對黑客來說,眼下可能是最好的時代,IT消費化、移動和云計算為他們通過惡意軟件、社交工程、魚叉式釣魚竊取企業(yè)和個人信息提供了前所未有的可能性。
如今,BYOD已經(jīng)成為IT消費化大潮中企業(yè)不得不面對的趨勢,隨著員工移動性的不斷增強以及企業(yè)移動設(shè)備和移動應(yīng)用的大幅增長,CIO們面臨前所未有的安全挑戰(zhàn)。以下是企業(yè)實施BYOD所面臨的十大安全風險:
一、設(shè)備丟失或者失竊
在過去十年全球最嚴重數(shù)據(jù)泄漏事件,我們了解到設(shè)備丟失或失竊已經(jīng)成為僅次于黑客攻擊的信息安全事故原因,危害性甚至超過內(nèi)部員工泄漏的情況。
部署圍繞個人移動設(shè)備的BYOD方案意味著員工設(shè)備丟失的概率會比過去大大增加。雖然一些企業(yè)部署了遠程擦除郵件、聯(lián)系人等企業(yè)數(shù)據(jù)的安全措施,但是很多員工出于隱私的考慮不愿意讓企業(yè)IT部門完全控制手機。這時候就需要在移動設(shè)備中將公司數(shù)據(jù)和員工個人數(shù)據(jù)隔離,在遠程刪除時只刪除公司數(shù)據(jù)。
二、Android惡意軟件激增
長期監(jiān)控移動惡意軟件的信息安全公司的報告無一例外都指出Android惡意軟件的數(shù)量正在以驚人的速度增長。卡巴斯基最近發(fā)現(xiàn)超級間諜軟件“紅色十月”的網(wǎng)絡(luò)攻擊就包含了移動組件。F-Secure也偵測到Zeus和SpyEye網(wǎng)銀木馬也開始攻擊移動設(shè)備。
三、云存儲服務(wù)
Dropbox等移動云存儲服務(wù)也是企業(yè)數(shù)據(jù)泄漏的隱患,例如IBM就禁止員工使用Dropbox這樣的公共云存儲服務(wù),但是企業(yè)的CIO們也需要明白,對于云存儲服務(wù)一味的封殺也不是辦法,總會有一些極客員工會繞過安全措施,最好的辦法是提供安全的替代方案。企業(yè)可以嘗試部署Owncloud這樣的開源私有云存儲方案。棱鏡門事件后,私有云產(chǎn)品創(chuàng)新加速,例如德國公司Protonet推出了面向中小企業(yè)的私有云一體機,Kickstarter上也出現(xiàn)了私人云Plug產(chǎn)品。
四、APP過度授權(quán)
雖然蘋果、Google和微軟強制要求應(yīng)用開發(fā)者在程序安裝前向用戶說明需要調(diào)用的手機功能和數(shù)據(jù)。但遺憾的是大多數(shù)用戶在安裝應(yīng)用前都不太關(guān)注應(yīng)用的授權(quán)要求,通常都會不加思索就點“同意”。這位很多竊取個人隱私和手機應(yīng)用數(shù)據(jù)的無德廠商和黑客打開了方便之門。安全專家建議對那些授權(quán)請求數(shù)量過多的應(yīng)用要格外小心,這些應(yīng)用往往會導(dǎo)致聯(lián)系人、電子郵件地址以及使用者的位置信息的泄漏。(編者按:中國是Android惡意軟件的重災(zāi)區(qū),大量第三方應(yīng)用商店已經(jīng)成為惡意軟件、木馬軟件和流氓軟件的溫床,企業(yè)CIO們在治理BYOD安全問題時首先要做的事情就是切斷各種刷機、第三方應(yīng)用市場的通道,統(tǒng)一使用官方Google Play應(yīng)用商店和企業(yè)自有移動應(yīng)用商店,同時根據(jù)應(yīng)用授權(quán)請求情況設(shè)立移動應(yīng)用白名單)
五、廣告軟件、間諜軟件
越來越多的用戶開始意識到從Google官方市場下載應(yīng)用可以遠離Android惡意軟件, 但這還不夠,因為攻擊者發(fā)現(xiàn)了一個新的渠道——移動廣告。
如今大量免費移動應(yīng)用都以收集用戶隱私數(shù)據(jù)為生,這些數(shù)據(jù)都被銷售給廣告網(wǎng)絡(luò)。當這些應(yīng)用偷偷背著用戶收集數(shù)據(jù)時,就會被定義為廣告軟件(Adware)或者間諜軟件(Spyware)。
六、郵件泄漏
雖然很多企業(yè)的BYOD方案都可以遠程擦除移動設(shè)備中的數(shù)據(jù),但是如果員工沒有設(shè)置鎖屏密碼,依然會給未授權(quán)人員直接查看電子郵件的機會。目前一些企業(yè)在BYOD安全措施中增強了措施:每次查看電子郵件都需要輸入密碼。
七、無線AP
很多員工的移動設(shè)備都被默認設(shè)置成自動發(fā)現(xiàn)并連接任何無需密碼就可訪問的開放無線AP。這就為黑客在酒店、機場、咖啡館等場所實施“中間人攻擊”提供了極好的機會。企業(yè)BYOD方案應(yīng)當強制員工在訪問企業(yè)資源時必須啟用VPN。
八、軟件漏洞與更新
員工如果沒能及時對軟件進行安全更新,就可能導(dǎo)致企業(yè)數(shù)據(jù)泄漏。但是不同移動設(shè)備的軟件更新方式讓問題變得更加復(fù)雜和棘手。例如蘋果將軟件更新推送到iPhone終端,而Google 的Android更新則更加碎片化,取決于運營商和設(shè)備制造商,步調(diào)也不統(tǒng)一,很多情況一個安全漏洞會存在很長時間得不到更新。(編者按:這個夏天Google與HTC和三星合作,在兩大旗艦Android機型HTC One和Galaxy S4上安裝純凈的“Google Play版”Android系統(tǒng),取消所有來自廠商或運營商的定制功能和預(yù)裝應(yīng)用,從而消除不同機型的軟件更新延遲甚至停滯。這標志著Google已經(jīng)開始發(fā)力解決Android手機的碎片化問題,同時也是對其他Android手機廠商的一個警示)
九、員工繞過BYOD規(guī)則
一些企業(yè)限制特定設(shè)備訪問企業(yè)網(wǎng)絡(luò),但總有一些員工能繞過這些規(guī)則。例如一些移動應(yīng)用能幫助員工騙過網(wǎng)絡(luò)訪問控制規(guī)則,訪問企業(yè)郵件日歷等信息。
十、越獄和Root
如今無論是蘋果設(shè)備的越獄還是Android設(shè)備的Root破解方法都變得越來越簡單,很多熱愛科技的員工都會嘗試越獄。但是越獄會導(dǎo)致設(shè)備受到惡意軟件攻擊的風險大增。