在工作中允許使用個人移動設備？這將會給你的企業(yè)帶來新的風險。你的安全策略準備好了嗎？

Jesse Kornblum并不是你想象的那種典型的馬路勇者（花很多時間在作商務旅行的人）。作為一個計算機取證專家，他擁有一個安全服務咨詢公司，他的專業(yè)領域就是信息安全。但在國外旅行時，Kornblum第一次承認自己害怕——或至少是持謹慎態(tài)度的——縱是學富五車，也愛莫能及。他的安全專業(yè)知識并不能夠完全地保護他和他的雇主們。

他即將到巴西出差。“你看，我是個單身小伙子，巴西的派對非常有名。”他說，很可能一些“新熟人”或者“老熟人”（數據盜賊）什么的就會參觀他的房間，那么他的手機或筆記本電腦被下黑手的風險也就會大大地增加。驅動拷貝是一種非常嚴重的威脅，它能將設備信息全部竊取，非常徹底。再有可能的是：一個經驗老道的攻擊者會對Kornblum的手機或者筆記本電腦植入軟件并進行遠程監(jiān)控。

“Kornblum關注的并不是哪個胡言亂語的電腦取證專家挑戰(zhàn)了某個血腥網絡攻擊等等這種事件。”安全廠商Rapid7的首席技術官HD Moore說，“他出國的時候，帶來了一個裸機上網本，并在上面安裝了數據加密程序、BIOS和驅動器啟動密碼。”

Moore臨時起意，還將其增設了防篡改功能。他曾看到過他的上網本外殼螺絲被拆下一半的樣子，外殼空蕩蕩的螺絲孔中搗碎的Altoids牌的口香糖粉末已經露了出來，肯定是有人對他的電腦下過手。他說，有一次他在上海，離開了放筆記本的房間，而且房間里面空無一人，然而當他回來的時候，發(fā)現(xiàn)螺絲孔中的粉末已經不見了，而且BIOS密碼也已經被消除了，看來那些人已經得手。

正如Kornblum和Moore一般，這些流動性越來越強的工作人員所帶來的安全挑戰(zhàn)，讓企業(yè)們冥思苦想。原因顯而易見：如今的工作場所已經發(fā)生了翻天覆地的變化，臺式機與客戶端到服務器的辦公室大型主機的架構已經漸漸消失。盡管這一次的筆記本風波只是虛驚一場，然而目前，面向消費者移動設備的攻擊卻越來越多，包括筆記本電腦、智能手機和平板電腦。

因為BYOD（bring-your-own-device）的出現(xiàn)，讓如今的工作場合都在發(fā)生著變化，但同時，若是沒有一個面向BYOD的新策略和防范計劃，將會讓你的企業(yè)陷入到新的困境當中。

風險都在哪里？

一份Forrester Research的調查顯示，大多數員工都可以在辦公室內使用移動設備，當然這并不是說讓他們用這些設備來玩憤怒的小鳥。超過3/4的員工在工作中使用智能手機，63%的人使用平板電腦訪問公司內部網絡或者用其它設備來訪問門戶網站。此結果的依據來源于美國、加拿大、英國和德國的70位高管。有82%的受訪者說，他們在工作中使用智能手機閱讀或者查看文檔、演示文稿、處理電子表格等。移動企業(yè)用戶將趕超微軟Outlook等桌面應用程序的用戶，比如SharePoint、WebEx和Documentum。

企業(yè)都在為移動設備敞開大門。根據《信息周刊》2013年的移動設備管理預測和307份企業(yè)技術安全調查，有75%的技術主管預計增加員工自有設備訪問業(yè)務資源的功能。

伴隨著蘋果iPad、iPhone以及Android手機的來襲，BYOD策略正在逐漸影響著我們的企業(yè)以及工作方式。

然而不幸的是，隨著移動設備使用率的增加，卻并沒有一個更加完善的安全策略和工具來管理這些設備。“大多數公司還沒有一個正式的策略” SophosLabs的首席研究人員Vanja Svajcer說道。SophosLabs是防病毒軟件開發(fā)商Sophos PLC的惡意代碼研究小組。他解釋，大部分企業(yè)是擁有安全策略的，其中也包含個人電腦的管理項目。而就目前的趨勢而言，對于BYOD來說，企業(yè)必須放寬對這些策略的要求或者作出相應的調整，從而以適應更多的移動設備。這就意味著新的IT架構可以讓員工將他們自己的個人設備與企業(yè)資源相連接，例如辦公室的Wi-Fi網絡，微軟的Exchange郵件服務器或是一個內容管理系統(tǒng)。

