所有这些都存在通过破坏安全措施安装禁止的第三方应用程序进行越狱或者获取 root 权限的可能。被感染的 BYOD 连接到企业网络是另一个安全问题。步行无线窃听者可通过将数据从 BYOD 上传到个人设备来窃取企业数据。本文将学习如何使用针对基于云的 BYOD 环境的安全策略来保护企业资产。
为了保证基于云的 BYOD 环境中的安全性,您需要一个完备的、明确的安全策略。本文介绍了围绕越狱的潜在风险、共享设备问题,以及如何通过制定一个适合所有设备的安全策略来保护企业资产。
概述
您不能像 iPad(和 iPhone)用户越狱自己的设备那样越狱您的 BlackBerry。与 Apple 不同,BlackBerry 允许在设备上使用许多第三方应用程序。iPad 用户将自己的手机越狱是为了访问某种类型的应用程序,而 BlackBerry 用户已经拥有访问这类应用程序的权限。如果 BlackBerry 用户没找到他们想要的第三方软件,那么他们可能会尝试越狱 BlackBerry Playbook,安装 Android 和 Apple 软件。当然,他们要承担越狱设备保修无效的风险。
有两种越狱方法能够破坏 BYOD 设备上的安全措施,安装第三方应用程序。第一种方法涉及用户与设备的交互,不允许远程攻击者破坏用户数据或者设备的完整性。用户必须拥有设备,并具有该设备的有效用户证书。用户至少能进行更改,这需要:
将设备网络共享到另一个设备或计算机(例如,通过 MyFi,一个支持作为 WiFi 热点共享的 iPad 应用程序) 作为 root 用户,访问设备上某个授权用户账户 作为授权开发人员,通过进入开发人员模式更改设备的默认设置。如果用户不是授权的开发人员,那么开发人员模式可能会对完整性产生危害。
第二种越狱方法涉及的用户交互比较少。远程黑客发送软件 bug 会利用 Web 页面获取所有设备上的 root 访问权限。这种情况只在用户访问危险页面时才会发生。
噩梦场景 #1:受感染的 BYOD
Bob 的公司允许他使用个人 BlackBerry 作为一个被认可的 BYOD 来访问 SaaS 应用程序。公司没有询问 Bob 是否还有其他个人设备。Bob 也没有主动告诉公司他在家还有一个 iPad2,一个 MacBook 和笔记本。
某天在家
Bob 越狱了自己的 iPad2,然后安装了 MyWi,作为 WiFi 热点进行了以下操作:
使用公司允许的个人 Blackberry 作为无线调制解调器(通过蓝牙)。 将他的 Macbook 和笔记本连接到 iPad2。 通过 WiFi 将所
有的个人设备连接到互联网。
Bob 使用他的笔记本访问网页,这个网页含有恶意软件 bug。这个漏洞通过 iPad 未加密的无线连接(连接到公司网络)感染了所有设备。
断开所有从 WiFi 连接到公司网络的设备,Bob 重新连接了已经被感染的 BlackBerry,作为独立调制解调器访问 SaaS 应用程序。当应用程序将数据下载到 BlackBerry 后将设备从云中断开。
第二天在办公室
Bob 回到公司与 C 级别的主管开会。当他打开自己公司允许的 BlackBerry 后,发现下载的数据和所有公司信息都变成了无用的垃圾,此时为时已晚,丢失的信息包括:
企业联系人 公司日历 SaaS 访问信息 Blackberry 登录
噩梦场景 #2:步行无线窃听者
Brenda 是 Acme 公司的员工,公司允许她将自己的移动设备连接到公司网络。她的设备是一个 BlackBerry,安装了许多 RIM 预装的应用程序,以及个人使用的第三方应用程序。当 Brenda 将她的设备连接到公司网络时,她能够获取公司允许的应用程序,包括条形码扫描器。
Brenda 花了点时间,步行到附近的一个商店,那里有良好的手机接收信号。她用自己的 BlackBerry 扫描办公用品的条形码价签。如果价格无误就把商品放进购物篮。继续购物,直到买完所有她需要的东西。
在购物的时候,Brenda 没有意识到自己已经成为了步行无线窃听者的受害人(提示:身处同一家商店的业务竞争对手)。当 Brenda 扫描价签时,步行无线窃听者使用自己的设备从 Brenda 的设备上窃取了敏感数据。Brenda 的设备没等到任何关于一个移动无线窃听者正在上传公司数据的提示。Brenda 只注意到她的设备比以往稍微热一点。
第二天,移动无线窃听者就非法获取了 SaaS 应用程序的权限,然后向应用程序发送恶意数据攻击。
网络共享设备的安全性
当设计可连接设备的安全策略时,需要考虑的主要属性有:
蓝牙是否能够关闭? 无线连接的加密强度如何? 在出现一定次数的密码登录错误之后应该怎么办?锁定?还是数据擦除?
