不久之前,典型的企业IT用户的办公桌上是一台台式电脑,有些人可能还会得到一台笔记本电脑用于出差和偶尔的远程办公,或者可能还有企业发放的黑莓手机用于手机服务和访问电子邮件及即时消息。
然而,现在的情况已经发生了很大的变化:很多企业为每个用户配备一台笔记本,而不是台式机,并且,很多员工还可以得到功能强大的智能手机和平板电脑。除此之外,随着BYOD趋势的兴起,用户开始使用自己的笔记本、智能手机和平板电脑进行工作,而最终的结果是,一个员工通常要使用多种设备用于工作。
可以说,多样化移动设备的崛起突然而剧烈。对于企业网络和安全管理人员而言,在设备连接到企业网络后,他们经常会看到设备中的平台是他们从未见过的新平台,这是很普遍的现象。
不幸的是,移动设备安全已经远远落后于移动设备技术的进步。智能手机和平板电脑的漏洞水平逐渐赶上台式机和笔记本,因为它们都是基于相同的软件,但智能手机和平板电脑缺乏台式机和笔记本的内置安全控制,例如基于主机的防火墙和入侵检测系统。为了缓解这个漏洞问题,企业应该添加适当的第三方安全控制到移动设备作为移动设备管理(MDM)战略的一部分。本文提供了关于MDM安全战略做法的几个实用的技巧,以期更好地保护移动设备和数据。
使用MDM软件
MDM软件已经成为移动设备的首选基本安全控制,并且,在部署你的MDM战略时必须要考虑它。它为移动设备安全提供了集中管理,可以保护存储在移动设备上的和由移动设备访问的敏感数据。它可以“照顾”所有基本操作系统安全控制,例如安全地安装补丁和配置操作系统。它还添加了不同的数据安全控制,包括存储加密、设备控制和数据丢失防护(DLP)技术。对于企业控制的移动设备(包括笔记本)而言,MDM软件是最容易部署和使用的软件,但MDM也可以为有限数量的BYOD设备部署和使用。
专注于数据 而不是操作系统
尽管移动操作系统带来了很大的安全挑战,企业已经能够相对较好地保护它们,当然,这主要归功于MDM软件的崛起。同时,数据已变得更有价值,特别是财务数据和个人身份信息。毫不奇怪,攻击者已经将其重点从利用操作系统漏洞转变为获取数据。单个数据泄露事故可能让企业损失数百万美元,而单个移动设备的丢失或被盗就可能导致这种事故。
企业需要考虑其数据可能的位置,并保护这些数据,抵御多种威胁。DLP技术和介质加密(包括内置和可移动介质)已成为关键。幸运的是,移动操作系统已经开始提供介质加密,而DLP技术和介质加密都可通过MDM技术提供。
让敏感数据远离移动设备
这个规则可能看起来很简单,但企业通常会因为没有坚持这个规则而遭受重大泄露事故:确保企业敏感数据远离用户的移动设备。如果敏感数据从来没有驻留在移动设备上,这些设备的丢失或被盗对企业的影响要小得多。企业不应该将敏感数据存储在移动设备上,而应该集中存储敏感数据,并仅为移动设备用户提供必要的数据,最好是该数据的图像。这最大限度地减少了数据暴露风险。
阻止基于Web的恶意软件
恶意软件的威胁逐渐成为移动设备的噩梦,特别是对于基于web的恶意软件。企业通常会依赖web安全网关来检测和阻止这种恶意软件。不幸的是,随着移动性的增加,这些网关并没有什么用,因为移动设备通常在外部网络,并且通常不使用这些网关。我们有两个办法来解决这个问题:为移动设备部署web安全控制(可能通过MDM策略)或者强迫企业的移动设备通过中央代理服务器“路由”流量,这可能包括网络安全控制,例如web安全网关。虽然后面这种方法可以提供很高的安全性,通过对所有移动设备流量部署企业级网络安全控制,但这也会带来显著的成本和性能问题,因此,企业在部署这种解决方案之前需要进行仔细评估。