熱點安全隱患:會讓你付出遠高于一杯咖啡的代價
安全專家表示,由于越來越多的公司雇員們通過Wi-Fi熱點上網,因此在無意識情況下泄露他們自己個人信息和職業信息的事件將越來越多。專家稱,盡管這些事件還沒有釀成轟動性事故,但是隨著對智能手機、筆記本電腦和其它移動設備的依賴與日俱增,這只是一個時間問題。
普華永道咨詢服務公司的信息安全總監Ryan Crumb稱,他已經看到了從熱點收集到的各種各樣的信息,包括社會安全號碼、公司財務數據以及關于并購交易的信息。有時候,Crumb會有意查看一下那些正在公共網絡上傳輸的未受保護數據。
他稱:“這是一個公共空間所與生俱來的問題。” Crumb的工作是與客戶一起發現和解決存在的安全隱患。他指出,發現這類數據并非難事,這些數據通常是通過電子郵件往來于熱點中。
(ISC)2政府事務總監信息系統安全認證專家Marc Noble稱:“熱點是咖啡店的一大特色。但是在咖啡店處理事務的人要明白自己必須要保護自己。他們的行為有可能如同將這些信息放在廣告牌上或大街上一樣。” (ISC)2 為全球信息安全專業人員提供教育及認證服務的非營利組織。
多數雇員并不知情
安全專家稱,盡管許多技術人員意識到這些被稱之為“黑洞”的安全風險,以及如何最大程度的降低安全風險,但是普通的雇員并沒有被告之,這也為數據安全埋下了隱患。
Crumb稱:“由于用戶希望能夠移動辦公,因此這對于解決這些安全隱患是一個極大的挑戰。他們希望在這些熱點上利用所有的設備得到他們的電子數據表或是簡報。但是他們使用的筆記本電腦可能會危害整個公司,因為他們使用的電腦沒有正確配置。”
與其他的安全專家一樣,Crumb認為沒有任何一種特別的計算設備能夠解決這一問題。他表示,多種因素聯合的作用導致了熱點在數據保護方面的問題。
其中的一個問題是熱點自身的問題。Crumb稱,不僅僅是無線設備,即使是有線互聯網連接也存在著安全風險。
他解釋稱:“隱患是公共接入點。風險是你無法控制其它的網絡。當你接入一個公共網絡,這就如同在沒有任何保護的情況下接入互聯網。你不知道你的鄰居是誰。”
Crumb稱,往來于這些公共網絡間的未加密信息能夠被那么知道如何查看的人所窺視。此外,他還指出,筆記本電腦、智能手機和PDA能夠與接入這些熱點中的其它設備進行對話,甚至當用戶并不希望這樣做時也會發生這種情況。
Crumb稱:“任何時候當你與他人共享你的網絡時,你的機器也將能夠與他人共享,你也就有機會截獲任何人的信息。”
中間人攻擊
市場分析公司Gartner公司的分析師John Pescatore稱,用戶非常容易受到中間人攻擊。在這些攻擊當中,黑客會刻意偽造一個合法連接以截獲信息。
Pescatore稱:“在這些熱點當中,黑客可以坐在你旁邊偽造出一個熱點,然后引誘你去連接他。”他稱,雖然這種情況并不經常發生,但是確實發生過。黑客然后使用這個連接窺探你的電腦,他們竊取的不僅僅是數據,還包括你的用戶ID號和密碼以訪問你的公司系統。
雷神公司資深信息保障工程師,信息系統安全認證專家兼信息系統安全工程專家Bob Batie稱:“如果這個黑客聰明到可以獲取你的用戶ID號和密碼,那么他一定知道如何使用它們。”
熱點所顯露出來的潛在安全問題對于公司的IT安全團隊來說并不陌生。不過網絡安全顧問公司SystemExperts集團的副總裁Brad Johnson稱,熱點數量的增加已經讓這些安全問題成為了他們迫切需要解決的問題。
他稱:“現實情況是,熱點數量的增加已經改變了整個使用環境。過去使用熱點的人相對要少,但是目前你在任何地方都可以找到熱點。”#p#
公司需及時制訂和更新相關規定
Johnson稱,目前許多公司在規定和實際使用方面經常相互脫節。
他解釋稱:“他們還沒有將熱點視為一個問題。當我們的雇員不在公司辦公室內時,他們被規定如何處理我們的數據呢?比如,盡管公司有規定禁止公司信息被傳輸到家庭電腦上,但是并沒有出臺嚴格的規定以防止雇員通過賓館的熱點向總公司發送帶有未加密的敏感數據的電子郵件。”
Johnson稱,即使連接是安全的,電子郵件也不會總是自動被加密,當有熱點存在時,移動設備不是被設置成自動與公司VPN相連。此外,移動設備的安全選項的設置往往并不正確,這也在無形中增加了它們的安全隱患。
Johnson和一些安全專家表示,盡管IT人員能夠找出雇員們使用熱點時存在的安全隱患,但是這并不意味著這些問題能夠被輕松解決。
Pescatore稱:“人們使用他們的筆記本電腦或智能手機辦公的需求無法被阻擋。這就是我們口中所說的IT消費化。”消費化讓IT人員更加難以完善公司對這些私人設備的規定和管控。
Batie稱,成本也是扮演了一個重要的角色。盡管使用VPN能夠帶來保護,但是并不是所有的公司都有充足的實力承擔起一個VPN。在當前惡劣的經濟環境中,公司不會主動增加成本,即使在安全方面,他們也是在努力壓縮資金預算。
人的因素也應當考慮在內
法律事務所Duane Morris LLP舊金山分部的合伙人Eric J. Sinrod長期以來都在關注這一問題。他稱,許多公司需要采取諸多措施以提前解決熱點所存在的潛在問題。