咨詢公司普華永道會計事務所發(fā)現(xiàn)，在2012年的全球國家信息安全調查中，36%的受訪公司都有一個移動安全策略。在Kyrus，個人設備的使用非常普遍，但Kornblum承認該公司并沒有對員工使用這些設備進行有關的硬性規(guī)定。“我們是一家超過15人的小公司。”他說“我們總說人們并不傻，他們都知道移動設備的使用會帶來一些問題，而我們的業(yè)務就是研究安全問題出在哪里。”

在安全策略薄弱的企業(yè)中，“先訪問后安全”的方式會增加各種風險，包括移動設備中的任何東西，特別是那些軟件和應用程序的漏洞非常容易造成數據丟失。

哥們，瞧見我的手機了嗎？

雖然媒體關注的往往是比較少見的手機惡意軟件，然BYOD面臨的最大威脅則是設備的丟失和被盜，以及移動設備中存儲的企業(yè)敏感數據。因為大容量的硬盤和基于Web的應用程序越來越流行，智能手機與平板電腦就像筆記本電腦一樣，快速成為敏感商業(yè)信息的存儲庫，例如電子郵件或是演示文稿、登錄密碼等這類信息。但這些移動設備非常容易放錯地方。

讓他們給硬盤進行加密并設置復雜的密碼才能保護這些設備。“但大多數手機都不具備中央控制的功能”網絡安全公司Sourcefire的開發(fā)副總裁Al Huger說，“你需要有一個專門為手機而制定的標準化加密政策，但若終端上沒有軟件的話卻很難執(zhí)行。”

Huger說：“然而，在雇員的私人設備上安裝遠程管理應用程序是一個非常敏感的問題。”并不是每個員工都想讓他們的老板對他們的私人設備有遠程管理的能力。#p#

因APP而導致數據失竊

無論是合法的還是惡意的移動應用程序都會讓那些對風險很敏感的公司產生巨大的擔憂。移動設備中會存在很多不安全因素，一些惡意的或是編碼不完全的應用程序會安裝在他們的設備當中。

“6月份，Lookout手機安全軟件檢測到30000種不同的移動惡意軟件，而在6個月前，惡意軟件的數量才只是3000。相對來說，移動惡意軟件仍然是比較少見的，但其發(fā)展卻非常迅猛，因為對于網絡犯罪團伙來說它是有利可圖的。話費欺詐程序在移動惡意軟件的種類中是增長最為快速的。這些程序會濫用SMS短信服務，通過受感染的手機向特定號碼偷偷發(fā)送短信，然而機主卻要負責繳費。”Lookout公司對我們說，“在未來，移動威脅會越來越多。”

Sourcefire公司的分析師Huger發(fā)現(xiàn)：普遍的惡意軟件，特別是存在于谷歌Android設備中的惡意應用程序都會在企業(yè)網絡上“作怪”。受到感染的移動設備可以通過藍牙或其它技術手段掃描企業(yè)網絡，竊取數據或感染其它設備。“筆記本電腦和智能手機看起來似乎是不同的，但是打開機殼它們仍然都是電腦。”他說。“被破解的iPhone就是一臺Unix主機”Huger解釋，iPhone的操作系統(tǒng)源自蘋果基于Unix的OS X系統(tǒng)。“通過SSH你可以登錄到遠程，一旦連接成功就可以用它來進行公網IP的掃描。”

企業(yè)所遭受的更大威脅是來自于那些合法的，非惡意的應用程序——其中有許多與工作無關的應用，它們可以巧妙隱蔽地暴露公司的數據或是窺探一些隱秘的資源。

安全資訊公司N4Struct的一名創(chuàng)始人Aaron Turner告訴我們，從他客戶的網絡審計當中就發(fā)現(xiàn)過這種類型的問題。

“比方說，企業(yè)讓移動設備的本地聯(lián)系人、電子郵件、日歷與Exchange服務器相連。” Turner斷定，“現(xiàn)在，假設Linkedln的移動應用程序申請權限，用來查看和復制你的所有聯(lián)系人。若是企業(yè)通過了這個申請，那Linkeln豈不是得到了一份完整的企業(yè)全球地址列表的副本嗎？當然，流氓應用程序與企業(yè)數據這兩方面的問題也存在著很多矛盾，并不是每個人都能夠理解這其中的原因。”

