邁克菲 2011 年一份題為《移動與安全:誘人商機,巨大挑戰(zhàn)》(Mobility and Security: Dazzling Opportunities, Profound Challenges)的調(diào)查報告顯示,63% 訪問企業(yè)網(wǎng)絡(luò)的移動設(shè)備還用于個人活動。32% 的受訪者表示,將與工作有關(guān)的通訊簿、報告、提案、合約、保密協(xié)議以及業(yè)務(wù)計劃存儲在其個人智能手機中?紤]到這些信息資產(chǎn)對您的業(yè)務(wù)至關(guān)重要,您的員工在個人時間使用移動設(shè)備的行為很顯然也是您的業(yè)務(wù)的一部分!
如果員工的行為為企業(yè)招致攻擊、盜竊、法律責任、監(jiān)管罰款或企業(yè)間諜,則更是如此。雖然安全對于“IT 消費化”已不是什么新鮮事物,但過去幾年的經(jīng)驗已經(jīng)讓我們充分了解到了員工如何在個人和企業(yè)兩個世界“跨界”。我們深知,哪些行為模式會帶來最大威脅,企業(yè) IT 安全團隊需要哪些管理能力來管理員工。如果這些團隊缺乏能夠輕松控制設(shè)備和漏洞的移動安全框架,移動員工的行為和網(wǎng)絡(luò)犯罪分子的惡行會使移動企業(yè)置身于潛在的巨大威脅中。
下面列舉的 Gina、Ted 和 Doug 的私人生活是導(dǎo)致企業(yè)面臨潛在攻擊的突出行為模式。
Gina 的私人生活:娛樂和游戲,危險下載 Gina 大量下載各種來源的個人移動應(yīng)用程序。她還養(yǎng)成了一個不良習慣:單擊任何通過電子郵件和短信發(fā)送的鏈接。更糟的是,為避開有關(guān)不信任網(wǎng)站和異常應(yīng)用行為的安全警告,她禁用了手機的安全功能(這一做法稱為“越獄”)。當需要在同一設(shè)備上兼顧個人與工作應(yīng)用時,這種不計后果的行為會使其公司陷于危險境地。如果她的手機感染了惡意軟件,攻擊者就會竊取與業(yè)務(wù)會議有關(guān)的敏感信息,訪問她的工作郵箱,或傳播設(shè)備上存儲的任何公司文檔。
專門針對手機的威脅日益復(fù)雜,因此,Gina 的大意行為更加危險。例如,最近發(fā)現(xiàn)的 Android/Stiniter.A 就是使用 root 漏洞攻擊來控制設(shè)備、下載更多的惡意軟件、發(fā)送欺詐短信以增加話費,并且發(fā)送潛在敏感信息給攻擊者。邁克菲實驗室的一項研究表明,2011 年7 月至 12 月,這類 Android 威脅增長了 600%。僅在 2012 年第一季度,Android威脅數(shù)量就接近 7000,邁克菲實驗室數(shù)據(jù)庫統(tǒng)計的總數(shù)已超過 8000。
Ted 的私人生活:將工作信息存儲在個人設(shè)備中 Ted 的個人平板電腦既用于工作,也用來娛樂。下班后,他會訪問高流量、半合法的內(nèi)容網(wǎng)站,并下載盜版內(nèi)容。由于頻繁光顧這類網(wǎng)站,他和 Gina 一樣也面臨著類似的惡意軟件威脅。上班期間,Ted 使用同一部平板電腦通過 Dropbox 服務(wù)訪問公司合同和產(chǎn)品上市計劃。如果 Ted 使用筆記本電腦訪問公司文檔,他的 IT 團隊可以通過執(zhí)行禁止和預(yù)防危險行為的安全策略來應(yīng)對公司信息資產(chǎn)外泄問題。還可以實施強大的用戶身份驗證和加密解決方案,以確保安全地訪問和傳輸敏感資料。
