如何全面防御以確保終端設備安全
毫無疑問,在任何終端安全系統中,最重要的任務就是防止惡意軟件。不過,隨著黑客們不斷使用越發新奇的方式來繞過設備安全,這些產品也越發無效了。
這幾年,反惡意軟件技術的精確度的確顯著提高了,但是根本上,只有少數應用程序的行為可以被明確化,通常是那些最常用的軟件 - Microsoft Office, Java, Adobe Acrobat, Flash 以及各種瀏覽器。
這些應用程序表現出的任何奇怪行為都會被軟件發現, 為了處理這一威脅,軟件將阻止這一未經授權的行為。不可否認,這涵蓋了日常工作中所使用設備的很多方面,但它顯然不是萬能的 – 黑客可以選擇攻擊設備上那些不那么常用的應用程序。
終端安全不只是檢測和消除惡意軟件,它還要保證這些設備適時地打補丁,配置和控制,以盡可能的減少攻擊面。終端保護軟件需要與補丁管理系統合作,確保,一旦補丁由企業進行測試,它們可以在設備上進行運行,這應該根據IT部門定義的規則,在基礎設施上進行配置使用。
這些規則應該在應用程序安裝,服務運行,設備設置和其他防護產品在設備上進行安裝時預先做好控制。它應該是IT部門政策的一部分,以辨認配置發生改變,因為這可能表明,惡意軟件已經操縱這些規則來破壞這一設備。
設備控制是很重要的,因為這能夠使IT部門對于誰可以使用USB接口,并如何使用執行相關政策。從USB設備或SD卡中復制了什么,或向其發送了什么都可以進行記錄,以盡量減少風險。
自帶設備和移動性對于終端安全的影響
傳統的終端設備管理軟件是無法管理個人計算機,筆記本電腦和平板電腦的,尤其是在自帶設備(BYOD)的環境中,根據Ashley Leonard,,Verismic公司的首席執行官。
他說,傳統的設備管理軟件,需要“幾天甚至幾周的部署”,因為每個設備上都需要安裝軟件。 “頻繁的移動,增加和變化導致數據的黑點,使得BYOD環境特別難以管理,”他說。 “有些終端管理軟件甚至需要‘人工傳遞網絡’來進行軟件部署,這會影響用戶,IT部門和成本。”
他說,通過無認證和未打補丁軟件應用程序,使得企業面對安全威脅,甚至可能存在合規風險。但是禁止BYOD對于很多企業并不是一個選擇。 “員工們無論如何都會使用他們的個人設備,或將企業提供的設備用于個人需求,” Louise Bulman,ForeScout公司的歐洲副總裁說。 “傳統的企業邊界正隨著移動和遠程員工數量的增加而變得更加開放和廣闊。”
Anand Sukumaran, ITC Infotech公司的管理服務副總裁表示,企業應該考慮以“選擇你自己的設備”(CYOD)來替換BYOD。 “這種混合的方法意味著公司將提供一系列可供選擇的設備,用于遠程和靈活的工作,用戶也可以在自己的個人生活中自由使用這些設備,”他說。
更多的平臺 – 更多攻擊點或者更多保護?
BYOD項目使得有多種平臺需要保護。IT經理不僅需要保護運行Windows的PC和筆記本電腦,還要保護運行Android和iOS的手機和平板電腦。以此類推,企業可能需要考慮保護互聯網終端設備,如傳感器和可穿戴技術。
一個想要入侵基礎設施的罪犯可以任意使用很多工具。 如果他們無法通過臺式機或筆記本電腦入侵,那么也許可以通過移動設備。
保護移動終端需要一個稍微不同的策略,移動操作系統趨向于使用沙盒模式的應用,使彼此間相互隔離,也同時和手機操作系統(OS)相隔離。即使殺毒應用程序也采用沙盒模式,雖然不是完全無效的,但是作用也有所減小。設備上的數據是最重要的,無論是存儲在設備上的數據,或是在企業網絡上進行來回發送的數據,都需要保護和加密。
然而,擁有多個平臺上也能夠提供一些防護,只運行特定平臺的設備不會被惡意軟件針對性攻擊的另一設備所感染。一個雇員可能有一臺通過網絡被感染的計算機處于隔離中,但仍然可以從一臺運行完全不同的平臺的智能手機上訪問數據,繼續工作。
購買終端安全時,所需要考慮的
購買終端安全系統時,三個最重要的關注點是,它能做什么,它是如何管理的,它能保護什么平臺/設備。位于終端的這一應用程序必須包含其最基本的功能:防病毒,防間諜軟件,基于主機的入侵防御和防火墻。 更先進的系統還應該包括設備和應用程序控制,補丁管理評估,URL過濾,防數據丟失,網絡接入控制和磁盤加密。
該應用程序還應該具有管理功能,允許系統管理員管理部分或全部基礎設施。 該控制臺應該包括一個控制面板,這樣管理員就可以快速訪問用戶,用戶組和設備,同時適用于這些對象的策略。這些政策應該能夠隨著需求的變化,方便獲取,容易創建和更新。它應該易于迅速發現并保護新的終端。然后這些政策可以加入管理功能, 進行監測,并快速,安全地修復問題。
任何終端安全系統都應該能保護所有的終端。 如果無法做到,那該產品對于企業而言就毫無用處,更為糟糕的是,會使惡意攻擊者獲取企業資產的訪問權限。
