在企业端点领域涌现出很多新设备和平台,这可能让Wintel(由Microsoft Windows操作系统与Intel CPU组成的个人计算机)的霸主地位受到动摇,但对于企业来说,这种竞争可能意味着端点保护工作将变得更加简单。
在2013年Gartner安全和风险管理峰会上,Gartner研究副总裁Peter Firstbrook向与会者介绍了不断变化的端点安全形势。尽管75%的平板电脑和笔记本电脑都由消费者购买,但很多这些设备都涌入企业网络中。为了生产力方面的优势,企业正在鼓励这种IT消费化,而安全专业人员则要负责应对这些风险。
企业BYOD面对哪些安全风险?
企业移动安全归根结底是数据的安全,企业的核心命脉是数据,无论是热议的云计算还是移动化,企业都在关心自己的数据如何才能更安全。也正因为如此,厂商在提供解决方案的时候把数据安全放在了很高的位置。
从目前的应用部署方案中,BYOD成为了一个突破点,那么困扰用户的安全技术难点究竟在哪里呢?对于企业所需要的安全技术,王志海认为,随着移动信息化的普及,BYOD在移动办公等非核心业务领域使用越来越广泛,困扰用户的主要安全技术难点包括三个方面:一是安全管控的边界如何确定,什么该管,什么不该管,如何打消个人隐私的疑虑;二是如何实现安全性与易用性兼得,将用户对移动应用体验影响降到最低慎重不产生影响;三是如何实现对各种不同移动终端的普遍兼容。
各企业和应用对安全改进所做的努力
Gartner研究公司预测,从2012年到2017年,企业需要保护的端点数量预计将增加25%。虽然到2017年,Windows设备仍将占企业端点的很大比重,但Firstbrook告诉与会者,iOS和Android设备浪潮将对企业端点安全有着越来越积极的影响。其中最重要的安全影响是,这两个平台的供应商(苹果和谷歌)正在加强其产品的安全性,提供超过Windows的优势,包括嵌入式安全功能,例如加密和远程擦除。
Firstbrook还高度赞扬了iOS采用的锁定应用商店模式,该模式利用白名单式系统–允许安全的应用进入,而阻止可能是恶意或不安全的应用。苹果应用商店模式的成功让我们看到了昔日黑名单技术的“疯狂”。
Firstbrook指出,尽管Android被认为充斥着恶意软件,但Android应用安全已经有所改善,这主要得益于谷歌增强了对其官方应用商店的监控。他表示,事实上,如果你将Google Play作为应用下载的单一来源,那里的恶意软件占得比例其实很小。
与Windows机器相比,这些杰出的移动平台几乎没有遭受过任何重大的恶意软件感染,并且,移动设备用户通常必须直接下载恶意软件,而在Windows环境中,很多病毒能够自我传播。
白名单模式有助于加强应用商店的安全性,而同时,应用安全供应商(包括Veracode和Appthority)也进一步加强了应用安全性,他们将移动应用分门别类,例如商业、教育、娱乐、金融和游戏,从而让企业更容易地基于其移动设备安全政策来允许或阻止某种类型移动应用的使用。他表示,他希望移动设备管理(MDM)供应商也能够增加类似的应用分类,“如果没有分门别类的话,你将很难管理这种白名单。”
移动平台带来的挑战
Firstbrook认为,尽管现代移动平台内置了安全功能,仍然有大量问题。例如,Android和iOS设备用户可以通过自定义ROM和越狱刷机免费下载应用。这种技术将会影响企业执行应用控制的能力,同时这将会破坏这些应用商店带来的优势–无论是苹果、谷歌的应用商店,还是企业应用商店。
这个问题在Android设备尤为突出,三星和HTC等制造商每年推出几十种设备,这些设备都具有不同的定制版本的开源操作系统。Firstbrook建议企业坚持一个供应商,以减小这种Android平台混乱带来的安全影响。对于那些选择代工生产设备的企业,他指出了三星已经增加到其Android设备的安全功能。
Android和iOS在2012年累计出现超过100个已知漏洞,随着越来越多的企业允许移动设备进入其网络,这些设备将成为网络罪犯诱人的目标。他评论道:“毫无疑问,攻击者将集中在这些平台上。”
移动设备上新一代功能强大的web浏览器是IT安全团队面临的重大的移动安全挑战。Firstbrook指出,移动浏览器通常会沦为也针对桌面用户的潜在恶意网站的“猎物”,但企业通常不能像他们限制桌面浏览那样限制移动浏览。因此,企业应该针对移动设备定义可接受的使用政策,来保护用户免受Java、Flash和其他漏洞利用。
保护重要的东西
随着企业逐渐从Windows设备转移移动设备,Firstbrook建议企业不要再专注于移动恶意软件防御,应该转移资源来保护数据和交易系统。从战略的角度来看,企业应该像银行和其他金融企业对待安全问题一样来思考移动安全:专注于高价值交易,明白他们不能保护一切。
企业还可以根据数据的敏感度和价值来分类其数据和交易系统:例如,所有个人身份信息都应该被加密。他强调,安全web网关作为企业的起点,需要检查移动设备流量来确保敏感信息不会泄露出去,他还强调延伸企业互联网使用政策到移动设备的重要性。
最后,某些类型的敏感数据不应该放在移动设备中。每个企业都应该评估其风险,并确定移动设备带来的优势是否大于数据泄露的威胁。“将所有移动设备视为嫌疑对象,不要将敏感数据放到这些设备中。你需要清楚认识到你能够保护的东西,”他表示,“你需要专注于关键数据和交易系统,重点保护它们。”