其他需要解决的问题包括:
您(和公司)能支持或者不支持
什么样的应用程序? 您的公司使用什么样的企业服务器、
改善移动设备的安全策略?移动设备管理 (MDM)? 设备是否能被越狱、获取 root 权限、或者被黑客攻击?
网络共享策略制定
当制定网络共享策略时,您需要了解各个设备的具体问题。
RIM 设备 RIM 开发了一个高级网络共享系统,用于 PlayBook 和 BlackBerry 智能手机,可以通过企业 IT 部门的策略集进行控制。PlayBook 有两种模式:蜂窝和 WiFi,或者只有 WiFi。
您需要将您的 BlackBerry 设备注册到 Blackberry 企业服务器 (BES),这样 IT 部门就能在最大距离(介于支持蓝牙的手机和 Playbook 之间)上设置策略。如果 Playbook 移动设备超出了设置的距离,网络共享就会自动终止,并且手机上的数据不会保留在平板电脑上。
您可以允许公司多个员工共享一个 Playbook,每个员工可以在不同的时间将自己的 BlackBerry 共享到平板电脑。
当您将 BlackBerry 智能手机连接到 Playbook 时,您可以设置设备:
防止它与支持蓝牙的设备共享内容。 加密您用蓝牙技术接收和发送的数据。
防止使用 GPS 技术的无线窃听者追踪您的位置。 Android 设备 考虑到您的 Samsung Android 设备和平板电脑上的 Afaria Advanced Enterprise Security。管理员可以: 强制进行移动设备加密、远程设备锁定、远程应用程序和数据擦除、强密码安全,并设置用户和应用程序的黑名单。 控制应用程序的安装和卸载、蓝牙、WiFi、摄像头和话筒。 执行网络共享策略,无论哪个设备网络共享 Android 平板电脑。 允许使用射频标识 (RFID) 阅读器,直接将 UHF Gen2 RFID 读取到 Samsung Galaxy 平板电脑的电子表格中。 Apple 设备 在飞行模式下,Apple 设备关闭所有无线功能,遵守航空规定。这可以防止您使用外部键盘访问 SaaS、PaaS 或者 IaaS。您也无法将手机共享到平板电脑。
联系您的管理员,将您的 iPad 注册到 iO4 移动设备管理 (MDM) 服务器(请参阅 移动设备管理,获取有关的更多信息)。
Windows® 移动设备 Windows 移动设备有一层或双层访问。有双层访问的设备具有较好的许可选项。一旦签名的应用程序开始执行,应用程序许可(特许的和一般的)由证书确定。
如果用户允许执行未签名的应用程序,只能用一般的许可执行。不过,用户可能不允许在面向 SaaS 的双层设备上安装未签名的应用程序。在面向 PaaS 的双层设备上,可能会要求用户请求安装未签名应用程序权限。
想要将 Windows 移动设备连接到 BSE,您需要使用 BlackBerry 连接技术。Windows RT 和 Windows 8平板电脑在 iPad3 发布后即可使用。
移动设备管理
使用 MDM,公司能够应对员工对设备提出的各种不同需求,还能提供可与 BES 媲美的安全性。所支持的平台范围也增加到包括 Apple 的 iOS 和 Google 的 Android。虽然 Apple 的 iOS 有所改进,但是 BES 为 MDM 提供了最安全的环境。
对于 Blackberry,MDM 有两种形式:服务器和云。云版本提供了 Blackberry Business Cloud 服务。
MDM 服务器管理员可以:
配置您的移动设备设置。 在移动设备上从强制限制列表和授权安装应用程序列表中查询设备信息。 通过远程擦除、远程锁定和设备密码删除来管理设备。
MDM 软件用于确保所有用户都已注册,向系统管理员(和 IT 部门)发送关于以下内容的警报:
哪个用户是注册用户,哪个不是 哪个设备已被越狱 哪个设备正在运行许可的、禁止的和强制的应用程序 角色违规有什么处罚
要与 MDM 服务器通信,在设备上必须安装小型客户端。服务器通常与 LDAP 目录相连接,至少可以找到员工位置、部门、职位和主管。
可使用客户端与 BES for Microsoft® Exchange Server、IBM® Lotus® Domino 和 Novell GroupWise 进行通信。作为配置的一部分,MDM 服务器可提供 WiFi(和 VPN)设置来确保连接安全性。
如果在您的企业中有多个 MDM 域需要管理,那么可以考虑 Blackberry Mobile Fusion Studio。您可以在浏览器或者任何计算机中打开 BlackBerry Mobile Fusion Studio。您可以与其他设备同时访问 BlackBerry Mobile Fusion Studio 的管理员分享管理职责。