在企業(yè)端點領(lǐng)域涌現(xiàn)出很多新設(shè)備和平臺����,這可能讓Wintel(由Microsoft Windows操作系統(tǒng)與Intel CPU組成的個人計算機)的霸主地位受到動搖,但對于企業(yè)來說���,這種競爭可能意味著端點保護工作將變得更加簡單�。
在2013年Gartner安全和風險管理峰會上��,Gartner研究副總裁Peter Firstbrook向與會者介紹了不斷變化的端點安全形勢��。盡管75%的平板電腦和筆記本電腦都由消費者購買�����,但很多這些設(shè)備都涌入企業(yè)網(wǎng)絡(luò)中�。為了生產(chǎn)力方面的優(yōu)勢��,企業(yè)正在鼓勵這種IT消費化����,而安全專業(yè)人員則要負責應(yīng)對這些風險����。
企業(yè)BYOD面對哪些安全風險?
企業(yè)移動安全歸根結(jié)底是數(shù)據(jù)的安全,企業(yè)的核心命脈是數(shù)據(jù)���,無論是熱議的云計算還是移動化�����,企業(yè)都在關(guān)心自己的數(shù)據(jù)如何才能更安全����。也正因為如此���,廠商在提供解決方案的時候把數(shù)據(jù)安全放在了很高的位置�。
從目前的應(yīng)用部署方案中�,BYOD成為了一個突破點,那么困擾用戶的安全技術(shù)難點究竟在哪里呢?對于企業(yè)所需要的安全技術(shù)�,王志海認為���,隨著移動信息化的普及�,BYOD在移動辦公等非核心業(yè)務(wù)領(lǐng)域使用越來越廣泛,困擾用戶的主要安全技術(shù)難點包括三個方面:一是安全管控的邊界如何確定�,什么該管,什么不該管�,如何打消個人隱私的疑慮;二是如何實現(xiàn)安全性與易用性兼得,將用戶對移動應(yīng)用體驗影響降到最低慎重不產(chǎn)生影響;三是如何實現(xiàn)對各種不同移動終端的普遍兼容��。
各企業(yè)和應(yīng)用對安全改進所做的努力
Gartner研究公司預(yù)測��,從2012年到2017年��,企業(yè)需要保護的端點數(shù)量預(yù)計將增加25%�。雖然到2017年,Windows設(shè)備仍將占企業(yè)端點的很大比重���,但Firstbrook告訴與會者�����,iOS和Android設(shè)備浪潮將對企業(yè)端點安全有著越來越積極的影響�。其中最重要的安全影響是��,這兩個平臺的供應(yīng)商(蘋果和谷歌)正在加強其產(chǎn)品的安全性,提供超過Windows的優(yōu)勢����,包括嵌入式安全功能,例如加密和遠程擦除��。
Firstbrook還高度贊揚了iOS采用的鎖定應(yīng)用商店模式��,該模式利用白名單式系統(tǒng)–允許安全的應(yīng)用進入���,而阻止可能是惡意或不安全的應(yīng)用����。蘋果應(yīng)用商店模式的成功讓我們看到了昔日黑名單技術(shù)的“瘋狂”���。
Firstbrook指出��,盡管Android被認為充斥著惡意軟件�,但Android應(yīng)用安全已經(jīng)有所改善�����,這主要得益于谷歌增強了對其官方應(yīng)用商店的監(jiān)控。他表示���,事實上����,如果你將Google Play作為應(yīng)用下載的單一來源���,那里的惡意軟件占得比例其實很小。
與Windows機器相比��,這些杰出的移動平臺幾乎沒有遭受過任何重大的惡意軟件感染�,并且,移動設(shè)備用戶通常必須直接下載惡意軟件�,而在Windows環(huán)境中,很多病毒能夠自我傳播���。