但是,當 Ted 通過平板電腦訪問公司文檔時,IT 團隊就無法執(zhí)行這些安全措施,也無力阻止任何這樣不計后果的行為。他的“工作”文件存放在設(shè)備存儲器的個人空間-緊鄰他的周末Happy 照片、生日視頻和喜愛的音樂。如果他的平板電腦感染惡意軟件,或者他試圖通過惡意網(wǎng)絡(luò)連接訪問或發(fā)送文檔,這些文檔很容易被盜。
Doug 的私人生活:丟失和解鎖 Doug 的 IT 紀錄不佳-他出差時總是丟手機。如果他在行業(yè)展會上丟失手機,設(shè)備以及其中存儲的公司數(shù)據(jù)可能會落入競爭對手手中。而如果在其他地方丟失,員工、客戶或合作伙伴信息的泄露可能導(dǎo)致其公司違反諸多法規(guī)、隱私合同或者保密協(xié)議。就目前的技術(shù)而言,多數(shù)情況下,IT 團隊還無法知道丟失設(shè)備中的內(nèi)容,也無法擦除其中的信息。
根據(jù)邁克菲《移動與安全:誘人商機,巨大挑戰(zhàn)》報告,IT 經(jīng)理面臨的最大移動安全問題確實是丟失和被盜,這一點也不奇怪。調(diào)查還發(fā)現(xiàn),每年有 1/5 的設(shè)備丟失。更糟糕的是,在調(diào)查的所有用戶中,超過半數(shù)受訪者承認沒有鎖定設(shè)備。簡而言之,除了安全以外,這些因素也是 IT 和風險經(jīng)理的“合規(guī)噩夢”。
構(gòu)建移動安全管理框架 企業(yè)可以實施諸多安全策略來告知和教育員工。除策略和教育外,企業(yè)還應(yīng)該部署可提供以下保護措施的移動安全管理框架:
惡意軟件防護。由于提供下載的位置很廣泛,因此阻止和刪除惡意應(yīng)用程序是保護移動設(shè)備遠離危險下載的關(guān)鍵措施。
數(shù)據(jù)保護。用戶及其 IT 團隊應(yīng)當了解應(yīng)用程序正在訪問的數(shù)據(jù)、應(yīng)用程序使用數(shù)據(jù)的目的,以及應(yīng)用程序可能會把數(shù)據(jù)發(fā)送給企業(yè)以外的哪些人。必須部署合適的解決方案,才能確保企業(yè)有效監(jiān)控和限制此類活動;诓呗缘囊苿影踩軌虮Wo存儲的企業(yè)數(shù)據(jù),而雙因素身份驗證和公鑰基礎(chǔ)設(shè)施可確保安全地訪問、傳輸和存儲敏感信息。
設(shè)備保護。鎖定和擦拭之類的功能可以減少從丟失或被盜設(shè)備中采集到重要信息的風險。這樣就可以解決丟失的手機和平板電腦引起的安全與合規(guī)問題。
自動化和簡化。理想情況下,企業(yè)應(yīng)該讓用戶能夠?qū)崿F(xiàn)自助配置,并提供可供用戶輕松下載批準和推薦應(yīng)用程序的企業(yè)應(yīng)用程序店。
策略執(zhí)行。執(zhí)行適當?shù)钠髽I(yè)安全策略,允許 IT 部門阻止未經(jīng)授權(quán)、未受保護和已修改的設(shè)備(如 Gina 的越獄智能手機),從而滿足審核和報告要求。
移動員工對工作和個人移動生活的要求只會越來越高,而設(shè)備也依舊會存在眾多漏洞和大量被攻擊的風險。IT 安全專業(yè)人員需要借助移動安全管理框架,從源頭控制實際和潛在的混亂局面。這類框架應(yīng)該完美地與現(xiàn)有的管理框架整合,支持企業(yè)最大限度地提高員工效率,同時盡可能地降低員工造成的風險。要避免陷入安全威脅困境,您的 IT 人員必須花費更多時間來思考移動企業(yè)需要實施哪些措施才能真正保護業(yè)務(wù)。
投稿郵箱:chuanbeiol@163.com 詳情請訪問川北在線:http://sanmuled.cn/