每当提起移动设备的安全保护问题,其实我们自己就成了阻碍这一目标的最大敌人。尽管事实上很多朋友都会每周七天、每天二十四小时高度依赖于自己的移动设备,但绝大多数用户对于安全性事务似乎一无所知,研究人员做出了这样的论断。
根据赛门铁克公司发布的威胁调查报告,单就2012年来看,44%的成年用户完全不知道移动设备当中也存在着安全解决方案。而同样由这家安全供应商于 2014年4月发布的2013年安全报告中,这一比例更是上涨到了57%。研究人员指出,用户群体当中这种严重的指导与培训缺失只是一种表面现象。举例来 说,多年以来人们已经习惯于使用几乎不必过多考虑安全性问题的功能手机,因此在突然转向智能手机之后往往没有意识到需要为其安装安全应用程序。
展望未来,专家们一致认为,移动恶意软件与欺诈活动只会随着用户将更多丰富而敏感的数据引入其手机而变得愈发猖獗。这些设备通常也能够获取到来自企业的业务数据,因为大多数员工会不自觉地将自己的移动设备纳入生产力工具库。
除了使用层面的移动安全问题,移动设备丢失的情况也开始变得愈发普遍。根据一份消费者调查报告给出的结果,单在2013年就有140万台智能手机丢失或者被盗,而且从未得到恢复,这一数字高于2012年的120万台。
面对数量众多的设备与业务数据安全风险,没有任何一套解决方案能够以不变应万变地搞定移动安全难题。“时至今日,员工真的没有一种完美的方式来保护自己 的移动设备,”WellPoint公司IT事务副总裁Jamisson Fowler表示,这是一家总部位于印第安纳州波利斯市的医疗福利企业。“他们总是把问题归咎于自己犯下的各种失误,而且市面上也没有一款工具能够真正将 设备锁定起来。”虽然形势不容乐观,但我们仍然有办法让员工具备更为丰富的移动安全知识与事件应对经验。
下面我们将一同了解五种更有可能身陷移动安全风险的员工类型,并学会如何教导他们以更加积极的心态维护自己的设备及数据。
1. 不知情员工
有些人很容易受到社交工程欺诈以及钓鱼攻击的影响,因为他们根本没有意识到网络世界当中所潜伏的种种危机。在这种情况下,我们该如何培养他们识别并回避恶意人士那瞬息万变的攻击战术?
解决方案:主动钓鱼以培养安全意识
网络犯罪分子总是在寻找着“干一票大事”的机会,而移动设备已经成为攻击活动的最新前沿。那些在PC设备上被证实有效的攻击活动,完全可以被用于测试毫 无防备的移动用户是否会同样中招——而且鉴于大多数移动设备都缺乏良好的保护机制,这类唾手可得的目标当下可谓规模庞大。“攻击者们肯定会在整条流程链当 中寻找最为薄弱的环节”,而后将历史上最为成功的欺诈手段融入其中,Cyren公司CTO Lior Kohavi指出,这是一家总部位于加利福尼亚州麦克莱恩市的云安全方案供应商。
在德国医疗设备制造商Karl Storz GmbH公司,IT部门用于管理2200台移动设备的安全方案同时也负责着企业内部系统的保护工作。“我们希望让人们意识到钓鱼攻击的存在以及可能后 果,”位于加利福尼亚州埃尔塞贡多市的Karl Storz Endoskope子公司企业技术主管David O’Brien表示。
在内部系统当中,该公司实施了一整套培训项目,其内容从PhishMe到运行模拟邮件再到社交工作欺诈可谓无所不包,目的就是让员工在切肤之痛中了解安全 事务的重要性。在早期实践过程中,IT部门发现了令人震惊的结果:有大约70%的目标测试者心甘情愿点击了那些最基本的钓鱼欺诈链接,并将自己的ID以及 密码输入了进去。更可怕的是,其中还不乏一些“我手下最资深的IT人员”,O’Brien回忆道。
当然,恶意人士所采用的社交工程手段 不仅仅能够通过基于PC的系统起效,同时也能影响到移动系统。无论采用怎样的实施途径,受害目标总是指向那些无意中点击链接并下载恶意软件的受信用户,他 们的这些违规操作将导致攻击者能够进入企业内部网络并获取到敏感数据。网络钓鱼信息在移动设备上被打开后,也能够进一步感染到笔记本以 及企业业务系统,KnowBe4公司联合创始人Stu Sjouwerman指出,这是一家位于佛罗里达州清水市的安全培训企业。对于这一点,他给出了一项简单的忠告:“先考虑清楚再下手点击。”钓鱼欺诈实践 让Karl Storz公司的员工们意识到了恶意活动的存在,并帮助他们学会了如何回避此类攻击。
