利用背景安全加強BYOD管理
企業廣泛部署的BYOD政策一直專注于手機安全,但其實所有移動設備都會帶來安全挑戰。攻擊者會不斷尋找各種方法來訪問敏感數據,他們把移動設備視為企業防御的薄弱環節。
移動設備很難得到保護主要是因為它們的移動性。它們可能遺失或被竊,或者被帶到不安全的環境。對此,企業可以利用背景元素來向現有的防御增加額外的安全層,也就是說,根據不同標準(例如設備類型或者設備是屬于員工還是公司所有)來決定訪問權限。
在設計防御措施之前,每個企業都必須建立自己的移動訪問策略。企業是否需要允許遠程訪問?如果需要,員工需要遠程訪問哪些數據和應用程序?在某些情況下,電子郵件訪問就已經足夠。而在其他一些情況下,員工需要遠程訪問敏感數據。這種訪問權限是否應該根據背景元素(例如設備類型或位置)而受到限制?
實際上,企業必須將背景安全整合到現有的防御中。在很多情況下,員工多年來使用家庭電腦或者筆記本電腦登錄企業系統,所以現有數據庫包含用戶名/密碼定義和其他標準(例如員工職責和安全全新),這種數據庫必須進行更新來反應新增的背景元素。
BYOD:需要多個決策
對于企業來說,選擇允許的設備類型以及是否允許員工使用自有設備是一個重要的決策。一些IT部門在發現很多員工一直在使用自己的設備而忽視企業相關的規定后,不得不創建一個BYOD政策。
這個決策不是簡單地允許員工使用自有設備。這里的問題是:企業是否允許員工使用特定類型的設備,或者員工是否被要求從可接受的設備列表中選擇設備?如果員工需要訪問敏感數據,是否只能使用企業設備或者特定設備,或者他們可以使用任何設備,但僅限于較少的敏感數據?
IT部門是否應該堅持在員工自有設備上安裝移動設備管理軟件?如果是這樣的話,企業需要部署何種程度的控制?最小程度的支持可能意味著選擇支持多種主流設備的防病毒套件,并將其安裝在員工設備上。但在其他情況下,IT可能需要一個完整的移動設備管理軟件包,用來配置設備、管理遠程更新以及控制可以安裝哪些應用程序。對此,員工是否可以自己選擇?
對設備類型和管理軟件包的決策帶來了其他問題。員工在使用自己手機登錄時,可能被允許訪問,因為其手機安裝了完整的管理軟件包,但當使用其他人的手機時員工將被阻止訪問,盡管輸入相同的用戶名和密碼。安全軟件可能會檢測到設備身份,并與管理數據庫核對,從而確定應該允許還是拒絕設備訪問。
允許或阻止訪問并不是唯一的可能性。企業政策可以規定首席財務官能夠使用自己手機訪問財務數據,但當使用其他移動設備時,只允許讀取郵件。
背景安全政策可以根據企業需求具體化
這里我們有很多選擇。IT部門可能認為某些設備比其他設備安全,并要求某些員工使用企業提供的手機,或者從更安全的手機中做出選擇。在過去,很多人認為黑莓手機是高度安全環境的唯一選擇,但隨著其他供應商提高其產品的安全功能,這種觀念已經發生了變化。
位置和網絡類型是可以影響訪問權限的其他背景元素。企業政策可以利用設備的GPS或者源IP地址來限制對地理區域的訪問。例如,企業可以允許員工從家庭Wi-Fi網絡訪問敏感數據,但僅允許員工從其他遠程位置訪問有限的敏感數據。
其他選擇包括通過蜂窩網絡允許訪問,同時阻止從公共Wi-Fi熱點登錄。在這里,很少有中間人攻擊的情況,即有人利用類似于熱點SSID的服務集標識符(SSID)在熱點附近產生一個強有力的信號,但這種攻擊可以很成功地捕獲用戶名和密碼。
基于位置的訪問可以限制建筑物內特定區域的連接。如果員工手機處于登錄狀態,當他們從辦公區域走到公司食堂時,他們可能會突然無法連接,因為背景安全軟件檢測到訪問點的變化。企業還可以根據自己的需求設置訪問權限的變量,并利用相關的背景安全來執行。
盡管背景安全有很多好處,但它并不是放之四海而皆準的解決辦法。每個企業必須分析自己的需求,并制定自己的政策。重要的是,背景安全并不能取代其他安全技術,它也不是萬無一失的方法。它只是新增的防御層,幫助企業抵御日益復雜的攻擊。