Lookout的CTO Kevin Mahaffey介紹：“BYOD存在著無法預估的風險，因移動應用程序的使用而造成了一些很難預測的‘下行風險’。如果某人的Windows密碼非常簡單，那么企業(yè)可能會非常擔心。但他們Dropbox賬戶的密碼也同樣簡單嗎？現(xiàn)在，企業(yè)會關注每個人的設備密碼是否達到了標準強度。”移動設備，再算上高速寬帶連接和基于云計算的服務，現(xiàn)在員工所使用的每一個密碼都與企業(yè)息息相關——不僅僅是那些用于訪問企業(yè)資源的密碼才值得我們注意。#p#

統(tǒng)一規(guī)范策略

設備丟失？軟件漏洞？惡意軟件？企業(yè)該拿這些風險怎么辦？讓專家來給我們一些建議吧。

理想的情況是：讓員工的移動設備應與企業(yè)的筆記本電腦、臺式機和服務器一樣，遵循同樣的安全策略，以便保護企業(yè)安全。但問題是并沒有一個“統(tǒng)一政策”來管理它們。每家企業(yè)都有自己獨特的BYOD安全政策。這里我們列舉四種常見的規(guī)則，幫您鞏固企業(yè)安全。

1.了解你的敵人（和你的朋友）

現(xiàn)實總是殘酷的，如今許多企業(yè)的IT安全漏洞百出，故障頻出。消費電子設備所造成的風險令人擔憂，數據丟失和程序感染讓高管們的心都提到了嗓子眼，但這也許并不是壞事。

“我參加過一場辯論，其內容大概是講：為了企業(yè)的內部安全要不要將BYOD進行功能強制，并采取一些措施以便減少易受攻擊的環(huán)節(jié)。” 隸屬于Rapid7公司的Metasploit滲透測試工具的創(chuàng)造者Moore說。在一個BYOD環(huán)境中，移動設備的問題也有可能會轉變成哲學上的思考。

“對手機和平板電腦需要特別注意，” Lookout公司的Mahaffey說，“內涵敏感數據的電子郵件和文檔，以及內部應用程序都是企業(yè)寶貴的資產。”“如果用戶們知道這些產品都存在著一些漏洞，他們可能會對手機賦予更多的關注——至少更換一個電子產品跟換一個錢包是差不多的。”他說。

“有兩個方面企業(yè)需要了解：他們需要知道員工都有哪些設備，這些設備是如何影響企業(yè)安全的？這些設備都存在著哪些風險？” Matt Dean說，他是安全管理軟件FireMon公司的首席營運官。“你要管理和控制你所碰到的那些風險，所以如果在你的無線網絡中顯示了一個移動設備，那么你就要明白這對你的網絡意味著什么。”

2.減少脆弱環(huán)節(jié)

“確保BYOD環(huán)境安全的另一個準則是減少脆弱環(huán)節(jié)。企業(yè)應少去關注那些小眾的移動攻擊媒介，對于自己的辦公環(huán)境以及Wi-Fi基礎設施的安全性要給予高度的重視。” Rapid7公司的Moore說。

他告訴我們，在許多企業(yè)里，辦公室的Wi-Fi網絡中那些占用大量帶寬的移動設備才是BYOD安全中的唯一的致命弱點。“撇開移動設備不談，若你的Wi-Fi網絡中存在著流量泄露或是一些惡意接入點，一個攻擊者就可以用自己的機器進行攻擊，而與你企業(yè)中的移動設備就毫無關系了。”他說。

有的公司也會考慮在辦公室內禁止使用無線連接——盡管這會讓員工覺得不高興或是不方便。而更多企業(yè)選擇的是繼續(xù)使用Wi-Fi網絡，但會進行相關的設置，讓移動設備所使用的網絡與企業(yè)內網隔離開來，并且要進行嚴格的篩選和實施安全接入等策略。例如：使用Web過濾工具防止?jié)撛诘奈ｋU或是屏蔽非工作網站，以及應用入侵防御軟件或移動設備管理工具等，對于不符合安全要求的設備是嚴禁接入網絡的。

