Kevin Beaver是Principle Logic LLC的创始人和首席顾问,他有16年的IT和信息安全的工作经验。在进入信息安全服务行业前,他的工作曾经涉及卫生保健、电子商务、金融和教育行业的信息技术和安全。他擅长的领域包括网络和无线网络安全、信息安全评估和事故回应。 Kevin是Technology Association of Georgia的Information Security Society创始人和主席,而且是几家大学和企业的IT顾问团成员。他在Southern Polytechnic State University获得了计算机工程技术的硕士学位,在Georgia Tech获得技术管理的博士学位。Kevin还获得了CISSP、MCSE、Master CNE和IT Project+等证书。
我读到有文章称,现在移动宽带是流行的攻击向量,因为它们缺乏身份验证。我们公司可以使用哪些产品来替代这些调制解调器?如果我们一定要使用它们,保护其安全性的最佳方法是什么?
Kevin Beaver:随着移动计算的普及,我们将需要提供随时随地的连接。这些漏洞很好地说明,“如果设备有URL或者IP地址,并且连接互联网使用,那么就会有人打主意”,并且对其进行漏洞利用。
而且,简单地说,如果你的企业依赖于移动设备来连接到互联网或你的内部网络,你不能不使用移动宽带调制解调器。
我相信,虽然用户宽带调制解调器可能或可能不会出现跨站请求伪造或DNS中毒漏洞,而且大多数企业在自己的网络主机、应用和移动设备都有更大的安全问题需要解决,但这并不意味着这个问题应该被忽略。
业界很多人认为最好的策略是放下你正在做的一切工作来解决这个问题,但笔者建议对这个潜在风险采取系统的方法,并将其整合到持续的安全评估计划中。同时,企业应该回答这些问题:
• 员工在使用何种移动宽带调制解调器?
• 它们是否易受攻击?
• 有哪些漏洞?
• 这些漏洞可能如何被利用?
• 哪些信息、人员和流程面临风险?
通过采取这种方法,你可能会发现,天并没有塌下来。但如果问题实在很糟糕的话,你可以改变调制解调器使用的标准和政策。并且,这些漏洞可能还可能有可部署的补丁。每种情况都会有所不同;作为一个很好的开始,你可以使用个人防火墙软件和高级恶意软件防护来锁定你的端点,以及对所有互联网连接要求使用VPN连接。作为调制解调器的替代方案,这是你企业网络线路提供商的问题。或者,你可以切换到不同的技术,例如商业DSL、T1等。但是,你可能不会希望使用这些技术,或者它们可能完全超出你的预算。