“这些不同类型的攻击将对任何设备造 成严重影响——无论是移动设备还是其它传统计算设备,”O’Brien强调称。“在我们的测试当中,全部终端用户当中约有20%没能在自己的iOS设备上 (iPhone或者iPad)经受住钓鱼考验。我敢肯定,未来的测试将包含数量占比更为可观的移动设备使用规模。”
在技术巨头 Raytheon公司,安全已经成为企业文化的一项重要组成部分。在这家位于马萨诸塞州沃尔瑟姆市的企业当中,遍布世界各地的63000名员工有约三分之 一利用智能手机以及平板设备处理日常工作,而其中“人为因素”永远是给安全保障造成最大困扰的环节,该公司便于业务服务IT事务副总裁Jon Aliber指出。
“最终能否实现安全保障还是得归结于个人,而且必须确保他们真正了解钓鱼鱼欺诈活动的套路与特征,”Aliber指出。Raytheon公司利用社交协作与博客工具来帮助员工及时获取并发现网络钓鱼活动。除此之外,该公司还要求每位员工每年参加一次在线安全培训课程。
2. 初次拥有自己移动设备的员工
那些第一次将平板设备或者智能手机拿在掌中的用户往往身处安全风险当中,因为他们不知道自己需要了解什么、或者说对哪些情况缺乏必要的认识。
解决方案:友善而非羞辱性的管理政策
WellPoint公司为大约五百名临床医生及服务协调员配备了iPad,他们的主要工作是照顾那些年事已高、失目或者身有其它残疾的居家病患。Fowler表示,大部分此类移动用户“几乎没有什么技术基础,甚至会对使用技术方案而感到有些不安。”
Fowler的团队很惊讶地发现,一部分此类员工甚至羞于或者害怕向IT部门上报他们不小心弄丢了iPad的状况。“人们更倾向于等上个几天,然后才承 认自己恐怕是把设备弄丢了——在此之前,他们认为自己只是处于寻找阶段——是的,直到这时候他们才‘确信自己的设备确实不见了,’”他回忆道。“有时候我 们发现这些移动设备其实是被盗了,但也有一些情况下、iPad只是被员工落在了家中——我们会通过定位服务来帮助员工将其找到。”但这种拖延不报的作法往 往会令设备以及其中的敏感信息面临泄露风险。
为了解决这一难 题,Fower的团队想出了两套解决方案。第一,为了降低临床医生与服务协调员们在不经意间将自己的iPad落在家中的可能性,IT部门为他们提供了专门 的便携袋、其体积足够容纳iPad外加其日常工作需要的文书材料。这部分员工还参加了培训,认识到一旦他们认为自己的设备不知所踪、应该立即与IT部门取 得联系。第二,为了确保员工在弄丢iPad后会切实加以上报,IT部门建立了一套友善而非羞辱性的管理政策,从而打消员工在上报之前所面临的心理斗争与疑 虑情绪。
“我们绝不会向任何弄丢了移动设备的员工大喊大叫。IT人员都很 清楚,自己不能这么干,”Fowler表示。“当医生们与iPad支持团队取得联系时,大家都热情地向其伸出援手。在这种情况下,虽然很多时候设备已经无 法找回,但我们却能够立即实施制定好的安全协议,从而避免后续事态的进一步恶化。”
为了在设备确实被盗时降低敏感信息泄露的风险,每一位新的iPad用户都需要接受培训,从而了解密码保护的重要性并在技术人员的指导下学习如何使用多个 密码。“我们通过在线会议的方式推进培训课程,学习内容除了设备本身之外、也包括设置密码的重要性以及如何将不同密码内容彼此隔离开来,”Fowler解 释道。“我们还会向学员们举例实例,告诉他们安全问题是如何在不经意间给大家带来麻烦的。”举例来说,他创建了一封伪造的钓鱼邮件,其中的内容与 Facebook上常见的欺诈信息非常类似、并包含有伪造的银行电子邮件询问部分。通过这类亲身体验,Fowler表示,员工会深刻地意识到:“如果我们 在不同设备上使用内容相近的密码内容,而日常使用的软件又需要涉及病患个人信息,那么鲁莽的使用心态将把自己和整家企业陷于安全风险当中。”
3. 心不在焉的员工
大多数人都认为自己的个人信息不能简单用价值来衡量,并愿意以严密的心态加以保护,但其中有些人却没有拿出同样的严谨态度来对待雇主企业的业务数据与设备。
解决方案:游戏化机制与其它“粘性”提醒方案
密歇根州政府必须时刻追踪公务员们在日常工作中所使用的约17000台智能手机与平板设备。就在去年,州政府工作人员丢失的移动设备总计256台,其中包括智能手机、平板设备以及笔记本电脑。