他稱:“有許多公司相當明智,并試圖提前解決這些潛在的安全隱患。但是并不是所有的公司都是如此。這一問題可以說是一個嶄新的領域。我們可能只是站在了一個浪潮的起點而已。我們不清楚這一問題是否會浮出水面。但是如果我們聽到關于熱點的安全事故越來越多,那么這個問題就必須要解決。”
Batie認為人為的疏忽也是影響熱點安全的一個因素。
他稱:“我想人們可能會誤以為他們的信息不是很重要,他們受到的安全培訓有時可能也不會充分發揮作用。”
這又將我們帶回到了Crumb通過熱點所窺視到的數據上。他稱,當用戶使用熱點時,他們必須對這些潛在問題擁有更大的自主決斷權。與此同時,IT人員也必須要盡可能的讓這些處置變得簡單起來。#p#
IT人員處置措施
Crumb稱,公司可以通過強制認證,比如自動連接VPN和自動加密來降低流氓熱點所帶來的安全隱患。此外,公司還需要為所有用于辦公的設備及時提供補丁管理、完善制度和操作規程以確保IT人員能夠讓所有雇員的設備都能被正確設置。
Johnson稱,另一個需注意的設備為無線上網卡,因為該設備將直接用于與寬帶連接。換句話說,無線上網卡是一個能夠與你的寬帶運營商連接的USB網卡,也被稱為無線寬帶卡。他指出:“由于你能夠在運營商提供服務的任何地方使用無線上網卡,那么它們也就成為了熱點的備用設備。”
按照這個思路走下去,你的運營商服務覆蓋區域實際上也是一個重要的因素。依據你正常工作和生活的地方以及運營商服務覆蓋區域,它可以給你帶來便利或是不利。Johnson稱:“隨著運營商服務覆蓋范圍的增加,這個問題的重要性已經降低,雖然設備越來越小,但是覆蓋范圍卻越來越大。”
多數寬帶運營商都推出了價格不等的套餐,但是與通常免費使用的Wi-Fi相比,這相當于增加了用戶的成本。盡管如此,還是值得花這個錢。Johnson稱:“與熱點比起來,無線寬帶上網卡更為的安全。因為它在你的控制之下,你直接與運營商建立連接,而不是通過熱點設施。”
Johnson稱:“另一個策略是IT團隊主動出擊,任何時候在公司網絡內都保持一個觸點,只要這些設備接入公司網絡,它就能夠對設備進行檢查以確保設備被正確設置。”
通過設置終端用戶機器和設備,這些機器和設備每次連接公司網絡都能夠被掃描,不過這樣做法會讓那些希望快速進入工作狀態的雇員出現耽擱。雖然Johnson知道會發生這種情況,但是他表示耽擱時間僅僅是幾秒鐘,在進行IT培訓時必須要讓使用者養成習慣。此外,他還表示:“這個費用,無論是公司出的,還是由雇員自己出都可以讓網絡環境變得更為安全。”
Crumb強調,防止通過熱點泄露重要數據以及杜絕此類重大事故發生的關鍵是盡可能的采用自動安全防范措施。他稱:“這就如同電話機,安全時刻發揮著作用。為了確保安全時刻起作用,IT人員采用的措施越多,我們就越能達到目的。”(范范編譯)#p#
相關鏈接一
IT可采取的保護數據避免熱點危險的步驟
·對于試圖接入企業網絡的設備建立和強制執行身份識別政策。
·要求員工在進行連接和交換數據的時候使用企業虛擬專用網;設置員工計算機,在保證計算機或者設備沒有丟失或者被盜之后,讓設備自動連接到虛擬專用網并且加密數據。
·保證正確地設置所有的設備和軟件應用程序并且使用最新的補丁。
·保證企業安全政策阻止員工向移動設備或者非授權的計算機傳送敏感的數據。
·使用需要一個服務計劃的無線卡,不要使用熱點進行無線連接。(胡楊編譯)
相關鏈接二
此事為什么很重要
Gartner分析師John Pescatore說,企業在既成事實之前一般都沒有認識到什么數據被通過熱點攻破了。但是,這種錯誤的代價巨大是沒有疑問的。考慮一下非盈利機構Ponemon Institute LLC和這篇報告的贊助商PGP Corp在今年1月發布的題為“數據突破的代價”的報告的一些要點。這篇2009年的研究報告研究了45個機構的數據突破事件。
根據這篇報告的研究結果,2009年機構數據突破的平均損失從2008年的665萬美元增加到了675萬美元。每一次被攻破的記錄的數據突破成本從2008年的202美元提高到了204美元。
在2009年的研究報告中,42%的案件涉及到第三方的錯誤;36%的案件涉及到丟失或者被竊的設備(包括筆記本電腦);24%的案件涉及到導致數據丟失或者被竊的惡意的或者犯罪分子的攻擊。
機構應用了廣泛的工具防止未來的數據突破,67%的機構使用培訓和熟悉計劃;58%的機構使用人工程序或者控制,58%擴大加密的應用。
然而,Ponemon在3月份發表的一篇報告對957名美國的IT和企業經理、分析師和官員進行了調查顯示,只有21%的機構對于自己的整個機構采取了一致的加密戰略;74%機構有某種類型的加盟戰略。
Crumb說,這個事情與設備或者提供商沒有關系。提供商的任務是提供不受約束的接入到互聯網的服務。采用這種沒有約束的接入服務也帶來了風險。因此,消費者應該真正地把公共接入點當作骯臟的東西。(胡楊編譯)
【編輯推薦】
