每當提起移動設備的安全保護問題，其實我們自己就成了阻礙這一目標的最大敵人。盡管事實上很多朋友都會每周七天、每天二十四小時高度依賴于自己的移動設備，但絕大多數用戶對于安全性事務似乎一無所知，研究人員做出了這樣的論斷。

[[123761]]

根據賽門鐵克公司發布的威脅調查報告，單就2012年來看，44%的成年用戶完全不知道移動設備當中也存在著安全解決方案。而同樣由這家安全供應商于2014年4月發布的2013年安全報告中，這一比例更是上漲到了57%。研究人員指出，用戶群體當中這種嚴重的指導與培訓缺失只是一種表面現象。舉例來說，多年以來人們已經習慣于使用幾乎不必過多考慮安全性問題的功能手機，因此在突然轉向智能手機之后往往沒有意識到需要為其安裝安全應用程序。

展望未來，專家們一致認為，移動惡意軟件與欺詐活動只會隨著用戶將更多豐富而敏感的數據引入其手機而變得愈發猖獗。這些設備通常也能夠獲取到來自企業的業務數據，因為大多數員工會不自覺地將自己的移動設備納入生產力工具庫。

除了使用層面的移動安全問題，移動設備丟失的情況也開始變得愈發普遍。根據一份消費者調查報告給出的結果，單在2013年就有140萬臺智能手機丟失或者被盜，而且從未得到恢復，這一數字高于2012年的120萬臺。

面對數量眾多的設備與業務數據安全風險，沒有任何一套解決方案能夠以不變應萬變地搞定移動安全難題。“時至今日，員工真的沒有一種完美的方式來保護自己的移動設備，”WellPoint公司IT事務副總裁Jamisson Fowler表示，這是一家總部位于印第安納州波利斯市的醫療福利企業。“他們總是把問題歸咎于自己犯下的各種失誤，而且市面上也沒有一款工具能夠真正將設備鎖定起來。”雖然形勢不容樂觀，但我們仍然有辦法讓員工具備更為豐富的移動安全知識與事件應對經驗。

下面我們將一同了解五種更有可能身陷移動安全風險的員工類型，并學會如何教導他們以更加積極的心態維護自己的設備及數據。

1. 不知情員工

有些人很容易受到社交工程欺詐以及釣魚攻擊的影響，因為他們根本沒有意識到網絡世界當中所潛伏的種種危機。在這種情況下，我們該如何培養他們識別并回避惡意人士那瞬息萬變的攻擊戰術?

解決方案：主動釣魚以培養安全意識

網絡犯罪分子總是在尋找著“干一票大事”的機會，而移動設備已經成為攻擊活動的最新前沿。那些在PC設備上被證實有效的攻擊活動，完全可以被用于測試毫無防備的移動用戶是否會同樣中招——而且鑒于大多數移動設備都缺乏良好的保護機制，這類唾手可得的目標當下可謂規模龐大。“攻擊者們肯定會在整條流程鏈當中尋找最為薄弱的環節”，而后將歷史上最為成功的欺詐手段融入其中，Cyren公司CTO Lior Kohavi指出，這是一家總部位于加利福尼亞州麥克萊恩市的云安全方案供應商。

在德國醫療設備制造商Karl Storz GmbH公司，IT部門用于管理2200臺移動設備的安全方案同時也負責著企業內部系統的保護工作。“我們希望讓人們意識到釣魚攻擊的存在以及可能后果，”位于加利福尼亞州埃爾塞貢多市的Karl Storz Endoskope子公司企業技術主管David O’Brien表示。

在內部系統當中，該公司實施了一整套培訓項目，其內容從PhishMe到運行模擬郵件再到社交工作欺詐可謂無所不包，目的就是讓員工在切膚之痛中了解安全事務的重要性。在早期實踐過程中，IT部門發現了令人震驚的結果：有大約70%的目標測試者心甘情愿點擊了那些最基本的釣魚欺詐鏈接，并將自己的ID以及密碼輸入了進去。更可怕的是，其中還不乏一些“我手下最資深的IT人員”，O’Brien回憶道。