在过去,“坦率地讲培训就是一条死胡同,”密歇根州政府首席安全官Daniel J. Lohrmann表示。“只要PowerPoint这类演示文稿一亮,事情就算完了,”他指出长达一个小时的喋喋不休只会让人心生反感,连他自己都不相信 会有多少人能坚持看到最后。“所以我们把这套办法彻底抛开。”Lohrmann希望能够整顿州政府的安全培训机制。用户们反映原有培训方式太过枯燥、与实 际之间相距太远、他们从中学不到什么有用的东西。有鉴于此,他认为亟需出台一套简洁、包含交互环节、有趣、而且最重要的是能够真正让参与者们有所体悟的新 方案。
考虑到上述要求,他的团队拿出了一套新的培训体系,其中包含多节基 于主机游戏的课程。Lohrmann指出,其中他最喜爱的部分就是在机场环境下发现移动设备丢失或者被盗时,员工应该采取怎样的应对措施。这其实是安全工 作当中一项非常重要的课题; 根据由Credant Technlogies公司(如今已经被戴尔方面所收购)公布的2012年机场调查报告,单单是芝加哥、丹佛、旧金山、迈阿密、奥兰多、明尼阿波利斯以及 夏洛特这七座机场,当年由旅客丢失的无线设备就达到8016台。在这些被不慎遗失的设备当中,智能手机与平板设备占45%,而笔记本则占约43%。根据 Credant公司的报道,其中有约一半设备被归还给了失主,其余的则被捐给慈善机构或者进行拍卖。
培训课程提到了在机场环境下丢失设备的统计数字,并介绍了人们应该采取哪些措施来避免大家弄丢自己的移动工具。接下来有趣的部分就开始了。用户会在在线 游戏当中扮演一个类似于马里奥的角色,他们需要在90秒钟的时间内在机场中运用自己学到的理论知识、从而快速找到12台丢失或者被盗的移动设备。用户控制 的角色会在机场当中跑来跑去——途经值机柜台、美食广场、一条安全传送带以及有轨电车车站——而且每找到一台设备,系统都会发出“叮”的一声作为提示。 “员工们没人能在第一次参与时就将所有设备在时限内找到,因此他们会迫不及待地再玩一次,”Lohrmann不无得意地回忆道。
密歇根州现在已经正式推出了这一系列培训课程,而Lohrmann预计轻松有趣的设置将让员工们与他自己一样对此留下深刻的印象。
“这就是所谓‘粘性’。对我个人来说,我每次身临机场、脑海中都会浮现起这款游戏的画面,”他表示。培训课程“所做的是改变人们的行为模式。”
4. 技术天才型员工
精通技术的终端用户有时候反而会成为一种安全噩梦——特别是在他们掌握了如何对自己的智能手机进行重新配置、从而获取到管理员级别权限的情况下。
解决方案:比聪明的员工更聪明
恶意软件可能会给设备带来巨大损害,尤其是其拥有了管理员级别的控制权限。而Gartner咨询公司作出预计,认为到2017年半有75%的移动安全问题是由配置不当的应用程序所造成。
Karl Storz公司一直以严谨的态度对待着此类威胁。“我们是一家工程技术企业,因此拥有大量熟悉技术的员工,”O’Brien评论道。由于工作中所使用的智 能手机是由该公司提供的,“我还没有发现用户们对自己的手机进行重新配置,但这并不是说他们没有这种能力。信息就在这里、分散在每一台移动设备当中,单凭 IT部门根本没办法强行控制。”
根据Gartner公司的调查,目前最为常见的平台安全违规行为共分两种,其一为在iOS设备上进行“越狱”、其二为在Android设备上进行“rooting”。
这些行为相当于硬性提高了用户在设备上的权限,并从本质上将普通用户转化成了管理员。上述作法允许用户访问正常情况下禁止访问的特定设备资源,而且移除应用特定保护机制以及操作系统提 供的安全“沙箱”环境会令移动设备中的数据陷入风险。在这种情况下,恶意软件也有可能被下载到设备之内、并以此为起点引发各类恶意行为,包括获取企业业务 数据。根据Gartner的调查,这些存在违规情况的移动设备同时也更容易被攻击者进行密码内容修改。Gartner同时指出,目前最理想的安全防御方式 就是利用移动设备管理工具与政策对移动设备中以锁定。随着“容器”技术与应用程序防护机制的进一步增强,重要数据的保护能力也将得到逐步提升、移动安全性 目标亦会进一步变为现实。
IT安全领导者们也需要利用网络访问控制来阻断 接入到企业系统的连接,从而将那些存在可疑活动的潜在高危设备彻底隔离在业务流程之外。Raytheon公司就通过专业知识培训不断增强这些高技术水平员 工的安全意识,让他们主动反思自己的行为是否会对企业业务及行为规范造成破坏。“如果他们一意孤行、完全根据自己的意愿对移动设备加以使用……他们就此了 解到自己违反了公司的管理政策,并因此而感到尴尬而且自责,”Aliber表示。
