不久之前,典型的企業(yè)IT用戶(hù)的辦公桌上是一臺臺式電腦,有些人可能還會(huì )得到一臺筆記本電腦用于出差和偶爾的遠程辦公,或者可能還有企業(yè)發(fā)放的黑莓手機用于手機服務(wù)和訪(fǎng)問(wèn)電子郵件及即時(shí)消息。
然而,現在的情況已經(jīng)發(fā)生了很大的變化:很多企業(yè)為每個(gè)用戶(hù)配備一臺筆記本,而不是臺式機,并且,很多員工還可以得到功能強大的智能手機和平板電腦。除此之外,隨著(zhù)BYOD趨勢的興起,用戶(hù)開(kāi)始使用自己的筆記本、智能手機和平板電腦進(jìn)行工作,而最終的結果是,一個(gè)員工通常要使用多種設備用于工作。
可以說(shuō),多樣化移動(dòng)設備的崛起突然而劇烈。對于企業(yè)網(wǎng)絡(luò )和安全管理人員而言,在設備連接到企業(yè)網(wǎng)絡(luò )后,他們經(jīng)常會(huì )看到設備中的平臺是他們從未見(jiàn)過(guò)的新平臺,這是很普遍的現象。
不幸的是,移動(dòng)設備安全已經(jīng)遠遠落后于移動(dòng)設備技術(shù)的進(jìn)步。智能手機和平板電腦的漏洞水平逐漸趕上臺式機和筆記本,因為它們都是基于相同的軟件,但智能手機和平板電腦缺乏臺式機和筆記本的內置安全控制,例如基于主機的防火墻和入侵檢測系統。為了緩解這個(gè)漏洞問(wèn)題,企業(yè)應該添加適當的第三方安全控制到移動(dòng)設備作為移動(dòng)設備管理(MDM)戰略的一部分。本文提供了關(guān)于MDM安全戰略做法的幾個(gè)實(shí)用的技巧,以期更好地保護移動(dòng)設備和數據。
使用MDM軟件
MDM軟件已經(jīng)成為移動(dòng)設備的首選基本安全控制,并且,在部署你的MDM戰略時(shí)必須要考慮它。它為移動(dòng)設備安全提供了集中管理,可以保護存儲在移動(dòng)設備上的和由移動(dòng)設備訪(fǎng)問(wèn)的敏感數據。它可以“照顧”所有基本操作系統安全控制,例如安全地安裝補丁和配置操作系統。它還添加了不同的數據安全控制,包括存儲加密、設備控制和數據丟失防護(DLP)技術(shù)。對于企業(yè)控制的移動(dòng)設備(包括筆記本)而言,MDM軟件是最容易部署和使用的軟件,但MDM也可以為有限數量的BYOD設備部署和使用。
專(zhuān)注于數據 而不是操作系統
盡管移動(dòng)操作系統帶來(lái)了很大的安全挑戰,企業(yè)已經(jīng)能夠相對較好地保護它們,當然,這主要歸功于MDM軟件的崛起。同時(shí),數據已變得更有價(jià)值,特別是財務(wù)數據和個(gè)人身份信息。毫不奇怪,攻擊者已經(jīng)將其重點(diǎn)從利用操作系統漏洞轉變?yōu)楂@取數據。單個(gè)數據泄露事故可能讓企業(yè)損失數百萬(wàn)美元,而單個(gè)移動(dòng)設備的丟失或被盜就可能導致這種事故。
企業(yè)需要考慮其數據可能的位置,并保護這些數據,抵御多種威脅。DLP技術(shù)和介質(zhì)加密(包括內置和可移動(dòng)介質(zhì))已成為關(guān)鍵。幸運的是,移動(dòng)操作系統已經(jīng)開(kāi)始提供介質(zhì)加密,而DLP技術(shù)和介質(zhì)加密都可通過(guò)MDM技術(shù)提供。
讓敏感數據遠離移動(dòng)設備
這個(gè)規則可能看起來(lái)很簡(jiǎn)單,但企業(yè)通常會(huì )因為沒(méi)有堅持這個(gè)規則而遭受重大泄露事故:確保企業(yè)敏感數據遠離用戶(hù)的移動(dòng)設備。如果敏感數據從來(lái)沒(méi)有駐留在移動(dòng)設備上,這些設備的丟失或被盜對企業(yè)的影響要小得多。企業(yè)不應該將敏感數據存儲在移動(dòng)設備上,而應該集中存儲敏感數據,并僅為移動(dòng)設備用戶(hù)提供必要的數據,最好是該數據的圖像。這最大限度地減少了數據暴露風(fēng)險。
阻止基于Web的惡意軟件
惡意軟件的威脅逐漸成為移動(dòng)設備的噩夢(mèng),特別是對于基于web的惡意軟件。企業(yè)通常會(huì )依賴(lài)web安全網(wǎng)關(guān)來(lái)檢測和阻止這種惡意軟件。不幸的是,隨著(zhù)移動(dòng)性的增加,這些網(wǎng)關(guān)并沒(méi)有什么用,因為移動(dòng)設備通常在外部網(wǎng)絡(luò ),并且通常不使用這些網(wǎng)關(guān)。我們有兩個(gè)辦法來(lái)解決這個(gè)問(wèn)題:為移動(dòng)設備部署web安全控制(可能通過(guò)MDM策略)或者強迫企業(yè)的移動(dòng)設備通過(guò)中央代理服務(wù)器“路由”流量,這可能包括網(wǎng)絡(luò )安全控制,例如web安全網(wǎng)關(guān)。雖然后面這種方法可以提供很高的安全性,通過(guò)對所有移動(dòng)設備流量部署企業(yè)級網(wǎng)絡(luò )安全控制,但這也會(huì )帶來(lái)顯著(zhù)的成本和性能問(wèn)題,因此,企業(yè)在部署這種解決方案之前需要進(jìn)行仔細評估。
