技术,尤其是以个人用户为销售对象的技术当然正得到迅速发展,而且发展方向难以预料。自2002年以来,移动电话就逐渐转变成一种集PDA、相机和 MP3播放器于一身的多功能设备,原本可为人们接受的使用策略也都随之过时。这让安全主管们坐立不安:因为他们要控制的是一个不断移动、变化的目标。
这一现象最棘手的问题在于,如果结合使用合理的安全控制措施,许多新技术都是很有价值的商业工具。然而,很多迫不及待的员工往往会自己购买、下载,或以其他方式获得这些新潮的设备和程序,并热衷于把它们添加到自己的工作环境中来,却没有注意到自己的这种行为正给公司的安全留下漏洞。
仅以Skype这一免费下载的互联网电话软件为例。该软件于2003年8月发布,用户可以利用它与世界上其他电脑进行免费的电话通信。这是不是绝妙的主意呢?如果你从事安全工作,这显然并不是绝妙主意,因为Skype会对所有流量进行加密,还会绕过防火墙。这对用户来说是福音,但对无法监控也无法阻止这些流量的CSO们来说却无异于噩梦。就在Skype发布的51天后,Skype公司的记录显示,有惊人的150万次下载和10万个用户同时在线。这类程序一旦流行起来,就会如同雨后春笋般迅速蔓延。而在该软件发布一周年的时候,Skype声称拥有了约950万用户,每天的用户数量达到150万。
那么,CSO该如何对待这些新技术呢?我们不妨看看四种热门技术:照相手机、便携式数据存储设备、无线计算,以及相互结合的P2P技术和基于Web 服务的技术。这些都是初衷良好、被广泛使用的办公工具,但如果被粗心大意或者不怀好意的人使用,也会造成重大破坏。在本文中,我们向安全主管及其他专家征求了建议,以便采取最佳措施,从而在一片混乱中获得一定的控制权。
照相手机:窥视的眼睛
在许多公司,照相手机可用于在办公室聚会时拍照留念,或者捕捉有趣的演示幻灯片,这并不会引起人们任何反感。但在卡地纳健康公司(Cardinal Health),可以拍照的手机却是一种物理安全威胁。
卡地纳健康公司的业务涉及药品生命周期的方方面面:从开发、生产、包装、配送到药店经销。如果允许价值不菲的药品在这些环节流通时进行拍照,会给公司带来安全漏洞。另外,卡地纳健康公司还处理属于《健康保险可携性及责任性法案法规》保护对象的个人医疗信息,这对安全也有很高的要求。该公司的CSO Tim Gladura说:“从我们收到产品,到我们把产品送到最终用户手中,如果允许拍摄这一流程,那将是巨大的安全漏洞,而且是我们不愿意接受的漏洞。”
尽管如此,照相手机特别难以被控制,因为它们没有连接到公司控制的任何平台上。Gladura说,实行“禁止拍照”政策,并且不断加强安全意识,让员工成为安全队伍的一员,效果最好。他强调:“我宁愿有55000双眼睛在替我监视,而不是仅仅我这个部门在监视。”但这还不够,Gladura所在的部门还实行了其他政策,让相机远离敏感区域。譬如说,公司禁止配送部门的员工在停车场吃午餐,这可以让安全人员更清楚地发现有没有未经授权的其他人坐在停车场,偷偷注视装卸平台的作业;员工用的更衣柜外面安有百页窗,那样安全人员可以看清里面的东西;公司偶尔还会进行随机性的安全检查。
在Tommy Hilfiger USA公司,照相手机构成了另一种威胁:可能会导致知识产权丢失。该公司负责损失防范及安全的副总裁David Jones对进入公司设计工作室的来客很是担心。Jones说:“对我们这些时装行业的人来说,设计专利就是公司赖以生存的创新。”如果有人偷偷拍下秋季新款服装的照片,然后用电子邮件发给竞争对手,这会带来重大损失。
Jones也依靠禁止拍照的政策来保护设计区域,不过他担心照相手机的日益泛滥及尺寸越来越小会带来更多的威胁。这种担心不无道理。据 InfoTrends/Cap Ventures调研公司的研究表明:到2009年,89%的新款移动电话都将配备照相功能。而且技术发展越来越快,以至人们越来越难判断哪些手机具有拍照功能。Jones说:“在老式手机上,您可以判断有没有相机,但现在很难判断,所以我们除了加强安全意识教育、进行培训,别无他法。”他又说,据他所知,公司还没有出现过利用照相手机进行窃取的情况,“但这种威胁一直存在,不知道何时会出现。”
