移动设备埋下的企业安全隐患

迈克菲 2011 年一份题为《移动与安全:诱人商机,巨大挑战》(Mobility and Security: Dazzling Opportunities, Profound Challenges)的调查报告显示,63% 访问企业网络的移动设备还用于个人活动。32% 的受访者表示,将与工作有关的通讯簿、报告、提案、合约、保密协议以及业务计划存储在其个人智能手机中。考虑到这些信息资产对您的业务至关重要,您的员工在个人时间使用移动设备的行为很显然也是您的业务的一部分!

如果员工的行为为企业招致攻击、盗窃、法律责任、监管罚款或企业间谍,则更是如此。虽然安全对于“IT 消费化”已不是什么新鲜事物,但过去几年的经验已经让我们充分了解到了员工如何在个人和企业两个世界“跨界”。我们深知,哪些行为模式会带来最大威胁,企业 IT 安全团队需要哪些管理能力来管理员工。如果这些团队缺乏能够轻松控制设备和漏洞的移动安全框架,移动员工的行为和网络犯罪分子的恶行会使移动企业置身于潜在的巨大威胁中。

下面列举的 Gina、Ted 和 Doug 的私人生活是导致企业面临潜在攻击的突出行为模式。

Gina 的私人生活:娱乐和游戏,危险下载

Gina 大量下载各种来源的个人移动应用程序。她还养成了一个不良习惯:单击任何通过电子邮件和短信发送的链接。更糟的是,为避开有关不信任网站和异常应用行为的安全警告,她禁用了手机的安全功能(这一做法称为“越狱”)。当需要在同一设备上兼顾个人与工作应用时,这种不计后果的行为会使其公司陷于危险境地。如果她的手机感染了恶意软件,攻击者就会窃取与业务会议有关的敏感信息,访问她的工作邮箱,或传播设备上存储的任何公司文档。

专门针对手机的威胁日益复杂,因此,Gina 的大意行为更加危险。例如,最近发现的 Android/Stiniter.A 就是使用 root 漏洞攻击来控制设备、下载更多的恶意软件、发送欺诈短信以增加话费,并且发送潜在敏感信息给攻击者。迈克菲实验室的一项研究表明,2011 年7 月至 12 月,这类 Android 威胁增长了 600%。仅在 2012 年第一季度,Android威胁数量就接近 7000,迈克菲实验室数据库统计的总数已超过 8000。

Ted 的私人生活:将工作信息存储在个人设备中

Ted 的个人平板电脑既用于工作,也用来娱乐。下班后,他会访问高流量、半合法的内容网站,并下载盗版内容。由于频繁光顾这类网站,他和 Gina 一样也面临着类似的恶意软件威胁。上班期间,Ted 使用同一部平板电脑通过 Dropbox 服务访问公司合同和产品上市计划。如果 Ted 使用笔记本电脑访问公司文档,他的 IT 团队可以通过执行禁止和预防危险行为的安全策略来应对公司信息资产外泄问题。还可以实施强大的用户身份验证和加密解决方案,以确保安全地访问和传输敏感资料。

但是,当 Ted 通过平板电脑访问公司文档时,IT 团队就无法执行这些安全措施,也无力阻止任何这样不计后果的行为。他的“工作”文件存放在设备存储器的个人空间—紧邻他的周末Happy 照片、生日视频和喜爱的音乐。如果他的平板电脑感染恶意软件,或者他试图通过恶意网络连接访问或发送文档,这些文档很容易被盗。

Doug 的私人生活:丢失和解锁

Doug 的 IT 纪录不佳—他出差时总是丢手机。如果他在行业展会上丢失手机,设备以及其中存储的公司数据可能会落入竞争对手手中。而如果在其他地方丢失,员工、客户或合作伙伴信息的泄露可能导致其公司违反诸多法规、隐私合同或者保密协议。就目前的技术而言,多数情况下,IT 团队还无法知道丢失设备中的内容,也无法擦除其中的信息。

根据迈克菲《移动与安全:诱人商机,巨大挑战》报告,IT 经理面临的最大移动安全问题确实是丢失和被盗,这一点也不奇怪。调查还发现,每年有 1/5 的设备丢失。更糟糕的是,在调查的所有用户中,超过半数受访者承认没有锁定设备。简而言之,除了安全以外,这些因素也是 IT 和风险经理的“合规噩梦”。

构建移动安全管理框架

企业可以实施诸多安全策略来告知和教育员工。除策略和教育外,企业还应该部署可提供以下保护措施的移动安全管理框架:

• 恶意软件防护。由于提供下载的位置很广泛,因此阻止和删除恶意应用程序是保护移动设备远离危险下载的关键措施。

• 数据保护。用户及其 IT 团队应当了解应用程序正在访问的数据、应用程序使用数据的目的,以及应用程序可能会把数据发送给企业以外的哪些人。必须部署合适的解决方案,才能确保企业有效监控和限制此类活动。基于策略的移动安全能够保护存储的企业数据,而双因素身份验证和公钥基础设施可确保安全地访问、传输和存储敏感信息。

• 设备保护。锁定和擦拭之类的功能可以减少从丢失或被盗设备中采集到重要信息的风险。这样就可以解决丢失的手机和平板电脑引起的安全与合规问题。

• 自动化和简化。理想情况下,企业应该让用户能够实现自助配置,并提供可供用户轻松下载批准和推荐应用程序的企业应用程序店。

• 策略执行。执行适当的企业安全策略,允许 IT 部门阻止未经授权、未受保护和已修改的设备(如 Gina 的越狱智能手机),从而满足审核和报告要求。

移动员工对工作和个人移动生活的要求只会越来越高,而设备也依旧会存在众多漏洞和大量被攻击的风险。IT 安全专业人员需要借助移动安全管理框架,从源头控制实际和潜在的混乱局面。这类框架应该完美地与现有的管理框架整合,支持企业最大限度地提高员工效率,同时尽可能地降低员工造成的风险。要避免陷入安全威胁困境,您的 IT 人员必须花费更多时间来思考移动企业需要实施哪些措施才能真正保护业务。