每當談起BYOD趨勢,CIO們總會(huì )擔心自己對于移動(dòng)應用程序缺乏足夠的控制手段。然而,在現實(shí)生活中給我們帶來(lái)麻煩的絕不僅僅是那些潛伏在移動(dòng)應用中的惡意軟件。IT管理者們同樣應該對由免費移動(dòng)應用帶來(lái)的風(fēng)險給予足夠的關(guān)注與重視。
即使在管理到位、策劃合理的軟件市場(chǎng)當中,移動(dòng)應用程序仍然會(huì )以不可思議的方式造成危害。就在今年早些時(shí)候,蘋(píng)果、Facebook、Yelp等多家企業(yè)就被曝出應用軟件產(chǎn)品侵犯隱私權。據稱(chēng)相關(guān)程序會(huì )記錄并上傳用戶(hù)通訊簿中的內容,這也使得上述公司紛紛遭到起訴。
當時(shí),許多安全專(zhuān)家都警告稱(chēng)目前的狀況還只是冰山一角。而最近由移動(dòng)安全解決方案廠(chǎng)商Appthority公司組織的一次調查顯示,免費應用程序同樣可能帶來(lái)安全風(fēng)險,因為這些軟件也有能力訪(fǎng)問(wèn)用戶(hù)的敏感信息。
這種狀況已經(jīng)夠糟的了,但如果免費應用能夠將某位銷(xiāo)售代表手機中的聯(lián)系人上傳給同類(lèi)公司、將開(kāi)發(fā)人員的成果轉賣(mài)給競爭對手,又會(huì )怎么樣?另一種更加嚴重、更加普遍的數據泄露方式就此誕生,而且大多數企業(yè)對此還一無(wú)所知。
我們嚴禁員工使用任何下載自App Store的應用程序
盡管BYOD帶來(lái)的風(fēng)險不容小覷,但總部位于伊利諾伊州的“河畔醫療中心”認為他們別無(wú)選擇,只能主動(dòng)接受。簡(jiǎn)單地想與時(shí)代對抗根本行不通,因此想以行政手段強行禁止員工使用終端設備同樣不現實(shí)。“對于像我們這樣的醫院來(lái)說(shuō),BYOD既是營(yíng)銷(xiāo)手段的重要組成部分,同樣也是安全問(wèn)題的關(guān)鍵一環(huán),”河畔醫療中心CISO Erik J. Devine指出。“如果大夫們不能在工作中使用自己的平板設備或者智能手機,他們的工作效率必然會(huì )大大下降、同時(shí)也容易引發(fā)診療事故。”
但權利也不是白來(lái)的,為了在日常工作中使用BYOD帶來(lái)的益處,終端用戶(hù)必須接受多項協(xié)議。舉例來(lái)說(shuō),河畔醫療中心有權在必要時(shí)對用戶(hù)的設備進(jìn)行遠程數據清除——清除對象可能包含用戶(hù)個(gè)人的相片、電子郵件等。但別急著(zhù)叫屈,企業(yè)在允許用戶(hù)引入BYOD機制時(shí)已經(jīng)在承擔風(fēng)險,這么做只是希望員工能夠幫企業(yè)分擔一部分。
對于企業(yè)自有設備,風(fēng)險管理工作自然會(huì )變得相對簡(jiǎn)單一些。“如果我們決定為某位員工購買(mǎi)一臺iPad,那設備的性質(zhì)就完全屬于診療工具。員工甚至無(wú)權用它下載App Store中的任何應用,”Devine表示。這種辦法雖然簡(jiǎn)單粗暴卻切實(shí)有效,我們真該讓那些每個(gè)月要花150美元在一臺移動(dòng)設備上的管理者聽(tīng)聽(tīng)這套方案。