此类管理政策只能算是广义数据安全战略当中的组成部分,其中还应当包括利用设备管理软件进行配置方案控制,以及将数据保存在云环境中而非直接使用移动设备自带的存储资源。
5. 习惯于过度分享的员工
某些员工总爱在社交媒体上分享太多信息资源,甚至有时候显得有些过度。也有一些喜欢把自己的设备拿给朋友或者家人加以把玩。
解决方案:阻塞漏洞
随着社交媒体的迅速兴起,雇佣大量年轻员工的企业往往会发现这些新生力量喜欢将前所未有的大量信息在社交平台上予以公开——而且这种行为及其背后的思维 倾向正变得愈发普遍。作为伴随着社交媒体长大的这一代年轻人,他们在进入劳动力市场后也仍然不会改变自己的行为习惯,这就要求企业密切关注他们对于敏感数 据的处理方式,C G Silvers咨询公司老总Chris Silvers指出,这是一家总部位于亚特兰大的IT安全咨询企业。“目前社交媒体上已经出现了大量此类信息——我们根本没办法将其一一回收,”他强调 称。
那些喜欢随意将信息共享在社交媒体网站上的员工很容易成为恶意人士的攻击目标,这帮坏家伙往往会假装成受害者的同事或者其他熟人,试图说服他们共享那些容易攻击的安全凭据、密码或者企业信息等等。
“无论何时,只要员工将社交媒体账户与特定活动或者工作电子邮箱地址绑定起来,那么指向业务数据的威胁也将由此产生,”Social-Engineer 有限公司首席人为黑客活动主管Chris Hadnagy表示,这是一家培训与咨询服务企业。“我们发现人们往往习惯于将自己的企业电子邮箱地址作为LinkedIn以及Facebook的登录账 号。欺诈人士可以通过在线方式搜索相关信息,并借此找到他们所发布的帖子、博文以及经常逛的论坛——在这里,总会有一些个人内容在不经意间被泄露出来。而 这些都是构成社交工程欺诈活动的重要线索。”
除此之外,教育也是一大关键。“员工们需要经过良好的教育,从而意识到如果他们有个人信息需要保护,那么来自社交媒体站点或者邮件的任何内容都不能轻易采信,”Hadnagy指出。
他同时建议称,大家应该制定专门的管理政策来控制社交媒体在日常工作中的使用方式。如果允许社交媒体介入,那么员工们应该专门创建工作账户与个人账户。 “在这种情况下,恶意人士还能在LinkedIn上找到他们吗?其实还是找得到,但这至少在一定程度上实现了隔离,”他表示。
过度共享也会带来其它一些意料之外的负面后果。Lohrmann指出,父母往往会为了哄孩子开心而允许他们在企业提供的智能手机或者平板设备上玩游戏或 者观看视频——这就导致此类设备有可能被不慎损坏,更糟糕的是、可能会被潜在的可疑网站当中的黑客以未授权方式加以访问。为了避免此类情况,企业雇主应当 制定书面的安全管理政策,禁止员工将由企业持有的设备出借给朋友或者家人。
作为文章的结尾,IT管理领导者们强调称,移动安全的另一大核心还在于如何在灵活性与生产效率之间取得平衡点。“我们确实保留了一定程度的灵活性空间, 允许员工根据需求及意愿对自己的移动设备加以使用,”Aliber指出。他同时提到,甚至下载一部分应用程序也是没有问题的。“但在面对保护企业数据这一 问题时,我们就绝不能再强调什么灵活性了。这是一套处于全面管理之下的环境。我们要平衡的是生产效率需要以及帮助企业实现业务提升的需求。”
如何利用基本MDM标准避免设备越狱?
移动设备“越狱”、或者故意对应用程序进行错误配置,到2017年将成为导致75%移动安全事故的罪魁祸首,Gartner公司作出预期。这家研究企业同时建议称,IT部门应当在面向Android以及苹果设备的移动设备管理战略当中加入以下几项重要步骤:
? 要求用户同意遵守基本的企业管理政策,并准备在情况发生变化时放弃其对访问控制的管理权。那些无法保证自有设备符合基本例规性要求的用户则只能告别访问权或者接受存在严格限制的访问方式。
? 为设备密码设定长度及复杂程度的最低基准要求,并制定严格的重试与超时管理标准。
? 指定平台及操作系统的最低与最高版本。未获准使用的模式不得进行更新或者为其提供支持。
? 强制推行“不越狱/不root”原则,且限制使用未经核准的第三方应用程序商店。存在违规情形的设备应该与业务数据源相互隔离,甚至根据具体管理政策对其内容进行清除。
? 要求利用应用程序登录以及安全凭证等机制访问企业邮件、虚拟专用网络、Wi-Fi网络以及受隔离应用程序。
原文发布时间为:2015年01月06日