在工作中允许使用个人移动设备?这将会给你的企业带来新的风险。你的安全策略准备好了吗?
Jesse Kornblum并不是你想象的那种典型的马路勇者(花很多时间在作商务旅行的人)。作为一个计算机取证专家,他拥有一个安全服务咨询公司,他的专业领域就是信息安全。但在国外旅行时,Kornblum第一次承认自己害怕——或至少是持谨慎态度的——纵是学富五车,也爱莫能及。他的安全专业知识并不能够完全地保护他和他的雇主们。
他即将到巴西出差。“你看,我是个单身小伙子,巴西的派对非常有名。”他说,很可能一些“新熟人”或者“老熟人”(数据盗贼)什么的就会参观他的房间,那么他的手机或笔记本电脑被下黑手的风险也就会大大地增加。驱动拷贝是一种非常严重的威胁,它能将设备信息全部窃取,非常彻底。再有可能的是:一个经验老道的攻击者会对Kornblum的手机或者笔记本电脑植入软件并进行远程监控。
“Kornblum关注的并不是哪个胡言乱语的电脑取证专家挑战了某个血腥网络攻击等等这种事件。”安全厂商Rapid7的首席技术官HD Moore说,“他出国的时候,带来了一个裸机上网本,并在上面安装了数据加密程序、BIOS和驱动器启动密码。”
Moore临时起意,还将其增设了防篡改功能。他曾看到过他的上网本外壳螺丝被拆下一半的样子,外壳空荡荡的螺丝孔中捣碎的Altoids牌的口香糖粉末已经露了出来,肯定是有人对他的电脑下过手。他说,有一次他在上海,离开了放笔记本的房间,而且房间里面空无一人,然而当他回来的时候,发现螺丝孔中的粉末已经不见了,而且BIOS密码也已经被消除了,看来那些人已经得手。
正如Kornblum和Moore一般,这些流动性越来越强的工作人员所带来的安全挑战,让企业们冥思苦想。原因显而易见:如今的工作场所已经发生了翻天覆地的变化,台式机与客户端到服务器的办公室大型主机的架构已经渐渐消失。尽管这一次的笔记本风波只是虚惊一场,然而目前,面向消费者移动设备的攻击却越来越多,包括笔记本电脑、智能手机和平板电脑。
因为BYOD(bring-your-own-device)的出现,让如今的工作场合都在发生着变化,但同时,若是没有一个面向BYOD的新策略和防范计划,将会让你的企业陷入到新的困境当中。
风险都在哪里?
一份Forrester Research的调查显示,大多数员工都可以在办公室内使用移动设备,当然这并不是说让他们用这些设备来玩愤怒的小鸟。超过3/4的员工在工作中使用智能手机,63%的人使用平板电脑访问公司内部网络或者用其它设备来访问门户网站。此结果的依据来源于美国、加拿大、英国和德国的70位高管。有82%的受访者说,他们在工作中使用智能手机阅读或者查看文档、演示文稿、处理电子表格等。移动企业用户将赶超微软Outlook等桌面应用程序的用户,比如SharePoint、WebEx和Documentum。
企业都在为移动设备敞开大门。根据《信息周刊》2013年的移动设备管理预测和307份企业技术安全调查,有75%的技术主管预计增加员工自有设备访问业务资源的功能。
伴随着苹果iPad、iPhone以及Android手机的来袭,BYOD策略正在逐渐影响着我们的企业以及工作方式。
然而不幸的是,随着移动设备使用率的增加,却并没有一个更加完善的安全策略和工具来管理这些设备。“大多数公司还没有一个正式的策略” SophosLabs的首席研究人员Vanja Svajcer说道。SophosLabs是防病毒软件开发商Sophos PLC的恶意代码研究小组。他解释,大部分企业是拥有安全策略的,其中也包含个人电脑的管理项目。而就目前的趋势而言,对于BYOD来说,企业必须放宽对这些策略的要求或者作出相应的调整,从而以适应更多的移动设备。这就意味着新的IT架构可以让员工将他们自己的个人设备与企业资源相连接,例如办公室的Wi-Fi网络,微软的Exchange邮件服务器或是一个内容管理系统。
咨询公司普华永道会计事务所发现,在2012年的全球国家信息安全调查中,36%的受访公司都有一个移动安全策略。在Kyrus,个人设备的使用非常普遍,但Kornblum承认该公司并没有对员工使用这些设备进行有关的硬性规定。“我们是一家超过15人的小公司。”他说“我们总说人们并不傻,他们都知道移动设备的使用会带来一些问题,而我们的业务就是研究安全问题出在哪里。”
在安全策略薄弱的企业中,“先访问后安全”的方式会增加各种风险,包括移动设备中的任何东西,特别是那些软件和应用程序的漏洞非常容易造成数据丢失。
哥们,瞧见我的手机了吗?
