一声招呼也没打,安全负责人就匆忙离开了会议室。她的身体语言透露出那是一个重要的电话。当她返回到会议室,所有人的目光都不自觉地提出了疑问,想知道发生了什么。无需更多提示,安全负责人直接说到:“CEO想知道为什么她不能在她的iPad上面观看YouTube视频。虽然这违反公司规定,但我们必须允许让她能看。同时,她还希望能够用她的iPhone访问她的电子邮件和日程安排。”以上是发生在一家大型金融机构内的真实事件。
员工自带设备办公(BYOD)已成趋势,将以加速发展的步伐变得清晰起来,并且必然与云紧密相连。在考虑这一趋势的含义时是有多条轨迹的。证据是显而易见的,因为大多数的智能电话利用云为消费者提供服务。术语“shadow IT”已经存在有一段时间了,但在今天尤其切题。历史上从没有任何时候像今天这样在一个公司的网络上能轻松绕过IT部门消费云服务,并使用非标准设备。像上面提到的例子那样,CEO跑到IT部门为业务需要要求获得某项云中的服务,这种情况经常发生。
在最近于旧金山召开的RSA大会云安全小组讨论会上,来自eBay, Sallie Mae, Humana 和 Bank of America的首席信息安全官们都一致认同:安全部门需要对这些需求做出预判,并在面临这些问题之前就做好准备。换句话说就是,信息安全部门的操作方式需要进行根本性的模式转变。在面对可能增加风险的申请时不是继续说“no”,而是需要说“yes”,并创造性地设计出解决方案同时降低风险。
在公司中,下一代员工似乎对社交媒体之前的世界一无所知,他们会要求能够使用他们自己的设备。在很多案例中,他们都提到这会提高生产力和效率。另外,他们可能将此作为加盟一家单位的一项必要条件。在招募人员时允许使用自己的设备可能成为一项激励措施,或者与另一家不允许这样做的公司对着干的措施。
这样还有益处可享。随着用户趋向在自己的设备上研究和解决自己的问题,支持成本会随之降低。这还可能成为一家公司朝着设备无关、面向服务的结构迈进的不可拒绝的理由;从长期看为开发、操作和维护带来成本的节约。
允许员工使用他们自己的设备会带来许多风险,但这些风险很少是有经验的安全专业人员没见过的。这些设备需要作为部分可信的端点来对待,或者在大多极端情况下作为完全不可信的端点来对待。主要的考虑是BYOD会使风险提高。非标准设备可能比传统的、由公司发放的使用非常严格的措施锁住的设备更容易地被攻击者损害。
应对由BYOD带来的风险增长,可遵循如下一些策略:
· 倡导鼓励安全文化。安全观念应成为企业有机整体的一部分。这需要进行文化转变。安全观念必须成为一个能动器并嵌入到企业的各个方面。不能将安全意识看作企业创造精神的障碍。
· 教育、测试、重复。单位和终端用户必须共同承担责任。在最近召开的RSA大会上,著名安全名人(先前的黑客)Kevin Mitnick反复强调,社会工程仍是最容易的让安全意识渗透一家公司的方式。实际上,许多高级持久威胁(APT)都涉及使用Spear Phishing网络钓鱼方式,捕获安全意识缺乏的员工,来损害网络。因此,不要停止对员工进行教育。必须定期在员工最没有想到的时候对员工进行测试(并让他们意识到缺失),加强正确行为方式的建立。
· 建立易于理解的BYOD规定。不要依靠用户破译“安全语言”。例如“要确保你的设备安装有我们公司强制安装的软件。你可按如此步骤从这个地点下载并安装。”
· 执行访问控制策略。应依靠身份、背景和规定对资源(例如数据和应用)进行保护。如果系统不能确定用户的身份,如果不符合合规标准(例如屏幕解锁口令/PIN未激活)或者没有安装必装的软件(如防病毒软件),就不能允许设备访问资源。根据所处地点和连接是否加密等因素通过对访问进行限制来应用背景。
· 使补救过程自动化。通过将大多数补救过程自动化尽可能简单地使用户能确保设备合规。不要依靠用户能自觉了解他们需要下载和安装一系列软件。这可利用身份分配和配置管理技术来实现。
· 利用安全信息和事件管理工具进行监控。利用可提供身份绑定的审计和控告智能的安全信息和事件管理(SIEM)解决方案对所有在公司网络上访问资源的设备进行监控。在一个充满部分可信、潜在受损设备的环境下,具备洞察力是首要的,而事件响应时间则是关键性的。
· 使用具有担保层级的身份联盟。通过跨分区将用户身份进行联盟并依靠信任级别执行访问控制,在具有许多身份来源的环境中以一种安全的、基于标准的方式降低操作成本。作为一个例子,我们来考虑员工内部身份和他们的在线身份之间有重叠的问题。使用自己设备的用户通常已经登录到他们的在线帐户中(如微博),为保证易于使用和透明的一次登录,安全策略可以实施为支持多个担保层级。如果某员工已经登录到微博,内部应用可利用那个身份,但给他较低的信任级别。这样,员工就可使用其微博资格访问内联网非敏感部分。但如果想访问公司的电子邮件,他就需要提供员工资格从而执行更高一级的担保,即该员工是他所声称的这个人。
· 提供安全设备。为员工提供他们所选择的设备并确保这些设备装载了要求的软件和控制。这为单位和个人提供了一个双赢局面。员工使用自己选择的设备无需付钱,并可以安全和合规的方式访问公司环境。
· 控制从设备的访问。当通过非标准设备进行检索时要确保对敏感数据的访问得到控制。例如,可通过提供远程会话允许员工利用该信息,但永远不物理地将数据存储到非标准设备上。
· 对敏感数据加密。对任何放在被认为是公司财产的非标准设备上的数据进行加密处理。这可包括员工的公司电子邮件。
应对BYOD风险不存在一个一劳永逸的方法。上面所列各点是为思考过程提供起始点。它们可相互独立使用,或针对具体需要以不同的组合使用。
现在我们应该清楚地明白,制定BYOD政策并不是授权员工可携带自己的设备同时让公司免去提供设备。它实际上是关于制定一项策略,管理设备,以一种安全的方式访问公司数据。它是关于如何处理IT消费化的问题和如何对待员工正开始在设备上讲他们的个人生活和工作混合在一起这一事实,不管设备是由单位提供的还是他们自己购买的。
BYOD已成为指定术语用于描述这种企业IT的消费化。这种趋势将会继续加速发展。它将比人们预想的来得更快,并由多个因素推动。如果一家单位没有做好应对BYOD带来的风险的准备,就将会被抛在后面。