CSO们还要担心照相手机对员工隐私构成的威胁。一位因事件敏感性而不愿透露姓名的安全主管提到了一个案例:有个家伙似乎老是在更衣区用手机打电话,于是一些员工在午间锻炼后使用公司的淋浴间时感到惴惴不安。公共更衣室和健身房通常都有“禁止使用手机”的规定,因此公司提供的更衣室也不应当例外。
《商业隐私》一书的作者Stephen Cobb说:“有关个人的信息(照片或者个人数据)远比其他任何信息重要得多。”该书向主管们提供了保护客户数据隐私方面的建议,“许多公司往往注重保护财务机密,但有关个人的信息可能会给企业造成更大损失。”
First Data是一家专门从事转账和信用卡处理的公司,首席信息安全官(CISO)Phil Mellinger手下有一名雇员,专门负责密切关注移动设备及员工想要带到工作场所的其他技术。只有获得了安全人员的书面批准,员工才可以这么做,要是没有这种批准,设备就会被禁用。Mellinger说:“过去我们批准的是一般性的安全配置。譬如说,要是有人使用了无线设备,会有两套得到批准的安全配置。但现在,每个设备都有自己的安全配置,所以我们必须深入到设备这一层面。”Mellinger还强调,照相手机不仅仅涉及安全问题,还涉及人力资源问题和采购问题。他说:“你一定要让公司里面的许多不同部门关注这个问题,并且从不同角度来考虑,这样一来它就成了重大问题。”
据业内人士声称,美国国防部和国防承包商长期以来就拥有手机检测设备,但这种技术正进入主流。提供手机检测技术的公司(如总部设在菲尼克斯的 Cellbusters)在企业市场日益受到欢迎。CellBuster设备可以在方圆90英尺范围内检测到开机(即使它没有在使用中)的手机,还会发出音频报警声,让用户关掉手机。它还可以在静音模式下工作,以闪光方式提醒安全人员。这种产品非常适合在某些特定目标区域禁止使用照相手机的公司,譬如董事会会议室或者更衣室。
微型存储设备:移动的祸害
USB微型驱动器的威胁在过去几年有增无减。只要把这种钥匙圈大小的存储设备插入USB端口,能够访问的任何信息完全变成了可移动信息。员工们可以用它从 网络上下载数GB的数据,然后大摇大摆地走出大门。数据安全厂商Verdasys公司的副总裁兼首席科学家Dan Geer强调,仅1GB数据就相当于一卡车的文件。有些微型驱动器的容量甚至高达60GB。不过这些驱动器并不是让安全主管为之忧虑的惟一一种数字存储介 质,MP3播放器,甚至是眼下极其普遍的新潮设备iPod,都可以用来下载及存储各种类型的文件(不仅仅是音乐)。
美国普渡大学计算机技术系的副教授Marcus Rogers在信息保障与安全教学研究中心(CERIAS)研究iPod取证分析。他说:“你可以在iPod上创建一个可以启动的驱动器,视操作系统而 定,你可以随身带着整个工作站。另外在许多时候,如果你把iPod连接到系统上,它不会在网络上显示出来。因为它是在本地机器层面,所以不会得到IP地 址。只有安全人员进行全天候的积极探测,才有可能发现这个多出来的存储设备。”Rogers强调,iPod随带Windows文件系统,所以不是只有安装 Apple系统的机器才存在这个问题。
Kroll Ontrack公司的专职律师Michele Lange说:“USB存储设备在2004年出现了急剧增长。”这家公司专门提供数据取证及电子调查所需的软件及服务。Lange说:“我从事这项工作大 约有四五个年头了。我可以说,在我们接手的大多数案件中,USB存储设备如今成了个问题。”他又说,这些案件大部分与员工有关:员工窃取商业秘密,试图对 企业造成损害。当然,如果这种小巧设备其中有一个丢失或者失窃,知识产权等机密信息同样很容易泄露出去。