虽然媒体关注的往往是比较少见的手机恶意软件,然BYOD面临的最大威胁则是设备的丢失和被盗,以及移动设备中存储的企业敏感数据。因为大容量的硬盘和基于Web的应用程序越来越流行,智能手机与平板电脑就像笔记本电脑一样,快速成为敏感商业信息的存储库,例如电子邮件或是演示文稿、登录密码等这类信息。但这些移动设备非常容易放错地方。
让他们给硬盘进行加密并设置复杂的密码才能保护这些设备。“但大多数手机都不具备中央控制的功能”网络安全公司Sourcefire的开发副总裁Al Huger说,“你需要有一个专门为手机而制定的标准化加密政策,但若终端上没有软件的话却很难执行。”
Huger说:“然而,在雇员的私人设备上安装远程管理应用程序是一个非常敏感的问题。”并不是每个员工都想让他们的老板对他们的私人设备有远程管理的能力。#p#
因APP而导致数据失窃
无论是合法的还是恶意的移动应用程序都会让那些对风险很敏感的公司产生巨大的担忧。移动设备中会存在很多不安全因素,一些恶意的或是编码不完全的应用程序会安装在他们的设备当中。
“6月份,Lookout手机安全软件检测到30000种不同的移动恶意软件,而在6个月前,恶意软件的数量才只是3000。相对来说,移动恶意软件仍然是比较少见的,但其发展却非常迅猛,因为对于网络犯罪团伙来说它是有利可图的。话费欺诈程序在移动恶意软件的种类中是增长最为快速的。这些程序会滥用SMS短信服务,通过受感染的手机向特定号码偷偷发送短信,然而机主却要负责缴费。”Lookout公司对我们说,“在未来,移动威胁会越来越多。”
Sourcefire公司的分析师Huger发现:普遍的恶意软件,特别是存在于谷歌Android设备中的恶意应用程序都会在企业网络上“作怪”。受到感染的移动设备可以通过蓝牙或其它技术手段扫描企业网络,窃取数据或感染其它设备。“笔记本电脑和智能手机看起来似乎是不同的,但是打开机壳它们仍然都是电脑。”他说。“被破解的iPhone就是一台Unix主机”Huger解释,iPhone的操作系统源自苹果基于Unix的OS X系统。“通过SSH你可以登录到远程,一旦连接成功就可以用它来进行公网IP的扫描。”
企业所遭受的更大威胁是来自于那些合法的,非恶意的应用程序——其中有许多与工作无关的应用,它们可以巧妙隐蔽地暴露公司的数据或是窥探一些隐秘的资源。
安全资讯公司N4Struct的一名创始人Aaron Turner告诉我们,从他客户的网络审计当中就发现过这种类型的问题。
“比方说,企业让移动设备的本地联系人、电子邮件、日历与Exchange服务器相连。” Turner断定,“现在,假设Linkedln的移动应用程序申请权限,用来查看和复制你的所有联系人。若是企业通过了这个申请,那Linkeln岂不是得到了一份完整的企业全球地址列表的副本吗?当然,流氓应用程序与企业数据这两方面的问题也存在着很多矛盾,并不是每个人都能够理解这其中的原因。”
Lookout的CTO Kevin Mahaffey介绍:“BYOD存在着无法预估的风险,因移动应用程序的使用而造成了一些很难预测的‘下行风险’。如果某人的Windows密码非常简单,那么企业可能会非常担心。但他们Dropbox账户的密码也同样简单吗?现在,企业会关注每个人的设备密码是否达到了标准强度。”移动设备,再算上高速宽带连接和基于云计算的服务,现在员工所使用的每一个密码都与企业息息相关——不仅仅是那些用于访问企业资源的密码才值得我们注意。#p#
