不久之前,典型的企業(yè)IT用戶的辦公桌上是一臺臺式電腦,有些人可能還會得到一臺筆記本電腦用于出差和偶爾的遠程辦公,或者可能還有企業(yè)發(fā)放的黑莓手機用于手機服務(wù)和訪問電子郵件及即時消息。
然而,現(xiàn)在的情況已經(jīng)發(fā)生了很大的變化:很多企業(yè)為每個用戶配備一臺筆記本,而不是臺式機,并且,很多員工還可以得到功能強大的智能手機和平板電腦。除此之外,隨著BYOD趨勢的興起,用戶開始使用自己的筆記本、智能手機和平板電腦進行工作,而最終的結(jié)果是,一個員工通常要使用多種設(shè)備用于工作。
可以說,多樣化移動設(shè)備的崛起突然而劇烈。對于企業(yè)網(wǎng)絡(luò)和安全管理人員而言,在設(shè)備連接到企業(yè)網(wǎng)絡(luò)后,他們經(jīng)常會看到設(shè)備中的平臺是他們從未見過的新平臺,這是很普遍的現(xiàn)象。
不幸的是,移動設(shè)備安全已經(jīng)遠遠落后于移動設(shè)備技術(shù)的進步。智能手機和平板電腦的漏洞水平逐漸趕上臺式機和筆記本,因為它們都是基于相同的軟件,但智能手機和平板電腦缺乏臺式機和筆記本的內(nèi)置安全控制,例如基于主機的防火墻和入侵檢測系統(tǒng)。為了緩解這個漏洞問題,企業(yè)應(yīng)該添加適當?shù)牡谌桨踩刂频揭苿釉O(shè)備作為移動設(shè)備管理(MDM)戰(zhàn)略的一部分。本文提供了關(guān)于MDM安全戰(zhàn)略做法的幾個實用的技巧,以期更好地保護移動設(shè)備和數(shù)據(jù)。
使用MDM軟件
MDM軟件已經(jīng)成為移動設(shè)備的首選基本安全控制,并且,在部署你的MDM戰(zhàn)略時必須要考慮它。它為移動設(shè)備安全提供了集中管理,可以保護存儲在移動設(shè)備上的和由移動設(shè)備訪問的敏感數(shù)據(jù)。它可以“照顧”所有基本操作系統(tǒng)安全控制,例如安全地安裝補丁和配置操作系統(tǒng)。它還添加了不同的數(shù)據(jù)安全控制,包括存儲加密、設(shè)備控制和數(shù)據(jù)丟失防護(DLP)技術(shù)。對于企業(yè)控制的移動設(shè)備(包括筆記本)而言,MDM軟件是最容易部署和使用的軟件,但MDM也可以為有限數(shù)量的BYOD設(shè)備部署和使用。
專注于數(shù)據(jù) 而不是操作系統(tǒng)
盡管移動操作系統(tǒng)帶來了很大的安全挑戰(zhàn),企業(yè)已經(jīng)能夠相對較好地保護它們,當然,這主要歸功于MDM軟件的崛起。同時,數(shù)據(jù)已變得更有價值,特別是財務(wù)數(shù)據(jù)和個人身份信息。毫不奇怪,攻擊者已經(jīng)將其重點從利用操作系統(tǒng)漏洞轉(zhuǎn)變?yōu)楂@取數(shù)據(jù)。單個數(shù)據(jù)泄露事故可能讓企業(yè)損失數(shù)百萬美元,而單個移動設(shè)備的丟失或被盜就可能導(dǎo)致這種事故。
企業(yè)需要考慮其數(shù)據(jù)可能的位置,并保護這些數(shù)據(jù),抵御多種威脅。DLP技術(shù)和介質(zhì)加密(包括內(nèi)置和可移動介質(zhì))已成為關(guān)鍵。幸運的是,移動操作系統(tǒng)已經(jīng)開始提供介質(zhì)加密,而DLP技術(shù)和介質(zhì)加密都可通過MDM技術(shù)提供。
讓敏感數(shù)據(jù)遠離移動設(shè)備
這個規(guī)則可能看起來很簡單,但企業(yè)通常會因為沒有堅持這個規(guī)則而遭受重大泄露事故:確保企業(yè)敏感數(shù)據(jù)遠離用戶的移動設(shè)備。如果敏感數(shù)據(jù)從來沒有駐留在移動設(shè)備上,這些設(shè)備的丟失或被盜對企業(yè)的影響要小得多。企業(yè)不應(yīng)該將敏感數(shù)據(jù)存儲在移動設(shè)備上,而應(yīng)該集中存儲敏感數(shù)據(jù),并僅為移動設(shè)備用戶提供必要的數(shù)據(jù),最好是該數(shù)據(jù)的圖像。這最大限度地減少了數(shù)據(jù)暴露風險。
阻止基于Web的惡意軟件
惡意軟件的威脅逐漸成為移動設(shè)備的噩夢,特別是對于基于web的惡意軟件。企業(yè)通常會依賴web安全網(wǎng)關(guān)來檢測和阻止這種惡意軟件。不幸的是,隨著移動性的增加,這些網(wǎng)關(guān)并沒有什么用,因為移動設(shè)備通常在外部網(wǎng)絡(luò),并且通常不使用這些網(wǎng)關(guān)。我們有兩個辦法來解決這個問題:為移動設(shè)備部署web安全控制(可能通過MDM策略)或者強迫企業(yè)的移動設(shè)備通過中央代理服務(wù)器“路由”流量,這可能包括網(wǎng)絡(luò)安全控制,例如web安全網(wǎng)關(guān)。雖然后面這種方法可以提供很高的安全性,通過對所有移動設(shè)備流量部署企業(yè)級網(wǎng)絡(luò)安全控制,但這也會帶來顯著的成本和性能問題,因此,企業(yè)在部署這種解決方案之前需要進行仔細評估。