不过,CSO们可以采取一些措施。第一项措施就是实行严格的文件安全措施,员工只可以访问他们所需的那些信息。但由于许多员工可以访问重要信息,公司因而 需要采取更有力的措施来处理这个问题。有些公司选择了在BIOS(PC处理器的基本输入/输出系统)层面禁用每个系统上的所有USB端口,并且取消了管理 权限,那样,即便是经验老到的用户也无法重新启用这些端口。
《商业隐私》的作者Cobb说,他知道有些公司采用了锁定配置,并且不允许用户进行任何修改。他说:“无论是实际效果上还是心理影响上,这个办法都相当有 效。因为这明确了计算机只能用于公司业务,如果你试图用来处理其他事,它就无法使用。”有些公司则采取了比较激进的做法。Geer说,有家公司甚至用热的 混合胶封住了每个USB端口,试图以此解决问题(后来这家公司发现这种做法不切合实际——用胶水粘上所有USB 接口实际上是永远也做不完的工作。)
CSO们要确保自己没有妨碍员工从事正常的业务活动。毕竟,USB端口有其存在的理由。USB驱动器也不全是坏东西,它们可以成为极其有用的工具,有些还 采用高级加密标准(AES)对数据进行保护。对离不开USB驱动器的主管而言,最好的解决办法就是为他提供由安全队伍精心挑选的一只USB驱动器。
政策在这方面也可以发挥作用。Dev Bhatt是Airlines Reporting Corp.(ARC)的企业安全主管,为航空公司所拥有的这家公司负责处理票务、数据及分析服务。他为公司制订了可接受使用政策和企业安全政策,着重于防 范这些被禁止的行为——删除公司数据或者连接未经批准的设备,但并不禁止设备本身。由于新颖、小巧的多功能设备正在迅速涌现,公司必须确保自己的政策适用 性非常广泛,足以考虑到新兴技术。如果政策过于针对某种设备,CSO到头来可能只好每几个月就要改写规定。
无线:漫游的危险
在有些情况下,安全小组为了取得成功,必须像黑客那样地活动。在“禁止无线网络”的工作环境下查找自己组织的无线网络就是这样一种情况。大多数安全主管曾在本公司发现过未经授权的无线网络。这些网络成本极低,也极易组建,以至成了许多公司的一个问题。但是与员工在办公室外利用无线网络时安全主管遇到的问题相比,检测到楼下秘密的Wi-Fi网络轻而易举。
Wi-Fi功能已经内置在大多数笔记本电脑中,无线计算大大解放了人们,很少有移动员工抵挡得了咖啡店或酒店的接入点带来的诱惑。但除非这些用户知道无线安全的细节,否则他们可能会使得公司网络在任何好奇或不怀好意的旁观者面前暴露无遗。安全政策必须明确规定,谁可以访问网络、如何访问、何时访问、在何处访问。为了确保漫不经心的用户没有跳到外面的无线网络上,一定要使用基于软件的防火墙和加密技术——不管它是有线对等协议(WEP)、Wi-Fi受保护接入(WPA),还是理想的WPA2。
员工也需要接受教育,以便了解影响无线用户的不同骗局。Web主机托管公司CI Host 公司的创办人兼首席执行官Christopher Faulkner开设了“The Wi-Fi Guy”旅行博客,跟踪全美各大城市的Wi-Fi和文化信息。他警告CSO们尤其要注意“双面恶魔”(Evil Twin)无线网络的危险。“双面恶魔”是黑客在合法的Wi-Fi接入点附近搭建的破坏性无线接入点。不知情的无线用户最后会把计算机连接到信号最强的接入点上。在“双面恶魔”的场景下,用户以为自己连接到了合法网络上,实际上连接到了黑客的机器上,这样黑客可以获取用户传输的任何数据。Faulkner 说:“我曾在机场试过这一招,短短4分钟内就有三人连接到了我的笔记本电脑上,传输不安全的明文信息。”而关于无线网络钓鱼,则是黑客在合法的接入点附近建立另一个接入点,引诱用户连接过来,然后提示用户输入用户名和密码。当然,用户即使提供了这些信息也连接不上,于是困惑不解的用户通常会重新启动,登录到实际网络上,但黑客已经获得了需要的东西。此后,黑客就可以利用该用户的ID登录网络了。
