近日在旧金山召开的一场RSA大会云安全小组讨论会上,来自eBay, Sallie Mae, Humana和Bank of America的首席信息安全官们,纷纷发表了未来员工自带设备办公(BYOD)趋势下,如何应对BYOD所带来的安全风险问题。
NetIQ公司亚太区身份与安全管理产品和业务经理Ian Yip,在此次讨论会上表示,信息安全部门的操作方式需要进行根本性的模式转变,并创造性地设计出解决方案同时降低风险。具体地,可以参照以下策略:
一、倡导鼓励安全文化。安全观念应成为企业有机整体的一部分。这需要进行文化转变。安全观念必须成为一个能动器并嵌入到企业的各个方面。不能将安全意识看作企业创造精神的障碍。
安全文化(图片来自网络)
二、教育、测试、重复。单位和终端用户必须共同承担责任。在最近召开的RSA大会上,曾为著名黑客的 Kevin Mitnick反复强调,社会工程仍是最容易让安全意识渗透一家公司的手段。实际上,许多高级持久威胁(APT)都涉及使用Spear Phishing网络钓鱼方式,捕获安全意识缺乏的员工,来损害网络。因此,不要停止对员工进行教育。必须定期在员工最没有想到的时候对员工进行测试(并让他们意识到缺失),加强正确行为方式的建立。
三、建立易于理解的BYOD规定。不要依靠用户破译“安全语言”。例如“要确保你的设备安装有我们公司强制安装的软件。你可按如此步骤从这个地点下载并安装。”
四、执行访问控制策略。应依靠身份、背景和规定对资源进行保护。如果系统不能确定用户的身份,如果不符合合规标准(例如屏幕解锁口令/PIN未激活)或者没有安装必备软件(如防病毒软件),就不允许设备访问资源。根据所处地点和连接是否加密等因素通过对访问进行限制来应用背景。
常见的全局访问控制政策
五、使补救过程自动化。通过将大多数补救过程自动化尽可能简单地使用户能确保设备合规。不要依靠用户能自觉了解他们需要下载和安装一系列软件。这可利用身份分配和配置管理技术来实现。
六、利用安全信息和事件管理工具进行监控。利用可提供身份绑定的审计和控告智能的安全信息和事件管理(SIEM)解决方案对所有在公司网络上访问资源的设备进行监控。在一个充满部分可信、潜在受损设备的环境下,具备洞察力是首要的,而事件响应时间则是关键性的。
安全信息和事件管理工具结构图
七、使用具有担保层级的身份联盟。通过跨分区将用户身份进行联盟并依靠信任级别执行访问控制,在具有许多身份来源的环境中以一种安全的、基于标准的方式降低操作成本。作为一个例子,我们来考虑员工内部身份和他们的在线身份之间有重叠的问题。使用自己设备的用户通常已经登录到他们的在线帐户中(如微博),为保证易于使用和透明的一次登录,安全策略可以实施为支持多个担保层级。如果某员工已经登录到微博,内部应用可利用那个身份,但给他较低的信任级别。这样,员工就可使用其微博资格访问内联网非敏感部分。但如果想访问公司的电子邮件,他就需要提供员工资格从而执行更高一级的担保,即该员工是他所声称的这个人。
八、提供安全设备。为员工提供他们所选择的设备并确保这些设备装载了要求的软件和控制。这为单位和个人提供了一个双赢局面。员工使用自己选择的设备无需付钱,并可以安全和合规的方式访问公司环境。
九、控制从设备的访问。当通过非标准设备进行检索时要确保对敏感数据的访问得到控制。例如,可通过提供远程会话允许员工利用该信息,但永远不物理地将数据存储到非标准设备上。
十、对敏感数据加密。对任何放在被认为是公司财产的非标准设备上的数据进行加密处理。这可包括员工的公司电子邮件。
对敏感数据进行加密
