企业开始越来越接受IT消费化以及移动设备和平台的引入。引入智能手机、上网本或者更先进的设备(例如iPad和e-reader)会对企业和客户带来安全风险。木马和强迫下载等攻击可以攻击或者利用安装在端点软件中未修复的漏洞,另外,流氓安全应用程序、间谍软件、僵尸网络、蠕虫、病毒和网络钓鱼攻击也都威胁着客户的智能设备。一旦员工开始将商业数据载入智能设备,企业将无法控制数据的传播和使用。
“由于苹果电脑和iphone的疯狂普及,它们也逐渐成为攻击者的攻击目标,”赛门铁克区域产品管理经理Josh Simmons表示。
IT管理人员必须注意,让员工的设备既作为个人设备由作为公司设备使用时,公司必须保护设备中任何公司数据,Websense的高级营销经理David Brophy说:“当发生数据丢失事故时,企业不仅要承担罚款和修复费用,还要承担失去股权人和客户信任的风险,”他表示,“这会对公司造成很大的负面影响,包括对公司声誉、名誉、股值,甚至可能会对公司高管提出刑事诉讼。数据泄漏是蓄意还是意外并不重要,重点在于,企业没能保护好个人信息和关键信息。”
显然,在企业中IT消费化具有风险,但是如果不能禁用或者限制设备的使用,你该怎么办?
Gartner Research副总裁Leslie Fiering说,“要管理IT消费化的风险,首先要做的就是重新评估安全策略,当员工的设备接入公司网络时,安全策略应当将该设备认定为“不安全的”,除非能够证明其安全性。确认设备的可靠性必须通过一系列的网络访问控制(NAC)来实现,包括强身份验证、扫描和拦截功能以及网络行为分析,”她表示,“有很多方法可以用于确定具体设备,设备的物理和虚拟地址,使用历史。”
“指纹”等生物识别技术可以帮助企业确定用户是使用企业设备,还是使用通过企业技术支持团队审核的个人设备,或是使用完全未知设备。进一步测试还能够确定设备的安全状态,以及设备最近是否进行过安全扫描。
下一步则是建立强大的可扩展的安全远程访问策略。根本上说,如果设备不符合安全政策,则该设备必须隔离于网络的受保护区域。IT管理人员应该根据信任水平来考虑设置多种级别访问,而且未管理未控制的平台比管理平台更有可能包含蠕虫病毒、远程访问木马和其他恶意程序。然后,建立应用程序和数据要求,这些要求可以根据目标计算机的信任水平来进行应用交付和远程访问,以确定数据泄漏风险。还应该将企业的数字资产和员工设备上的其他应用程序和数据隔离,进一步保护企业或客户数据以及知识产权。
“在理想情况下,企业设备和个人设备间绝对是零泄漏,”Fiering表示,“这意味着,员工系统的恶意程序不能接近企业数据和应用程序,企业数据也不能复制到用户系统活着外部媒介。同样重要的是,不管何种企业数字信息在员工系统运行,都能够完全删除,而不留任何痕迹,包括临时文件。”
很多木马程序都能够绕过端点保护软件和安全保护,BT Australia的Harry Archer还强调行为分析技术和安全正常的重要性,“端点安全软件本身并不是很有效,”他表示,“端点安全软件必须通过安全政策来控制,并结合中央管理、安全监测,包括设备审计。”
Sybase ANZ的管理主管Dereck Daymond表示,每个企业主要有四个区域需要评估:如何拒绝未经授权用户的访问;如何管理包含公司数据的设备的丢失问题;当员工离开公司时如何从个人设备移除企业数据;保护重要数据不被窥视。
“首先,建立一个强制性安全政策,要求员工为其移动设备设置高强度密码,每隔三到六个月更换一次密码,”他表示,“移动管理系统可以帮助IT管理人员自动执行这种安全政策,而不需要用户的参与。还需要移动管理软件提供远程锁定和远程擦除功能,使管理员能够暂时“冻结”被放错的设备或者从丢失或被盗的(或者当员工离开公司时)移动设备中擦除数据。
M86 Security副总裁Jeremy Hulse认为,需要制定可接受使用政策(AUP)明确哪些信息可以被哪些人什么时候访问,并且向所有员工公布这项政策。
“只有需要信息的人才能够访问信息,应该部署不同水平的信息保护以及访问数据核查系统,还要对关键信息进行加密防止信息落入错误的人手里,”Hulse认为。 “这个问题在中小型企业需要密切关注。在中小企业,对员工更加信任,管理人员会将数据保护作为次要工作。”
IBRS Advisor公司的James Turner也表示,虽然端点安全威胁不断变化,维持标准操作环境(SOE)、防恶意软件客户端、白名单和灰名单都是好习惯,但企业也应该关注用户对应用程序的操作。关注用户在做什么,而不是他们在什么设备上的操作。
考虑IT消费化安全问题时,不得不考虑一个无处不在的设备,iphone。
Gartner分析师John Girard表示,虽然iPhone具有完善的安全架构,但仍然不完善,并且第一代、第二代和第三代iPhone都很容易“越狱(jailbreaking)”攻击,该攻击能够解锁iPhone和禁用苹果的策略控制。 因此,John建议,第一代和第二代iphone都应该进行全面数据清除,公司还应该进行版本检查以防止用户在企业电子邮件服务器和网络使用旧型号设备。
载有公司信息的iPhone 3GS应该放在政策管理下以执行基本安全保护,并且还需要使用内容监控和过滤以避免发送重要数据到iPhone而引起不必要的风险。
Sophos亚太区技术主管Paul Ducklin表示,iphone以及Android智能手机的安全问题是非常复杂的,因为这些设备既安全又不安全。
“这些智能手机都使用‘封闭市场’模式,这意味着恶意程序或者不需要的程序很难获得销售许可,从而增强了安全性,”他表示,“另一方面,它们让独立软件开发商很难生产出与Windows和Linux中的安全产品类似的安全产品。”
Ducklin补充说,消费者IT设备的核心问题在于,这些设备在设计的时候,安全并不是重点考虑的问题。
“例如,每台iphone都有相同的易于猜测和人尽皆知的密码作为根密码和用户账户密码,即alpine,”他表示,“苹果公司则解释说,设备不能进行本地登录,所以根密码毫不相干。但是,既然说它是毫不相干,那么为什么不为每台设备随机设置难以猜测的密码呢?”
Sybase公司的Daymond补充说:“通常情况下,如果企业最高层管理人员喜欢使用iPhone,那么IT部门则需要非常注意,毕竟高层管理人员可以访问企业最机密的信息。”