對Wi-Fi基礎設施做定期的安全審計也是一個不錯的主意。這樣做可以確保員工或是攻擊者并沒有設立非法接入點，也可以察覺出那些可疑的網絡或是無線通信。

3.制定規(guī)則

“若你想進行BYOD的實驗，你必須考慮要在何處以及如何執(zhí)行這些規(guī)則。”Sophos公司的 Svajcer說，“你是否想讓所有類型的設備都訪問你的網絡，但還要對資源訪問進行控制？還是采用更寬泛的訪問安全標準？”

移動設備管理軟件是一個利益與投資都增長很快的領域。Gartner統(tǒng)計全球有超過100家MDM企業(yè)。MDM供應商包括了那些大型的IT服務和安全公司，比如IBM、SAP、Sophos和賽門鐵克；還有一些其他專業(yè)化的公司，如AirWatch、 Good Technologies和Zenprise.

依據你的需求，MDM軟件和服務可以讓你在移動設備的硬件和軟件平臺上制定一系列策略。其中包括強制使用復雜密碼、強制應用程序下載安裝補丁、檢測越獄設備以及提供審計和遠程擦除等功能，還可以鎖定丟失或是被盜的設備。

有些MDM廠商推出了數據監(jiān)測功能，為企業(yè)提供了一個管理移動設備數據轉移的窗口。比如供應商Zenprise還提供了“地區(qū)鎖定”服務，當移動設備離開鎖定區(qū)域時，這個功能可以讓我們有所察覺，以便及時采取行動，確保它們的安全（如鎖定或遠程刪除設備上的數據）。

企業(yè)們也正在尋找替代全封閉或是全開放的BYOD策略，鼓勵生產使用移動設備，但要保留一定程度的控制權。

一種方法是建設企業(yè)移動應用程序商店，為得到認可的員工提供移動應用程序的下載，使用此種移動安全管理策略以防止未經批準的應用程序被下載到移動設備上。

AppCentral這個初創(chuàng)公司為百事可樂和Anheuser-Busch這兩個客戶提供了類似的服務，讓企業(yè)能夠控制并管理他們的員工去使用特別訂制的移動應用程序。無獨有偶，思科的AppHQ平臺也能夠幫助企業(yè)建立自己的內部托管應用程序商店。

為了能夠讓企業(yè)對應用程序的安全性和控制性更為放心，品牌移動應用程序商店還要走很長的一段路。但從長遠來看，Sourcefire公司的Huger認為：BYOD趨勢很可能會兜一個圈變成LYDAH（把你的設備留在家里）。

不管員工是否喜歡，安全性和管理都要求企業(yè)讓這類軟件在員工們的設備上運行。正如前面所提到的，這是一個非常敏感的問題，因為這些設備并非企業(yè)所擁有。若企業(yè)給員工提供具有足夠吸引力的移動終端并加載上必要的安全和管理工具，那這個問題就迎刃而解了。

“我確切地了解到，”Huger說，“我有一個客戶為員工購買了500部iPhone。雖然這個舉措花了很多錢，但它其實更為便宜，因為這樣更有效地控制了這些設備上的軟件。從長遠來看，你是不可能讓這些強大的設備在你的網絡中放任自流的。”

根據Forrester的數據顯示，在所有關于BYOD的討論中，跟其它方法比，員工更能適應這種方式。根據Forrester的一項來自于322個企業(yè)用戶2011年第四季度員工調查發(fā)現(xiàn)，45%的受訪者希望自己選擇移動手機或智能手機，只有23%的人愿意為換設備而交錢，有32%的受訪者對于選擇工作手機或是智能手機表示“不關心”。

4.面對問題

最后，企業(yè)應該認真對待BYOD風險，他們不應該對員工私人設備進行過度的控制。

“你該擁有的是明智的策略，而不是限制性的策略。” Mahaffey談到，“最重要的是能夠讓人們提高工作效率。”

SANS研究所的Johannes Ullrich在福布斯網站上刊登過一篇文章，其中寫道“‘壞房東式的網絡安全’并不可取。”“像廉租房的房東一樣，許多網絡管理員寧可刪除或禁用某些功能導致安全問題，也不讓員工使用這些移動設備招致風險。”對感受到的風險反應過度，那些管理員創(chuàng)建規(guī)則約束IT環(huán)境從而鎮(zhèn)壓了職工們的“靈魂”——特別是針對那些年輕的數碼一族來說。像精簡公寓的房東一樣，具有限制性，懲罰性的IT環(huán)境創(chuàng)造了那些不安因素，也鼓動了他們去繞過安全功能。