统一规范策略
设备丢失?软件漏洞?恶意软件?企业该拿这些风险怎么办?让专家来给我们一些建议吧。
理想的情况是:让员工的移动设备应与企业的笔记本电脑、台式机和服务器一样,遵循同样的安全策略,以便保护企业安全。但问题是并没有一个“统一政策”来管理它们。每家企业都有自己独特的BYOD安全政策。这里我们列举四种常见的规则,帮您巩固企业安全。
1.了解你的敌人(和你的朋友)
现实总是残酷的,如今许多企业的IT安全漏洞百出,故障频出。消费电子设备所造成的风险令人担忧,数据丢失和程序感染让高管们的心都提到了嗓子眼,但这也许并不是坏事。
“我参加过一场辩论,其内容大概是讲:为了企业的内部安全要不要将BYOD进行功能强制,并采取一些措施以便减少易受攻击的环节。” 隶属于Rapid7公司的Metasploit渗透测试工具的创造者Moore说。在一个BYOD环境中,移动设备的问题也有可能会转变成哲学上的思考。
“对手机和平板电脑需要特别注意,” Lookout公司的Mahaffey说,“内涵敏感数据的电子邮件和文档,以及内部应用程序都是企业宝贵的资产。”“如果用户们知道这些产品都存在着一些漏洞,他们可能会对手机赋予更多的关注——至少更换一个电子产品跟换一个钱包是差不多的。”他说。
“有两个方面企业需要了解:他们需要知道员工都有哪些设备,这些设备是如何影响企业安全的?这些设备都存在着哪些风险?” Matt Dean说,他是安全管理软件FireMon公司的首席营运官。“你要管理和控制你所碰到的那些风险,所以如果在你的无线网络中显示了一个移动设备,那么你就要明白这对你的网络意味着什么。”
2.减少脆弱环节
“确保BYOD环境安全的另一个准则是减少脆弱环节。企业应少去关注那些小众的移动攻击媒介,对于自己的办公环境以及Wi-Fi基础设施的安全性要给予高度的重视。” Rapid7公司的Moore说。
他告诉我们,在许多企业里,办公室的Wi-Fi网络中那些占用大量带宽的移动设备才是BYOD安全中的唯一的致命弱点。“撇开移动设备不谈,若你的Wi-Fi网络中存在着流量泄露或是一些恶意接入点,一个攻击者就可以用自己的机器进行攻击,而与你企业中的移动设备就毫无关系了。”他说。
有的公司也会考虑在办公室内禁止使用无线连接——尽管这会让员工觉得不高兴或是不方便。而更多企业选择的是继续使用Wi-Fi网络,但会进行相关的设置,让移动设备所使用的网络与企业内网隔离开来,并且要进行严格的筛选和实施安全接入等策略。例如:使用Web过滤工具防止潜在的危险或是屏蔽非工作网站,以及应用入侵防御软件或移动设备管理工具等,对于不符合安全要求的设备是严禁接入网络的。
对Wi-Fi基础设施做定期的安全审计也是一个不错的主意。这样做可以确保员工或是攻击者并没有设立非法接入点,也可以察觉出那些可疑的网络或是无线通信。
3.制定规则
“若你想进行BYOD的实验,你必须考虑要在何处以及如何执行这些规则。”Sophos公司的 Svajcer说,“你是否想让所有类型的设备都访问你的网络,但还要对资源访问进行控制?还是采用更宽泛的访问安全标准?”