白名單模式有助于加強應(yīng)用商店的安全性����,而同時�,應(yīng)用安全供應(yīng)商(包括Veracode和Appthority)也進一步加強了應(yīng)用安全性,他們將移動應(yīng)用分門別類�,例如商業(yè)、教育�、娛樂�、金融和游戲���,從而讓企業(yè)更容易地基于其移動設(shè)備安全政策來允許或阻止某種類型移動應(yīng)用的使用�。他表示�,他希望移動設(shè)備管理(MDM)供應(yīng)商也能夠增加類似的應(yīng)用分類,“如果沒有分門別類的話�����,你將很難管理這種白名單���。”
移動平臺帶來的挑戰(zhàn)
Firstbrook認為�����,盡管現(xiàn)代移動平臺內(nèi)置了安全功能���,仍然有大量問題。例如���,Android和iOS設(shè)備用戶可以通過自定義ROM和越獄刷機免費下載應(yīng)用����。這種技術(shù)將會影響企業(yè)執(zhí)行應(yīng)用控制的能力,同時這將會破壞這些應(yīng)用商店帶來的優(yōu)勢–無論是蘋果����、谷歌的應(yīng)用商店,還是企業(yè)應(yīng)用商店��。
這個問題在Android設(shè)備尤為突出���,三星和HTC等制造商每年推出幾十種設(shè)備,這些設(shè)備都具有不同的定制版本的開源操作系統(tǒng)��。Firstbrook建議企業(yè)堅持一個供應(yīng)商���,以減小這種Android平臺混亂帶來的安全影響���。對于那些選擇代工生產(chǎn)設(shè)備的企業(yè),他指出了三星已經(jīng)增加到其Android設(shè)備的安全功能�����。
Android和iOS在2012年累計出現(xiàn)超過100個已知漏洞����,隨著越來越多的企業(yè)允許移動設(shè)備進入其網(wǎng)絡(luò)����,這些設(shè)備將成為網(wǎng)絡(luò)罪犯誘人的目標����。他評論道:“毫無疑問,攻擊者將集中在這些平臺上��。”
移動設(shè)備上新一代功能強大的web瀏覽器是IT安全團隊面臨的重大的移動安全挑戰(zhàn)�。Firstbrook指出,移動瀏覽器通常會淪為也針對桌面用戶的潛在惡意網(wǎng)站的“獵物”����,但企業(yè)通常不能像他們限制桌面瀏覽那樣限制移動瀏覽。因此����,企業(yè)應(yīng)該針對移動設(shè)備定義可接受的使用政策,來保護用戶免受Java�����、Flash和其他漏洞利用����。
保護重要的東西
隨著企業(yè)逐漸從Windows設(shè)備轉(zhuǎn)移移動設(shè)備�����,F(xiàn)irstbrook建議企業(yè)不要再專注于移動惡意軟件防御����,應(yīng)該轉(zhuǎn)移資源來保護數(shù)據(jù)和交易系統(tǒng)���。從戰(zhàn)略的角度來看��,企業(yè)應(yīng)該像銀行和其他金融企業(yè)對待安全問題一樣來思考移動安全:專注于高價值交易���,明白他們不能保護一切�����。
企業(yè)還可以根據(jù)數(shù)據(jù)的敏感度和價值來分類其數(shù)據(jù)和交易系統(tǒng):例如�,所有個人身份信息都應(yīng)該被加密。他強調(diào)��,安全web網(wǎng)關(guān)作為企業(yè)的起點�,需要檢查移動設(shè)備流量來確保敏感信息不會泄露出去����,他還強調(diào)延伸企業(yè)互聯(lián)網(wǎng)使用政策到移動設(shè)備的重要性��。
最后�����,某些類型的敏感數(shù)據(jù)不應(yīng)該放在移動設(shè)備中���。每個企業(yè)都應(yīng)該評估其風險�,并確定移動設(shè)備帶來的優(yōu)勢是否大于數(shù)據(jù)泄露的威脅�。“將所有移動設(shè)備視為嫌疑對象,不要將敏感數(shù)據(jù)放到這些設(shè)備中��。你需要清楚認識到你能夠保護的東西����,”他表示,“你需要專注于關(guān)鍵數(shù)據(jù)和交易系統(tǒng)�����,重點保護它們�����。”
