企业实施BYOD的十大安全风险
对黑客来说,眼下可能是最好的时代,IT消费化、移动和云计算为他们通过恶意软件、社交工程、鱼叉式钓鱼窃取企业和个人信息提供了前所未有的可能性。
如今,BYOD已经成为IT消费化大潮中企业不得不面对的趋势,随着员工移动性的不断增强以及企业移动设备和移动应用的大幅增长,CIO们面临前所未有的安全挑战。以下是企业实施BYOD所面临的十大安全风险:
一、设备丢失或者失窃
在过去十年全球最严重数据泄漏事件,我们了解到设备丢失或失窃已经成为仅次于黑客攻击的信息安全事故原因,危害性甚至超过内部员工泄漏的情况。
部署围绕个人移动设备的BYOD方案意味着员工设备丢失的概率会比过去大大增加。虽然一些企业部署了远程擦除邮件、联系人等企业数据的安全措施,但是很多员工出于隐私的考虑不愿意让企业IT部门完全控制手机。这时候就需要在移动设备中将公司数据和员工个人数据隔离,在远程删除时只删除公司数据。
二、Android恶意软件激增
长期监控移动恶意软件的信息安全公司的报告无一例外都指出Android恶意软件的数量正在以惊人的速度增长。卡巴斯基最近发现超级间谍软件“红色十月”的网络攻击就包含了移动组件。F-Secure也侦测到Zeus和SpyEye网银木马也开始攻击移动设备。
三、云存储服务
Dropbox等移动云存储服务也是企业数据泄漏的隐患,例如IBM就禁止员工使用Dropbox这样的公共云存储服务,但是企业的CIO们也需要明白,对于云存储服务一味的封杀也不是办法,总会有一些极客员工会绕过安全措施,最好的办法是提供安全的替代方案。企业可以尝试部署Owncloud这样的开源私有云存储方案。棱镜门事件后,私有云产品创新加速,例如德国公司Protonet推出了面向中小企业的私有云一体机,Kickstarter上也出现了私人云Plug产品。
四、APP过度授权
虽然苹果、Google和微软强制要求应用开发者在程序安装前向用户说明需要调用的手机功能和数据。但遗憾的是大多数用户在安装应用前都不太关注应用的授权要求,通常都会不加思索就点“同意”。这位很多窃取个人隐私和手机应用数据的无德厂商和黑客打开了方便之门。安全专家建议对那些授权请求数量过多的应用要格外小心,这些应用往往会导致联系人、电子邮件地址以及使用者的位置信息的泄漏。(编者按:中国是Android恶意软件的重灾区,大量第三方应用商店已经成为恶意软件、木马软件和流氓软件的温床,企业CIO们在治理BYOD安全问题时首先要做的事情就是切断各种刷机、第三方应用市场的通道,统一使用官方Google Play应用商店和企业自有移动应用商店,同时根据应用授权请求情况设立移动应用白名单)
五、广告软件、间谍软件
越来越多的用户开始意识到从Google官方市场下载应用可以远离Android恶意软件, 但这还不够,因为攻击者发现了一个新的渠道——移动广告。
如今大量免费移动应用都以收集用户隐私数据为生,这些数据都被销售给广告网络。当这些应用偷偷背着用户收集数据时,就会被定义为广告软件(Adware)或者间谍软件(Spyware)。
六、邮件泄漏
虽然很多企业的BYOD方案都可以远程擦除移动设备中的数据,但是如果员工没有设置锁屏密码,依然会给未授权人员直接查看电子邮件的机会。目前一些企业在BYOD安全措施中增强了措施:每次查看电子邮件都需要输入密码。
七、无线AP
很多员工的移动设备都被默认设置成自动发现并连接任何无需密码就可访问的开放无线AP。这就为黑客在酒店、机场、咖啡馆等场所实施“中间人攻击”提供了极好的机会。企业BYOD方案应当强制员工在访问企业资源时必须启用V**。
八、软件漏洞与更新
员工如果没能及时对软件进行安全更新,就可能导致企业数据泄漏。但是不同移动设备的软件更新方式让问题变得更加复杂和棘手。例如苹果将软件更新推送到iPhone终端,而Google 的Android更新则更加碎片化,取决于运营商和设备制造商,步调也不统一,很多情况一个安全漏洞会存在很长时间得不到更新。(编者按:这个夏天Google与HTC和三星合作,在两大旗舰Android机型HTC One和Galaxy S4上安装纯净的“Google Play版”Android系统,取消所有来自厂商或运营商的定制功能和预装应用,从而消除不同机型的软件更新延迟甚至停滞。这标志着Google已经开始发力解决Android手机的碎片化问题,同时也是对其他Android手机厂商的一个警示)
九、员工绕过BYOD规则
一些企业限制特定设备访问企业网络,但总有一些员工能绕过这些规则。例如一些移动应用能帮助员工骗过网络访问控制规则,访问企业邮件日历等信息。
十、越狱和Root
如今无论是苹果设备的越狱还是Android设备的Root破解方法都变得越来越简单,很多热爱科技的员工都会尝试越狱。但是越狱会导致设备受到恶意软件攻击的风险大增。