公司员工安装使用合法但未经授权的应用程序(如即时消息、VoIP、游戏、虚拟化软件和未经允许的浏览器等),将会对企业安全和生产力造成了极大的影响。另外,可移动存储截至和无线协议也让企业的数据保护工作变得更加复杂。本文将讨论企业控制未经授权应用程序和设备的使用的重要性,以及不同的方法,并将重点探讨如何将这些功能整合到恶意软件保护程序中以实现最简单和最具成本效益的解决方案。
不断改变的观点
在Web 2.0技术的熏陶下,大家对企业内计算机的使用方式持有不同的观点。大家对于共享信息和应用程序、发送电子邮件和即时消息的态度都发生了巨大的变化,新的 “员工2.0”时代重新定义了个人与互联网以及与IT环境作为整体的关系。虽然这些新型网络技术能够帮助企业员工增进沟通、共享文件和网上协同工作,但同时对企业造成新威胁。
互联网应用程序(如即时消息(IM)、P2P文件共享应用软件以及VoIP服务等)已经引起人们的关注。一项Sophos网上民意调查,调查IT管理员希望阻止用户使用哪些软件程序,结果显示早在2006年大家就意识到有必要对安装和使用不必要应用程序进行控制。
如今,问题更加严重了。虽然企业们都部署了抵御恶意软件的系统和程序,但是这些抵御措施通常不能对用户行为造成的威胁进行控制。员工们(大部分员工有相当多的IT知识和技术)继续向其计算机安装各种程序,以使电脑更加符合自己的工作方式,而他们却很少考虑相关的潜在风险。
互联网浏览器
很多员工都拒绝使用公司推荐的Web浏览器,而支持其他浏览器。这将给企业带来很大威胁,因为黑客们经常利用浏览器的漏洞来感染用户计算机,Sohpos调查中有三分之一的受访者表示,他们不认为控制浏览器使用是重要的事情。
虚拟化
目前最令人关注的安全问题就是企业内台式机和笔记本电脑上的未经授权的虚拟化软件安装。
虚拟化技术实现了逻辑(软件)从物理(硬件)分离,允许同一硬件上运行多个系统,这在如今IT预算紧缺的时候确实很有意义,但是部署虚拟桌面的企业也面临着很大的风险。从另一方面看,不受管制的虚拟电脑其实已经成为企业的安全系统上的“黑洞”,因为虚拟电脑运行的应用程序完全不受IT管理员的控制。
虚拟电脑可以方便地下载图像文件,这意味着那些运行未经授权应用程序的最终用户为企业系统带来巨大风险。并且,在虚拟环境运行未经授权软件(游戏、浏览器和测试版软件等)让企业系统信息和数据处于危险的境地。
可移动存储设备
另外,运行可移动存储设备(如USB密钥、CD和DVD)和无线网络协议(如wifi、蓝牙和红外)上的未经授权软件会扩大企业安全漏洞,特别是当在虚拟环境运行这些应用程序时。
使问题更加严重的就是,使用这些设备和协议传输企业内外的商业数据,最近的调查显示,无意泄漏公司机密信息成为企业安全的头号威胁,略高于病毒、木马和蠕虫。
企业风险
未经授权使用和安装应用程序、设备和网络协议可以在以下几个方面对企业产生负面影响。
安全风险
未经授权应用软件带来的感染风险是显而易见的。基于IM(即时通讯)的恶意软件攻击正在显着增长,P2P应用程序的使用也正以同样的速度增加,P2P应用程序成为执行恶意代码(如远程命令执行、远程文件系统搜查或者文件传播病毒等)的最常用途径。感染文件也可以通过无线连接感染电脑。
一旦被感染,计算机就可以被黑客用来发送垃圾邮件或者发动拒绝服务攻击,或者监控和获取机密商业数据。如上文所述,数据也可以通过CD和USB密钥等设备被带出企业,最近报道的很多事件表明,这些设备能够很轻易地带出公司,然后意外丢失。
法律和合规问题
安装未经授权的应用程序和设备不仅给企业带来安全风险,同时也可能构成违法风险。保护数据是很重要的。
我们知道目前有很多政府制定的数据保护相关法案,如美国的SOA法案和HIPAA法案,加拿大的PIPEDA(个人信息保护和电子文档法案),英国的数据保护法案(DPA)等,这些法案明确指出IT管理员必须维持和保护网络内数据的完整性。
额外的IT支持负担
正如上文所讨论的,未经授权的应用程序和设备可能感染网络,但是即使不会发生感染事件,也会对IT支持造成负担。那些没有经过正确测试或者部署的应用软件也可能会影响整个网络的稳定性能。
网络和系统开销
未经授权的应用程序消耗的企业网络带宽和计算机处理器能耗也对网络资源有着直接影响。
例如,分布式计算项目需要利用百万台计算机的“备用”处理能力来帮助建立模型或者模拟气候变化情景,而网络电话也能够使用这种备用能力。
员工的工作效率问题
虽然VoIP和即时通讯有一定的商业价值,但是大多数情况下,并没有用于商业用途,从而严重影响员工工作效率。在虚拟环境中,企业禁止使用的应用程序能够自由使用,或者用户可以简单利用虚拟环境来处理自己个人事务,这些都会严重影响员工工作效率。
