения ...) в изолированной папке рабочего профиля. Сторонние приложения не могут взаимодействовать с рабочими приложениями или получать доступ к конфиденциальным рабочим данным.

В то время как Secure Folder ограничивается обработкой личных файлов и данных пользователей. Приложения в Secure Folder по-прежнему сохраняют доступ к другим приложениям и данным, находящимся на телефоне.

На всех ли устройствах Samsung установлен Knox?

Большинство смартфонов и планшетов Samsung поставляются со встроенным Knox. Однако есть некоторые исключения, а именно некоторые бюджетные смартфоны и планшеты, работающие на урезанной версии One UI, называемой One UI Core, которые не поставляются с Knox Protection. Это связано с тем, что для включения всех важнейших функций Knox требуется дополнительное оборудование и ресурсы.

Вы можете проверить, поставляется ли в вашем телефоне Knox, указав любой фирменный знак Knox на коробке или другой маркетинговый или рекламный материал. Если у вас уже есть устройство, вы можете перейти в Настройки> О телефоне> Информация о программном обеспечении и найти запись “Версия Knox”. Если ваш телефон поддерживает Knox, в этой записи будет отображаться номер версии. Если ваш телефон не поддерживает Knox, эта запись не будет существовать.