邁克菲 2011 年一份題為《移動與安全:誘人商機,巨大挑戰(zhàn)》(Mobility and Security: Dazzling Opportunities, Profound Challenges)的調查報告顯示�����,63% 訪問企業(yè)網絡的移動設備還用于個人活動�����。32% 的受訪者表示�,將與工作有關的通訊簿�、報告、提案�、合約��、保密協(xié)議以及業(yè)務計劃存儲在其個人智能手機中���������?紤]到這些信息資產對您的業(yè)務至關重要��,您的員工在個人時間使用移動設備的行為很顯然也是您的業(yè)務的一部分�!
如果員工的行為為企業(yè)招致攻擊、盜竊�、法律責任、監(jiān)管罰款或企業(yè)間諜���,則更是如此�����。雖然安全對于“IT 消費化”已不是什么新鮮事物����,但過去幾年的經驗已經讓我們充分了解到了員工如何在個人和企業(yè)兩個世界“跨界”。我們深知��,哪些行為模式會帶來最大威脅����,企業(yè) IT 安全團隊需要哪些管理能力來管理員工。如果這些團隊缺乏能夠輕松控制設備和漏洞的移動安全框架�����,移動員工的行為和網絡犯罪分子的惡行會使移動企業(yè)置身于潛在的巨大威脅中����。
下面列舉的 Gina、Ted 和 Doug 的私人生活是導致企業(yè)面臨潛在攻擊的突出行為模式���。
Gina 的私人生活:娛樂和游戲��,危險下載 Gina 大量下載各種來源的個人移動應用程序���。她還養(yǎng)成了一個不良習慣:單擊任何通過電子郵件和短信發(fā)送的鏈接。更糟的是���,為避開有關不信任網站和異常應用行為的安全警告,她禁用了手機的安全功能(這一做法稱為“越獄”)。當需要在同一設備上兼顧個人與工作應用時���,這種不計后果的行為會使其公司陷于危險境地�。如果她的手機感染了惡意軟件���,攻擊者就會竊取與業(yè)務會議有關的敏感信息���,訪問她的工作郵箱,或傳播設備上存儲的任何公司文檔�����。
專門針對手機的威脅日益復雜��,因此�,Gina 的大意行為更加危險。例如�,最近發(fā)現(xiàn)的 Android/Stiniter.A 就是使用 root 漏洞攻擊來控制設備、下載更多的惡意軟件�����、發(fā)送欺詐短信以增加話費���,并且發(fā)送潛在敏感信息給攻擊者����。邁克菲實驗室的一項研究表明,2011 年7 月至 12 月��,這類 Android 威脅增長了 600%�。僅在 2012 年第一季度,Android威脅數(shù)量就接近 7000��,邁克菲實驗室數(shù)據(jù)庫統(tǒng)計的總數(shù)已超過 8000���。
Ted 的私人生活:將工作信息存儲在個人設備中 Ted 的個人平板電腦既用于工作����,也用來娛樂�。下班后,他會訪問高流量����、半合法的內容網站,并下載盜版內容���。由于頻繁光顧這類網站����,他和 Gina 一樣也面臨著類似的惡意軟件威脅����。上班期間,Ted 使用同一部平板電腦通過 Dropbox 服務訪問公司合同和產品上市計劃�����。如果 Ted 使用筆記本電腦訪問公司文檔����,他的 IT 團隊可以通過執(zhí)行禁止和預防危險行為的安全策略來應對公司信息資產外泄問題。還可以實施強大的用戶身份驗證和加密解決方案��,以確保安全地訪問和傳輸敏感資料��。
但是�����,當 Ted 通過平板電腦訪問公司文檔時�����,IT 團隊就無法執(zhí)行這些安全措施,也無力阻止任何這樣不計后果的行為���。他的“工作”文件存放在設備存儲器的個人空間-緊鄰他的周末Happy 照片���、生日視頻和喜愛的音樂。如果他的平板電腦感染惡意軟件����,或者他試圖通過惡意網絡連接訪問或發(fā)送文檔,這些文檔很容易被盜���。
Doug 的私人生活:丟失和解鎖 Doug 的 IT 紀錄不佳-他出差時總是丟手機��。如果他在行業(yè)展會上丟失手機�����,設備以及其中存儲的公司數(shù)據(jù)可能會落入競爭對手手中�����。而如果在其他地方丟失�����,員工�����、客戶或合作伙伴信息的泄露可能導致其公司違反諸多法規(guī)�����、隱私合同或者保密協(xié)議���。就目前的技術而言,多數(shù)情況下����,IT 團隊還無法知道丟失設備中的內容,也無法擦除其中的信息���。
根據(jù)邁克菲《移動與安全:誘人商機����,巨大挑戰(zhàn)》報告�����,IT 經理面臨的最大移動安全問題確實是丟失和被盜,這一點也不奇怪�。調查還發(fā)現(xiàn),每年有 1/5 的設備丟失�。更糟糕的是,在調查的所有用戶中��,超過半數(shù)受訪者承認沒有鎖定設備����。簡而言之,除了安全以外�����,這些因素也是 IT 和風險經理的“合規(guī)噩夢”���。
構建移動安全管理框架 企業(yè)可以實施諸多安全策略來告知和教育員工���。除策略和教育外,企業(yè)還應該部署可提供以下保護措施的移動安全管理框架:
惡意軟件防護�。由于提供下載的位置很廣泛,因此阻止和刪除惡意應用程序是保護移動設備遠離危險下載的關鍵措施���。
數(shù)據(jù)保護��。用戶及其 IT 團隊應當了解應用程序正在訪問的數(shù)據(jù)�、應用程序使用數(shù)據(jù)的目的,以及應用程序可能會把數(shù)據(jù)發(fā)送給企業(yè)以外的哪些人���。必須部署合適的解決方案�����,才能確保企業(yè)有效監(jiān)控和限制此類活動������;诓呗缘囊苿影踩軌虮Wo存儲的企業(yè)數(shù)據(jù)�,而雙因素身份驗證和公鑰基礎設施可確保安全地訪問����、傳輸和存儲敏感信息。
設備保護����。鎖定和擦拭之類的功能可以減少從丟失或被盜設備中采集到重要信息的風險。這樣就可以解決丟失的手機和平板電腦引起的安全與合規(guī)問題。
自動化和簡化��。理想情況下���,企業(yè)應該讓用戶能夠實現(xiàn)自助配置��,并提供可供用戶輕松下載批準和推薦應用程序的企業(yè)應用程序店�。
策略執(zhí)行�����。執(zhí)行適當?shù)钠髽I(yè)安全策略�,允許 IT 部門阻止未經授權、未受保護和已修改的設備(如 Gina 的越獄智能手機)����,從而滿足審核和報告要求。
移動員工對工作和個人移動生活的要求只會越來越高��,而設備也依舊會存在眾多漏洞和大量被攻擊的風險����。IT 安全專業(yè)人員需要借助移動安全管理框架,從源頭控制實際和潛在的混亂局面��。這類框架應該完美地與現(xiàn)有的管理框架整合,支持企業(yè)最大限度地提高員工效率��,同時盡可能地降低員工造成的風險���。要避免陷入安全威脅困境����,您的 IT 人員必須花費更多時間來思考移動企業(yè)需要實施哪些措施才能真正保護業(yè)務��。
投稿郵箱:chuanbeiol@163.com 詳情請訪問川北在線:http://www.dstuf.com/