事實(shí)上,對于像醫療保健這樣監管機制健全、控制力度強勁的行業(yè)而言,禁止從業(yè)者使用在線(xiàn)軟件商店早已不是什么新聞了。新興企業(yè)Happtique公司就將此視為發(fā)展良機,專(zhuān)門(mén)為醫療行業(yè)的用戶(hù)提供了一套獨立的應用程序商店。“臨床醫生與醫療機構的IT團隊面臨的最大挑戰在于分辨哪些應用程序真正值得依賴(lài)、而哪一些則暗藏陷阱,”Happtique公司CEO Ben Chodor解釋道。
就在大紐約醫院協(xié)會(huì )(簡(jiǎn)稱(chēng)GNYHA)開(kāi)始尋求移動(dòng)醫療類(lèi)解決方案的同時(shí),Happtique公司迅速成立并發(fā)展起來(lái)。“我們發(fā)現在移動(dòng)應用程序市場(chǎng)當中,幾乎沒(méi)有哪家企業(yè)真正具備醫療經(jīng)驗并了解醫院從業(yè)者們所面臨的技術(shù)挑戰。這正是企業(yè)發(fā)展的最好機會(huì ),因為無(wú)論是HIPAA(即健康保險流通與責任法案)還是全民醫保改革我們都一清二楚,更令人興奮的是目前這一領(lǐng)域連像樣的競爭者都沒(méi)有,”Chodor不無(wú)得意地告訴我們。
隨著(zhù)GNYHA對這一市場(chǎng)空白的逐漸重視,他們決定親自動(dòng)手開(kāi)發(fā)移動(dòng)醫療解決方案,這也就是Happtique公司的前身。這家新興企業(yè)所建立的方案能夠幫助醫院及醫生找到符合安全要求的專(zhuān)業(yè)應用程序,并將其添加到自己的常用軟件工具目錄當中。他們還采用由Appthority公司推出的應用風(fēng)險管理方案,借以進(jìn)一步降低移動(dòng)軟件的使用風(fēng)險。這套方案在啟動(dòng)時(shí)會(huì )對所有應用程序進(jìn)行審核,通過(guò)軟件評估來(lái)確保每款應用都名實(shí)相符、安全可靠。
不過(guò)從目前來(lái)看,大多數企業(yè)仍然打算利用自己親手創(chuàng )建的審核機制管理移動(dòng)應用,我們故事的主角河畔醫療中心當然也不例外。嚴格控制應用程序的引入各類(lèi)只是監管工作中的一部分,此外院方還將McAfee公司的企業(yè)級移動(dòng)管理(簡(jiǎn)稱(chēng)EMM)軟件與Fortinet公司的應用程序防火墻構成組合方案,借以進(jìn)一步降低安全風(fēng)險。EMM的介入使得河畔中心能夠快速檢測到越獄設備、強制執行雙重身份認證機制并在設備丟失或被盜時(shí)及時(shí)進(jìn)行遠程清除。而由于安全風(fēng)險會(huì )隨著(zhù)時(shí)間推移而發(fā)生變化,河畔中心同樣需要仰仗Fortinet公司的行為分析工具來(lái)隨時(shí)掌握用戶(hù)及其移動(dòng)設備的當前狀態(tài)。
舉例來(lái)說(shuō),如果企業(yè)發(fā)現很多用戶(hù)會(huì )在工作不忙的時(shí)候在移動(dòng)設備上玩玩小游戲,那么管理者就需要及時(shí)組織員工開(kāi)會(huì ),進(jìn)行安全生產(chǎn)教育了。別以為這是危言聳聽(tīng),事實(shí)上游戲是惡意軟件最常見(jiàn)的載體。而且由于移動(dòng)設備對于用戶(hù)敏感信息的保護并不完善,因此這些小游戲已經(jīng)成為危害企業(yè)業(yè)務(wù)安全的頭號公敵。
移動(dòng)應用程序缺乏對應的隱私分級機制