當然，惡意人士所采用的社交工程手段不僅僅能夠通過基于PC的系統起效，同時也能影響到移動系統。無論采用怎樣的實施途徑，受害目標總是指向那些無意中點擊鏈接并下載惡意軟件的受信用戶，他們的這些違規操作將導致攻擊者能夠進入企業內部網絡并獲取到敏感數據。網絡釣魚信息在移動設備上被打開后，也能夠進一步感染到筆記本以及企業業務系統，KnowBe4公司聯合創始人Stu Sjouwerman指出，這是一家位于佛羅里達州清水市的安全培訓企業。對于這一點，他給出了一項簡單的忠告：“先考慮清楚再下手點擊。”釣魚欺詐實踐讓Karl Storz公司的員工們意識到了惡意活動的存在，并幫助他們學會了如何回避此類攻擊。

“這些不同類型的攻擊將對任何設備造成嚴重影響——無論是移動設備還是其它傳統計算設備，”O’Brien強調稱。“在我們的測試當中，全部終端用戶當中約有20%沒能在自己的iOS設備上(iPhone或者iPad)經受住釣魚考驗。我敢肯定，未來的測試將包含數量占比更為可觀的移動設備使用規模。”

在技術巨頭Raytheon公司，安全已經成為企業文化的一項重要組成部分。在這家位于馬薩諸塞州沃爾瑟姆市的企業當中，遍布世界各地的63000名員工有約三分之一利用智能手機以及平板設備處理日常工作，而其中“人為因素”永遠是給安全保障造成最大困擾的環節，該公司便于業務服務IT事務副總裁Jon Aliber指出。

“最終能否實現安全保障還是得歸結于個人，而且必須確保他們真正了解釣魚魚欺詐活動的套路與特征，”Aliber指出。Raytheon公司利用社交協作與博客工具來幫助員工及時獲取并發現網絡釣魚活動。除此之外，該公司還要求每位員工每年參加一次在線安全培訓課程。#p#

2. 初次擁有自己移動設備的員工

那些第一次將平板設備或者智能手機拿在掌中的用戶往往身處安全風險當中，因為他們不知道自己需要了解什么、或者說對哪些情況缺乏必要的認識。

解決方案：友善而非羞辱性的管理政策

WellPoint公司為大約五百名臨床醫生及服務協調員配備了iPad，他們的主要工作是照顧那些年事已高、失目或者身有其它殘疾的居家病患。Fowler表示，大部分此類移動用戶“幾乎沒有什么技術基礎，甚至會對使用技術方案而感到有些不安。”

Fowler的團隊很驚訝地發現，一部分此類員工甚至羞于或者害怕向IT部門上報他們不小心弄丟了iPad的狀況。“人們更傾向于等上個幾天，然后才承認自己恐怕是把設備弄丟了——在此之前，他們認為自己只是處于尋找階段——是的，直到這時候他們才‘確信自己的設備確實不見了，’”他回憶道。“有時候我們發現這些移動設備其實是被盜了，但也有一些情況下、iPad只是被員工落在了家中——我們會通過定位服務來幫助員工將其找到。”但這種拖延不報的作法往往會令設備以及其中的敏感信息面臨泄露風險。

為了解決這一難題，Fower的團隊想出了兩套解決方案。第一，為了降低臨床醫生與服務協調員們在不經意間將自己的iPad落在家中的可能性，IT部門為他們提供了專門的便攜袋、其體積足夠容納iPad外加其日常工作需要的文書材料。這部分員工還參加了培訓，認識到一旦他們認為自己的設備不知所蹤、應該立即與IT部門取得聯系。第二，為了確保員工在弄丟iPad后會切實加以上報，IT部門建立了一套友善而非羞辱性的管理政策，從而打消員工在上報之前所面臨的心理斗爭與疑慮情緒。

“我們絕不會向任何弄丟了移動設備的員工大喊大叫。IT人員都很清楚，自己不能這么干，”Fowler表示。“當醫生們與iPad支持團隊取得聯系時，大家都熱情地向其伸出援手。在這種情況下，雖然很多時候設備已經無法找回，但我們卻能夠立即實施制定好的安全協議，從而避免后續事態的進一步惡化。”

為了在設備確實被盜時降低敏感信息泄露的風險，每一位新的iPad用戶都需要接受培訓，從而了解密碼保護的重要性并在技術人員的指導下學習如何使用多個密碼。“我們通過在線會議的方式推進培訓課程，學習內容除了設備本身之外、也包括設置密碼的重要性以及如何將不同密碼內容彼此隔離開來，”Fowler解釋道。“我們還會向學員們舉例實例，告訴他們安全問題是如何在不經意間給大家帶來麻煩的。”舉例來說，他創建了一封偽造的釣魚郵件，其中的內容與Facebook上常見的欺詐信息非常類似、并包含有偽造的銀行電子郵件詢問部分。通過這類親身體驗，Fowler表示，員工會深刻地意識到：“如果我們在不同設備上使用內容相近的密碼內容，而日常使用的軟件又需要涉及病患個人信息，那么魯莽的使用心態將把自己和整家企業陷于安全風險當中。”#p#