移动设备管理软件是一个利益与投资都增长很快的领域。Gartner统计全球有超过100家MDM企业。MDM供应商包括了那些大型的IT服务和安全公司,比如IBM、SAP、Sophos和赛门铁克;还有一些其他专业化的公司,如AirWatch、 Good Technologies和Zenprise.
依据你的需求,MDM软件和服务可以让你在移动设备的硬件和软件平台上制定一系列策略。其中包括强制使用复杂密码、强制应用程序下载安装补丁、检测越狱设备以及提供审计和远程擦除等功能,还可以锁定丢失或是被盗的设备。
有些MDM厂商推出了数据监测功能,为企业提供了一个管理移动设备数据转移的窗口。比如供应商Zenprise还提供了“地区锁定”服务,当移动设备离开锁定区域时,这个功能可以让我们有所察觉,以便及时采取行动,确保它们的安全(如锁定或远程删除设备上的数据)。
企业们也正在寻找替代全封闭或是全开放的BYOD策略,鼓励生产使用移动设备,但要保留一定程度的控制权。
一种方法是建设企业移动应用程序商店,为得到认可的员工提供移动应用程序的下载,使用此种移动安全管理策略以防止未经批准的应用程序被下载到移动设备上。
AppCentral这个初创公司为百事可乐和Anheuser-Busch这两个客户提供了类似的服务,让企业能够控制并管理他们的员工去使用特别订制的移动应用程序。无独有偶,思科的AppHQ平台也能够帮助企业建立自己的内部托管应用程序商店。
为了能够让企业对应用程序的安全性和控制性更为放心,品牌移动应用程序商店还要走很长的一段路。但从长远来看,Sourcefire公司的Huger认为:BYOD趋势很可能会兜一个圈变成LYDAH(把你的设备留在家里)。
不管员工是否喜欢,安全性和管理都要求企业让这类软件在员工们的设备上运行。正如前面所提到的,这是一个非常敏感的问题,因为这些设备并非企业所拥有。若企业给员工提供具有足够吸引力的移动终端并加载上必要的安全和管理工具,那这个问题就迎刃而解了。
“我确切地了解到,”Huger说,“我有一个客户为员工购买了500部iPhone。虽然这个举措花了很多钱,但它其实更为便宜,因为这样更有效地控制了这些设备上的软件。从长远来看,你是不可能让这些强大的设备在你的网络中放任自流的。”
根据Forrester的数据显示,在所有关于BYOD的讨论中,跟其它方法比,员工更能适应这种方式。根据Forrester的一项来自于322个企业用户2011年第四季度员工调查发现,45%的受访者希望自己选择移动手机或智能手机,只有23%的人愿意为换设备而交钱,有32%的受访者对于选择工作手机或是智能手机表示“不关心”。
4.面对问题
最后,企业应该认真对待BYOD风险,他们不应该对员工私人设备进行过度的控制。
“你该拥有的是明智的策略,而不是限制性的策略。” Mahaffey谈到,“最重要的是能够让人们提高工作效率。”
SANS研究所的Johannes Ullrich在福布斯网站上刊登过一篇文章,其中写道“‘坏房东式的网络安全’并不可取。”“像廉租房的房东一样,许多网络管理员宁可删除或禁用某些功能导致安全问题,也不让员工使用这些移动设备招致风险。”对感受到的风险反应过度,那些管理员创建规则约束IT环境从而镇压了职工们的“灵魂”——特别是针对那些年轻的数码一族来说。像精简公寓的房东一样,具有限制性,惩罚性的IT环境创造了那些不安因素,也鼓动了他们去绕过安全功能。