去年viaForensics網(wǎng)站的研究人員們對一百款iOS及Android應用程序進(jìn)行了全面調查,發(fā)現其中只有17款在保護用戶(hù)信息方面稱(chēng)得上“措施到位、保障有力”。
共測試了四種不同類(lèi)型的應用程序,分別為金融服務(wù)類(lèi)、社交網(wǎng)絡(luò )類(lèi)、生產(chǎn)類(lèi)以及零售類(lèi)。研究人員為每一款應用進(jìn)行了隱私保護水平分級——即合格、警告與危險——考核標準則是應用對數據的保護力度。viaForensics網(wǎng)站的研究人員會(huì )嘗試訪(fǎng)問(wèn)應用程序保存在本機上的數據——其中就包含有大量私人信息——只要訪(fǎng)問(wèn)獲得成功,該應用的安全評級即被判定為危險。
如果研究人員無(wú)論獲取數據,或者所獲得的數據已經(jīng)得到加密保護,那么應用程序的安全評級則為合格。至于獲得警告評級的應用,一般是那些數據能夠被研究人員所尋獲,但內容并不會(huì )造成太大風(fēng)險的類(lèi)型。
與大家的實(shí)際感受相符,社交網(wǎng)絡(luò )類(lèi)應用程序是安全性最薄弱的群體。viaForensics網(wǎng)站一共測試了19款社交網(wǎng)絡(luò )類(lèi)應用程序,其中14款屬于“危險”級別,其它幾款也僅僅獲得了“警告”級別。
那些被判定為“危險”級別的應用不僅沒(méi)能對數據進(jìn)行加密、將信息以純文本形式保存,而且許多程序甚至把密碼也以明文形式存儲,這就使得惡意人士能夠輕而易舉地獲取到這些敏感信息,進(jìn)而冒充機主從事犯罪活動(dòng)。
在此次測試過(guò)程中,表現最優(yōu)異的要數財務(wù)類(lèi)應用程序——當然這也在情理之中,如果管錢(qián)的軟件都不可靠,那這個(gè)世界就快要毀滅了。在接受測試的32款財務(wù)類(lèi)應用中,只有8款被評為“危險”級別。
Appthority公司還發(fā)現,這一年中圍繞隱私信息發(fā)表的文章對于移動(dòng)應用的安全性提升并沒(méi)有什么實(shí)際性作用。盡管安全專(zhuān)家們在文章中對于隱私泄露事件展開(kāi)口誅筆伐,但在A(yíng)ppthority公司最近針對iOS及Android平臺上的50款最熱門(mén)免費應用的調查中,仍然有96%的iOS應用以及84%的Android應用具備訪(fǎng)問(wèn)敏感信息的能力。也就是說(shuō),我們的通訊簿內容、日程表細節甚至是當前所處位置都會(huì )被應用程序所利用。
而且雖然大多數應用都存在一定程度的安全隱患,但其中問(wèn)題最嚴重、危害最顯著(zhù)的要數游戲軟件。不過(guò)除此之外,一些自稱(chēng)是“商務(wù)”類(lèi)應用的軟件也根本不具備商務(wù)級別的保護機制,它們同樣會(huì )訪(fǎng)問(wèn)用戶(hù)的通訊簿,甚至會(huì )將私人信息發(fā)送給廣告網(wǎng)絡(luò )以及用戶(hù)行為分析工具。
很多朋友可能都不太明白,為什么任何行業(yè)都這么樂(lè )于開(kāi)發(fā)自己的應用程序軟件商店呢?看了前面的內容,那幫家伙的壞點(diǎn)子應該昭然若揭了吧。
隨著(zhù)工作與家庭生活的進(jìn)一步融合,安全風(fēng)險也開(kāi)始同步高企