这几种骗局经常会让一些行色匆匆或者未注意异常情况的用户上当受骗。为此,企业应当教育员工使用无线网络要小心,并且避免通过无线网络发送公司的机密或者敏感信息,除非是绝对必要,而且系统的安全措施已得到了公司安全人员的认可。
P2P与Web服务:方便的代价
P2P技术与基于Web的服务是两种不同的东西,但有三项共同的重要特性:一是员工们很容易下载这些工具和程序;二是它们经常可以提供能提高员工工作效率的有用服务;三是它们大多数完全可以穿透企业的防火墙,绕过所有安全措施。
以思杰网上公司提供的基于Web的服务GoToMyPC为例。员工把GoToMyPC软件下载到自己的办公PC后,该软件可以让员工只要输入用户名和密码,就可以通过连接到互联网的任何一台PC,访问办公工作站里面的内容。开发GoToMyPC的人员发布了一份长达10页的白皮书,声称软件很安全。
但这还是存在让安全主管们担心的一些基本的控制问题:首先,不管该程序有多么安全,CSO都无法直接控制安全和网络数据;其次,安全主管没法控制员工用来远程访问企业网络的机器。这可能是网吧电脑,而黑客则已经在上面植入了击键记录程序,也可能是使用不安全的无线网络的家用PC。Instant Messenger和Skype等P2P技术同样具有吸引力,但同样会引发类似的安全问题。
在First Data公司,Mellinger使用Blue Coat Systems公司的代理服务器来限制这几种外部连接。Blue Coat的服务器使Mellinger能够控制某几种连接,并且针对其他类型的连接提供相应报警。当然,Mellinger不想干扰正常的业务活动,所以他提醒:一定要解决所有产品存在的问题,以确保员工仍可以使用所需的所有工具。他说:“我们的律师需要浏览我们原本不允许员工访问的网站。”现在,Mellinger及其小组正在对Blue Coat系统进行微调,以满足他们的迫切需求。
ARC公司的Bhatt发现,如果与员工进行沟通,就能够有效地处理许多P2P和Web活动。他告诉员工,自己希望他们可以就新产品和网上服务随意提问题,不必担心会遭到上司的厌烦。如果员工想使用一项流行的新服务,安全人员会进行仔细审查。要是他们觉得这服务不安全,就会寻求安全的替代服务。如果找不到替代服务,安全人员就会向员工解释为什么不能使用这项服务,以及为什么这类活动会给公司带来风险。Bhatt说:“如果员工知道了危险所在,事情就好办了。”
First Data还采取了另一项措施,Mellinger认为这项措施可让公司避免这些服务带来的许多问题。公司让不同的防火墙保护每一个业务部门,那样要是某个部门出现了病毒或者安全事件,就很容易与其他部门隔离开来,防止危害扩大。Mellinger说:“公司往往把自己看成是整个实体,我们不希望某个部门遭到破坏并影响整个公司。我们在各业务部门之间使用同样的安全控制措施,与各业务部门与外界之间的安全措施完全相同。”
不要归咎于技术
对CSO和安全队伍而言,要应对所有这些新的技术发展,关键之一就是不断地学习,关注新的工具和技术,以及它们影响企业安全的新方式。面对突如其来的技术潮流时,许多公司往往走极端,采取过于严格的安全措施。Mellinger说:“这涉及合理的尺度。我们的目的就是要比不怀好意的人抢先一步,只要能领先一步,就可以保持良好的安全状态。”
安全主管们还应当牢记:你不能把一切问题归咎于技术。美国普渡大学的Rogers说:“这涉及协同作用和多功能问题。”他回忆说,电子邮件最初开始大规模使用时,也曾引发过安全问题。他提醒CSO们记住这一点:“技术是中立的,它没有好坏之分,技术可能会出现新的使用方式。但既然我们度过了电子邮件的安全风险,也应该能安然度过这次技术革命带来的安全风险。”