BYOD就是一个很好的例子,包容现状,而不是与其对抗。Ullrich说:“支持员工使用自己的设备是更好的选择。而不是对他们进行打压。”他说,“设立一个专门的网络,对这些设备进行控制和管理,这样更安全,也解决了员工工作的问题。”
到了最后,教育员工也是一个最简单、最便宜、最有效的方法,企业使用这个方法可以减少员工使用私人设备所构成的风险。对员工谈一谈关于移动威胁和密码使用的重要性,还要提高对存储数据进行加密的重视,特别是在缺乏系统规范和监管工具的情况下。
不要禁止员工使用私人设备,聪明的企业会接受这一情况,并学习如何解决安全缺陷。“别发疯了,快阻止这些人使用他们自己的设备吧,” Mahaffey说,“千万别干这种蠢事,你应该面对问题并积极处理它们。”通过教育员工这种方法可以使你对网络上的设备进行有效地控制,确保员工们对其潜在的问题都有所了解之后,他们就不太可能去偷偷地用手机上网或是违反其它政策了。#p#
5个提示让BYOD更安全
手机安全软件公司Lookout的CTO兼创始人Kevin Mahaffey告诉我们让员工把自己的设备用于企业网络的操作并不复杂。他给出了一些建议:通过五个简单的步骤就可让BYOD政策即安全又有效。
1.需要一个明智,但不是限制性的策略。对于丢失、被盗和受感染的移动设备所带来的威胁要跟员工特别强调和进行相关教育,并执行合理的政策。比如若要用移动设备连接企业网络时,可以用PIN码等相关设置来控制物理访问。
2.在企业和员工的设备上实现远程锁定、擦除和定位功能。现在有许多移动设备管理软件包可以提供这种类型的远程功能。设备定位和远程擦除的标准与新版的苹果iOS软件相符。
3.安装反恶意应用的软件。移动恶意软件虽然还处在初期阶段,但其却呈急剧上升的趋势。安装手机杀毒软件,以防万一。
4.经常在外办公的员工一定要使用VPNs,特别是在公共Wi-Fi环境下,移动设备通过VPNs之后方可连接到企业网内部。
5.聚焦身份验证与身份标识。光靠强密码策略是不够的,尤其是那些能够记录键盘之类的恶意软件有可能会发动中间人攻击。对于企业网络上高价值服务的访问应采用多因素身份验证或是联合身份标识技术。——Paul Roberts。
商旅人员的移动安全
安全公司Rapid7的CTO也是Metasploit测试平台的创造者HD Moore,他同时也是一个生活在别人防御漏洞中的人——对遭遇攻击的地方是出了名的偏执。那么接下来他给常出差的工作人员总结了几个实用技巧:
1.小心Wi-Fi。Moore建议大家关闭手机、平板电脑和笔记本电脑的无线网络。如果你必须要使用酒店或者其他的Wi-Fi,要知道如果发生二次链接的话是存在着很大风险的。在VPN启动时会造成流量的丢失那么就会有人通过上网本或是shell脚本趁虚而入,正当你通过网络进行身份验证的空当是可以造就这个机会的。
2.关闭蓝牙。几乎所有的蓝牙耳机都是不安全的,可被用来偷听私人谈话。笔记本电脑上的蓝牙服务可公开你的安全漏洞甚至是你的文件系统。
3.一旦你必须使用非可信网络的时候就必须通过VPN来连接企业网络。这会使你的流量处于“全隧道”模式中,那么本地网络黑客就很难对其进行嗅探或是发动中间人攻击。如果VPN连接断开,你需要关闭Outlook和任何敏感的应用程序,直到重新建立连接后方才可打开。
4.时刻小心你的设备。不要让笔记本电脑、存有重要资料的箱包等物品离开你的视线。
5.不要用陌生的USB闪存读取文件。借用别人的USB时,你不知道他们给你的是什么东西,他们可以很容易地复制设备的数据,甚至是清空存储空间里面的所有内容。—— Paul Roberts