BYOD就是一個很好的例子，包容現(xiàn)狀，而不是與其對抗。Ullrich說：“支持員工使用自己的設備是更好的選擇。而不是對他們進行打壓。”他說，“設立一個專門的網絡，對這些設備進行控制和管理，這樣更安全，也解決了員工工作的問題。”

到了最后，教育員工也是一個最簡單、最便宜、最有效的方法，企業(yè)使用這個方法可以減少員工使用私人設備所構成的風險。對員工談一談關于移動威脅和密碼使用的重要性，還要提高對存儲數據進行加密的重視，特別是在缺乏系統(tǒng)規(guī)范和監(jiān)管工具的情況下。

不要禁止員工使用私人設備，聰明的企業(yè)會接受這一情況，并學習如何解決安全缺陷。“別發(fā)瘋了，快阻止這些人使用他們自己的設備吧，” Mahaffey說，“千萬別干這種蠢事，你應該面對問題并積極處理它們。”通過教育員工這種方法可以使你對網絡上的設備進行有效地控制，確保員工們對其潛在的問題都有所了解之后，他們就不太可能去偷偷地用手機上網或是違反其它政策了。#p#

5個提示讓BYOD更安全

手機安全軟件公司Lookout的CTO兼創(chuàng)始人Kevin Mahaffey告訴我們讓員工把自己的設備用于企業(yè)網絡的操作并不復雜。他給出了一些建議：通過五個簡單的步驟就可讓BYOD政策即安全又有效。

1.需要一個明智，但不是限制性的策略。對于丟失、被盜和受感染的移動設備所帶來的威脅要跟員工特別強調和進行相關教育，并執(zhí)行合理的政策。比如若要用移動設備連接企業(yè)網絡時，可以用PIN碼等相關設置來控制物理訪問。

2.在企業(yè)和員工的設備上實現(xiàn)遠程鎖定、擦除和定位功能?，F(xiàn)在有許多移動設備管理軟件包可以提供這種類型的遠程功能。設備定位和遠程擦除的標準與新版的蘋果iOS軟件相符。

3.安裝反惡意應用的軟件。移動惡意軟件雖然還處在初期階段，但其卻呈急劇上升的趨勢。安裝手機殺毒軟件，以防萬一。

4.經常在外辦公的員工一定要使用VPNs，特別是在公共Wi-Fi環(huán)境下，移動設備通過VPNs之后方可連接到企業(yè)網內部。

5.聚焦身份驗證與身份標識。光靠強密碼策略是不夠的，尤其是那些能夠記錄鍵盤之類的惡意軟件有可能會發(fā)動中間人攻擊。對于企業(yè)網絡上高價值服務的訪問應采用多因素身份驗證或是聯(lián)合身份標識技術。——Paul Roberts。

商旅人員的移動安全

安全公司Rapid7的CTO也是Metasploit測試平臺的創(chuàng)造者HD Moore，他同時也是一個生活在別人防御漏洞中的人——對遭遇攻擊的地方是出了名的偏執(zhí)。那么接下來他給常出差的工作人員總結了幾個實用技巧：

1.小心Wi-Fi。Moore建議大家關閉手機、平板電腦和筆記本電腦的無線網絡。如果你必須要使用酒店或者其他的Wi-Fi，要知道如果發(fā)生二次鏈接的話是存在著很大風險的。在VPN啟動時會造成流量的丟失那么就會有人通過上網本或是shell腳本趁虛而入，正當你通過網絡進行身份驗證的空當是可以造就這個機會的。

2.關閉藍牙。幾乎所有的藍牙耳機都是不安全的，可被用來偷聽私人談話。筆記本電腦上的藍牙服務可公開你的安全漏洞甚至是你的文件系統(tǒng)。

3.一旦你必須使用非可信網絡的時候就必須通過VPN來連接企業(yè)網絡。這會使你的流量處于“全隧道”模式中，那么本地網絡黑客就很難對其進行嗅探或是發(fā)動中間人攻擊。如果VPN連接斷開，你需要關閉Outlook和任何敏感的應用程序，直到重新建立連接后方才可打開。

4.時刻小心你的設備。不要讓筆記本電腦、存有重要資料的箱包等物品離開你的視線。

5.不要用陌生的USB閃存讀取文件。借用別人的USB時，你不知道他們給你的是什么東西，他們可以很容易地復制設備的數據，甚至是清空存儲空間里面的所有內容。—— Paul Roberts