3. 心不在焉的員工

大多數人都認為自己的個人信息不能簡單用價值來衡量，并愿意以嚴密的心態加以保護，但其中有些人卻沒有拿出同樣的嚴謹態度來對待雇主企業的業務數據與設備。

解決方案：游戲化機制與其它“粘性”提醒方案

密歇根州政府必須時刻追蹤公務員們在日常工作中所使用的約17000臺智能手機與平板設備。就在去年，州政府工作人員丟失的移動設備總計256臺，其中包括智能手機、平板設備以及筆記本電腦。

在過去，“坦率地講培訓就是一條死胡同，”密歇根州政府首席安全官Daniel J. Lohrmann表示。“只要PowerPoint這類演示文稿一亮，事情就算完了，”他指出長達一個小時的喋喋不休只會讓人心生反感，連他自己都不相信會有多少人能堅持看到最后。“所以我們把這套辦法徹底拋開。”Lohrmann希望能夠整頓州政府的安全培訓機制。用戶們反映原有培訓方式太過枯燥、與實際之間相距太遠、他們從中學不到什么有用的東西。有鑒于此，他認為亟需出臺一套簡潔、包含交互環節、有趣、而且最重要的是能夠真正讓參與者們有所體悟的新方案。

考慮到上述要求，他的團隊拿出了一套新的培訓體系，其中包含多節基于主機游戲的課程。Lohrmann指出，其中他最喜愛的部分就是在機場環境下發現移動設備丟失或者被盜時，員工應該采取怎樣的應對措施。這其實是安全工作當中一項非常重要的課題; 根據由Credant Technlogies公司(如今已經被戴爾方面所收購)公布的2012年機場調查報告，單單是芝加哥、丹佛、舊金山、邁阿密、奧蘭多、明尼阿波利斯以及夏洛特這七座機場，當年由旅客丟失的無線設備就達到8016臺。在這些被不慎遺失的設備當中，智能手機與平板設備占45%，而筆記本則占約43%。根據Credant公司的報道，其中有約一半設備被歸還給了失主，其余的則被捐給慈善機構或者進行拍賣。

培訓課程提到了在機場環境下丟失設備的統計數字，并介紹了人們應該采取哪些措施來避免大家弄丟自己的移動工具。接下來有趣的部分就開始了。用戶會在在線游戲當中扮演一個類似于馬里奧的角色，他們需要在90秒鐘的時間內在機場中運用自己學到的理論知識、從而快速找到12臺丟失或者被盜的移動設備。用戶控制的角色會在機場當中跑來跑去——途經值機柜臺、美食廣場、一條安全傳送帶以及有軌電車車站——而且每找到一臺設備，系統都會發出“叮”的一聲作為提示。“員工們沒人能在第一次參與時就將所有設備在時限內找到，因此他們會迫不及待地再玩一次，”Lohrmann不無得意地回憶道。

密歇根州現在已經正式推出了這一系列培訓課程，而Lohrmann預計輕松有趣的設置將讓員工們與他自己一樣對此留下深刻的印象。

“這就是所謂‘粘性’。對我個人來說，我每次身臨機場、腦海中都會浮現起這款游戲的畫面，”他表示。培訓課程“所做的是改變人們的行為模式。”#p#

4. 技術天才型員工

精通技術的終端用戶有時候反而會成為一種安全噩夢——特別是在他們掌握了如何對自己的智能手機進行重新配置、從而獲取到管理員級別權限的情況下。

解決方案：比聰明的員工更聰明

惡意軟件可能會給設備帶來巨大損害，尤其是其擁有了管理員級別的控制權限。而Gartner咨詢公司作出預計，認為到2017年半有75%的移動安全問題是由配置不當的應用程序所造成。

Karl Storz公司一直以嚴謹的態度對待著此類威脅。“我們是一家工程技術企業，因此擁有大量熟悉技術的員工，”O’Brien評論道。由于工作中所使用的智能手機是由該公司提供的，“我還沒有發現用戶們對自己的手機進行重新配置，但這并不是說他們沒有這種能力。信息就在這里、分散在每一臺移動設備當中，單憑IT部門根本沒辦法強行控制。”