工作與家庭生活的進(jìn)一步融合使得安全風(fēng)險也開(kāi)始同步高企。“從技術(shù)角度來(lái)看,我們很難將員工的個(gè)人生活與工作內容徹底分割開(kāi)來(lái),反過(guò)來(lái)也是一樣。傳統的朝九晚五式工作正逐漸勢微,越來(lái)越多的人開(kāi)始選擇在自己喜歡的時(shí)間和地點(diǎn)進(jìn)行辦公。換句話(huà)來(lái)說(shuō),他們可能會(huì )在夜里十點(diǎn)半處理工作郵件,”EMM軟件解決方案供應商Xigo公司CMO(即首席營(yíng)銷(xiāo)官)Dave Snow指出。
這也意味著(zhù)員工會(huì )把很多重要的業(yè)務(wù)信息帶回家中,并轉移到企業(yè)無(wú)法監管的個(gè)人設備之上。如果用戶(hù)將手機中的信息(例如通訊簿、電子郵件及其它敏感數據)備份到家中的電腦里,那么一旦電腦中存在惡意軟件,企業(yè)就必然會(huì )連帶著(zhù)遭殃。在這種情況下,惡意軟件甚至可能在企業(yè)內部設施中開(kāi)一道后門(mén),進(jìn)而令公司的身份驗證機制遭到嚴重破壞。舉例來(lái)說(shuō),如果某個(gè)黑客在一位全球五百強企業(yè)員工的個(gè)人電腦上埋設了鍵盤(pán)輸入記錄器,那么在他將密碼“Wolfgang2012”搞到手之后,第一反應絕對是冒充員工到企業(yè)的內部網(wǎng)絡(luò )中一探究竟——妥妥會(huì )是這樣。
下面我們再來(lái)思考如今的用戶(hù)是怎樣保存數據的。我們中有多少人會(huì )把通訊簿信息規規矩矩地保存在Outlook或者其它企業(yè)系統當中?通常情況下,聯(lián)系人號碼都會(huì )首先顯示在我們的手機上,之后手機往往會(huì )一直成為這些寶貴信息的惟一載體。“想想看,如果Facebook嘗試鼓勵用戶(hù)使用@facebook.com這樣的郵箱地址,并在不經(jīng)意間覆蓋了智能手機中通訊簿里的原有內容,大家該怎么辦?”Sophos實(shí)驗室美國分部主管Richard Wang提出這樣的假設。“在這樣的情況下,事情很快會(huì )從用戶(hù)個(gè)人的不便轉化為企業(yè)業(yè)務(wù)的不便,而且由于聯(lián)系人郵箱地址內容的錯亂,很可能引發(fā)大量意料之外的嚴重事態(tài)。”
我們在對BYOD話(huà)題的討論中,常常會(huì )涉及“消費化”這一概念——也就是說(shuō)普通消費者先使用某種技術(shù),并在形成規模后反作用于企業(yè),促使甚至逼迫企業(yè)不得不將其納入日常工作。對于CIO們而言,必須要走在移動(dòng)安全風(fēng)險之前,因此只有積極推動(dòng)消費級技術(shù)的“企業(yè)化”進(jìn)程,才能讓員工在提高工作效率的同時(shí)避免給公司帶來(lái)潛在威脅。
要實(shí)現這一點(diǎn),我們不妨采用創(chuàng )新型解決方案。舉例來(lái)說(shuō),企業(yè)可以考慮向經(jīng)常進(jìn)行遠程辦公的員工提供家庭殺毒軟件,這比嚴格控制設備的效果更好——畢竟保護員工就是保護企業(yè)自身,任何一位竊取了員工信息的惡意人士,早晚是會(huì )把魔爪伸向企業(yè)資源的。而且即使能夠用于身份驗證的敏感個(gè)人信息暫時(shí)還沒(méi)有被安全性極差的應用所泄露,但隱患終究已經(jīng)埋藏于此。碰上合適的時(shí)機、遇到喪心病狂的犯罪分子,相信這些極具價(jià)值卻未受保護的數據將很快被發(fā)掘出來(lái),并最終用于破壞活動(dòng)以及謀取私利。