解决方案
企业提高安全性和生产效率的基本方法就是创建和执行可接受使用政策,明确规定那些应用软件和设备不能使用,并界定必须禁止的行为,同时提出解决方法。除此之外,从IT管理员的角度来看,还存在两个直接挑战:
·允许对授权应用软件、设备和网络协议的控制性使用
·禁止使用未经授权的应用软件、设备和网络协议
在实际操作中,以上两个都是很大的挑战,首先因为很多用户是本地管理员,可以执行某些特权,例如下载辅助工作的应用软件(下载最新Adobe Acrobat软件等)。然而,这意味着他们也可以下载其他想要安装和使用的软件,这使IT管理员的工作很难进行:恶意软件可以使用反病毒软件来阻止,但是像即时通讯软件却很难杜绝。
控制策略
为了应对未经授权应用软件和设备的使用所造成的广泛威胁,IT管理员尝试了很多不同的策略,不过每个策略都是有利有弊。
锁定计算机
阻止未经授权软件安装的最直截了当的方法之一就是对所有电脑实行全面锁定,或者禁止他人擅自使用可移动存储介质,并只限定管理员权限。但是,这条策略并不好使。
有些部门(特别是IT和技术支持部门)对管理员权限有明显的需求,答案似乎很简单:只允许技术部门安装软件而阻止其他人使用软件,但是实际操作中却不那么简单。
很多企业发现锁定所有非技术最终用户的计算机将为公司带来很大开销,并且必须建立无数条相应的策略来执行该策略。例如,很多简单的windows功能 (如添加打印机驱动器、改变时区和调整电影管理设置)都不能通过标准用户帐号来执行,要求管理员分配权利才能执行。这样的话,简单的功能更改都会为公司增加成本。
安装专家控制产品
市面上有很多相关产品可以控制哪些程序可以或者不可以在计算机上运行,这些产品一般都涉及验证过程以及允许和阻止应用软件的大型数据库要求。
而对于IT管理员而言,他们又多了一个需要加以评估、购置、安装和管理的产品。虽然对这些解决方案的管理并不是重要任务,但是由于任务繁重和允许阻止列表的复杂性,使管理员无从下手。此外,应用软件控制产品能够有效阻止应用程序的执行,但却很难阻止初始安装、
最后,专家应用软件控制产品并不能提供全面保护,企业仍然需要购置其他安全产品以抵御病毒、间谍软件和其他威胁。
部署企业防火墙规则和HIPS
防火墙和HIPS(主机入侵防御系统)主要侧重于阻止潜在恶意网络流量并试图执行代码,而不是控制用户可以或者不可以安装或运行某些应用程序。它们可以用于限制未经授权应用程序的使用,通过控制对网络或者互联网资源的访问(如通过找寻并阻止VoIP流量),但是不能解决这里的根本问题。
反病毒解决方案
大多数防病毒和反间谍解决方案不提供应用软件或者设备控制功能,但是,如果反病毒解决方案能够使用相同的扫描和管理基础设施来拦截和管理合法应用软件和设备的使用,那么企业能够更加省事,既抵御恶意软件又保护系统和管理资源。
仅部署一个客户端
防恶意软件是IT管理员必须购买、安全和管理的必要投资项,部署集成防病毒、防间谍软件、反广告插件以及控制未经授权的应用软件和设备的单一客户端不仅可以节省时间,还能够节省资金、系统资源,并且提高安全性。
简化控制和策略设置
防恶意软件解决方案允许为不同用户组设置不同策略,能够同时设置移除未经授权的应用软件和设备的策略以及防恶意软件策略,可以提高效率,并能够满足特定用户的特殊要求,例如,可以阻止办公室电脑使用VoIP和USB密钥,但是授权远程计算机使用。
减少管理开销
使用与防恶意软件相同的管理和更新机制来控制应用软件和设备,具有明显的基础设施和成本优势,但是,从效率角度来看。这种整合式功能能否成功取决于实际监测应用程序的方式。
有些解决方案需要管理员创建自己的应用软件签名(使用应用软件中出现的文件名)来维护允许或阻止列表,这种方法很费时并且浪费IT资源。它将更新的负担施予在管理员身上,并且用户可以改变文件名以避免应用软件被检测出。
一个更好的做法就是,让供应商采用与恶意软件检测自动更新相同的方式来创建和更新应用软件检测签名,从而简化管理、更新和检测过程。
减轻支持负担
通过使用签名检测不仅能够阻止应用软件的运行,同时也能阻止它们的下载和安装,这样就为企业的IT部门减轻了支持负担,不再需要花费大量劳动力筛选出安装了未经授权的应用软件计算机。
结语
对未经授权应用软件和设备的安装和使用所带来的风险是巨大的,不过也存在很多有效的解决方案能够帮助IT管理员管理这些问题,有些解决方案需要额外的投资,并且价格昂贵,难以维护。最好的解决方案就是将对对未经授权应用软件和设备的阻止整合到现有的恶意软件检测和管理基础设施中,而恶意软件检测和管理设施通常是企业必备解决方案,这就为IT管理员提供了最简单的解决方案,并节省了很多资金。