BYOD時代的威脅激勵Web安全網關升級
原創【51CTO.com獨家特稿】說到企業內部網絡的惡意網址過濾和上網行為管理,CIO和CTO們一定都不陌生,很多單位都有購買的設備或自己搭建的服務器來執行相關的工作。
通常帶有Web Filter功能的網絡會如圖所示。
|
|
| 圖1 |
這樣的架構非常經典,長期以來也有效緩解了惡意代碼入侵內網的問題。但是隨著近年來智能手機、平板電腦等BYOD設備不斷的進入企業網絡,管理員們突然發現有點力不從心了。
有的單位推出了MDM的解決方案,但大多要在BYOD設備上安裝插件,如果是公司發的那還好說,裝了就裝了。但如果是員工自己買了自己用的,憑什么讓人安裝插件呢?
不讓裝插件,好。沒關系,我們的Web Filter是網關處的,只要你鏈接惡意網址或其他非法網站,我當你是PC一樣的攔截即可。
可是有一天,管理員們突然發現,雖然已經在Web Filter上加入了過濾策略,很多員工的智能手機和平板依然飽受惡意代碼威脅,色情網站和非法網址等依然能夠在員工的手機和平板上訪問,還有那些不被允許的炒股軟件和聯網游戲……
難道是這些員工用了什么奇怪的方法?
一查之后,發現大家什么都沒改過,都是很普通的用戶。
很多手機App等移動互聯網開發商為了讓智能設備享受更便捷的通道,往往給予了它們和PC不同的訪問路徑和網址。我們拿最簡單的新浪網為例子。
你在PC上訪問www.sina.com.cn時。網址不會改變,但你在手機上訪問時,系統會自動跳轉到sina.cn,如果你的Web Filter里只設定過濾www.sina.com.cn,而沒有設定sina.cn ,那使用手機的用戶便可以不受約束的突破攔截了。
|
|
| 圖2 |
當然,以上的舉例子還都是危害比較小的,如果企業內網用戶訪問的是含有惡意代碼的網址和色情網站的話,網絡管理員估計就會頭疼了。
BlueCoat中國區產品市場經理申強說過這么一個事情:“我們去年(2012年)抓到一個假冒的skype的網站,本身他是透過一個合法的下載網絡去下載,但是這個合法的下載網站鏈接被動了手腳,被黑客攻進去了。以后你去下載的時候這個頁面上就有一個惡意代碼把你掃入一個俄羅斯網站里面去。
當時BlueCoat發現,一個用戶在合法的網站上下載skype的時候,界面跳轉到之前給PC注入過惡意代碼的俄羅斯服務器里面。
經過我們的引擎分析后發現,惡意代碼會隨著skype下載到你的系統里。然后這個系統一周之內大概換了52個新的域名,不斷的改變,防止別人發現他們攻擊的行為,傳統的攔截方式根本就攔不住”。
以下這張圖可以給大家做個參考,圖中顯示,在社交網絡、新聞/媒體、休閑方面,移動使用已經全面超過了桌面使用。我們之前在桌面端設定的靜態過濾、攔截策略,很可能在這個移動的時代毫無用處。
|
|
| 圖3 |
IBM 的預測報告顯示,鑒于智能手機和平板電腦在企業中的廣泛使用,預計 2011 年與 2010年相比,將有多達兩倍的移動設備受到攻擊,其中包括“要求員工使用自己的移動設備”(BYOD) 的做法,因其允許個人設備訪問公司網絡。除了惡意攻擊的威脅,公司還面臨著盜竊和用戶疏忽造成數據遺失的巨大風險。近期一項針對移動設備安全的調查顯示,超過 70 % 專業人員表示使用網絡不謹慎的員工對安全的威脅性比黑客的更大。
在不了解用戶最容易遭受何種內容類別攻擊的情況下,保護最容易受操縱或遭受行為攻擊的用戶是一件極具挑戰的事情。
BYOD時代,人們需要怎樣的內網安全過濾方案
移動用戶代表了目前企業內復雜且不斷成長的群體。那些能夠以更安全的方式來管理移動設備的企業可以幫助員工提高工作效率,從而使他們獲得競爭優勢。
將企業級網絡安全解決方案擴展到移動設備是企業朝著保護其員工安全性邁出的良好第一步。通過消除移動安全漏洞和對企業資產訪問權限實施相關的策略控制,企業可以主動保護其資產免受移動環境中各種層出不窮的威脅的侵擾,同時充分利用移動員工的創新提高工作效率。
以BlueCoat的移動設備安全 (MDS) 服務為例,該方案可將 Blue Coat設備上的威脅保護和策略控制擴展至位于任何位置的移動設備用戶。MDS服務是Blue Coat云服務的一部分,后者是無縫保護員工從任意設備或網絡訪問 Web 或企業內容,并提供一種基于網絡的方法以保護和控制企業網絡內外的移動設備的全局基礎設施。
與只阻止個人設備上的全部應用程序的設備級解決方案不同,MDS 服務使您能夠通過跨本地移動和移動瀏覽器 (m.) 應用程序應用應用程序和操作控制啟用移動設備。借助基于網絡的細化應用程序控制和 Web 過濾,MDS 服務使您能夠為用戶提供所需的訪問并確保企業所需的安全。因此,采用一種更加靈活、低接觸的方法確保移動設備安全。
MDS 服務可將全局威脅保護、通用策略和統一報告擴展至具有以下功能的移動設備,如:
◆ 準確的 Web 過濾和惡意軟件保護
◆ 內聯反病毒掃描
◆ 細化的應用程序和操作控制
◆ 實時統一報告
◆ 企業級加密連接方法
【編輯推薦】