根據Gartner公司的調查，目前最為常見的平臺安全違規行為共分兩種，其一為在iOS設備上進行“越獄”、其二為在Android設備上進行“rooting”。

這些行為相當于硬性提高了用戶在設備上的權限，并從本質上將普通用戶轉化成了管理員。上述作法允許用戶訪問正常情況下禁止訪問的特定設備資源，而且移除應用特定保護機制以及操作系統提供的安全“沙箱”環境會令移動設備中的數據陷入風險。在這種情況下，惡意軟件也有可能被下載到設備之內、并以此為起點引發各類惡意行為，包括獲取企業業務數據。根據Gartner的調查，這些存在違規情況的移動設備同時也更容易被攻擊者進行密碼內容修改。Gartner同時指出，目前最理想的安全防御方式就是利用移動設備管理工具與政策對移動設備中以鎖定。隨著“容器”技術與應用程序防護機制的進一步增強，重要數據的保護能力也將得到逐步提升、移動安全性目標亦會進一步變為現實。

IT安全領導者們也需要利用網絡訪問控制來阻斷接入到企業系統的連接，從而將那些存在可疑活動的潛在高危設備徹底隔離在業務流程之外。Raytheon公司就通過專業知識培訓不斷增強這些高技術水平員工的安全意識，讓他們主動反思自己的行為是否會對企業業務及行為規范造成破壞。“如果他們一意孤行、完全根據自己的意愿對移動設備加以使用……他們就此了解到自己違反了公司的管理政策，并因此而感到尷尬而且自責，”Aliber表示。

此類管理政策只能算是廣義數據安全戰略當中的組成部分，其中還應當包括利用設備管理軟件進行配置方案控制，以及將數據保存在云環境中而非直接使用移動設備自帶的存儲資源。#p#

5. 習慣于過度分享的員工

某些員工總愛在社交媒體上分享太多信息資源，甚至有時候顯得有些過度。也有一些喜歡把自己的設備拿給朋友或者家人加以把玩。

解決方案：阻塞漏洞

隨著社交媒體的迅速興起，雇傭大量年輕員工的企業往往會發現這些新生力量喜歡將前所未有的大量信息在社交平臺上予以公開——而且這種行為及其背后的思維傾向正變得愈發普遍。作為伴隨著社交媒體長大的這一代年輕人，他們在進入勞動力市場后也仍然不會改變自己的行為習慣，這就要求企業密切關注他們對于敏感數據的處理方式，C G Silvers咨詢公司老總Chris Silvers指出，這是一家總部位于亞特蘭大的IT安全咨詢企業。“目前社交媒體上已經出現了大量此類信息——我們根本沒辦法將其一一回收，”他強調稱。

那些喜歡隨意將信息共享在社交媒體網站上的員工很容易成為惡意人士的攻擊目標，這幫壞家伙往往會假裝成受害者的同事或者其他熟人，試圖說服他們共享那些容易攻擊的安全憑據、密碼或者企業信息等等。

“無論何時，只要員工將社交媒體賬戶與特定活動或者工作電子郵箱地址綁定起來，那么指向業務數據的威脅也將由此產生，”Social-Engineer有限公司首席人為黑客活動主管Chris Hadnagy表示，這是一家培訓與咨詢服務企業。“我們發現人們往往習慣于將自己的企業電子郵箱地址作為LinkedIn以及Facebook的登錄賬號。欺詐人士可以通過在線方式搜索相關信息，并借此找到他們所發布的帖子、博文以及經常逛的論壇——在這里，總會有一些個人內容在不經意間被泄露出來。而這些都是構成社交工程欺詐活動的重要線索。”

除此之外，教育也是一大關鍵。“員工們需要經過良好的教育，從而意識到如果他們有個人信息需要保護，那么來自社交媒體站點或者郵件的任何內容都不能輕易采信，”Hadnagy指出。

他同時建議稱，大家應該制定專門的管理政策來控制社交媒體在日常工作中的使用方式。如果允許社交媒體介入，那么員工們應該專門創建工作賬戶與個人賬戶。“在這種情況下，惡意人士還能在LinkedIn上找到他們嗎?其實還是找得到，但這至少在一定程度上實現了隔離，”他表示。

過度共享也會帶來其它一些意料之外的負面后果。Lohrmann指出，父母往往會為了哄孩子開心而允許他們在企業提供的智能手機或者平板設備上玩游戲或者觀看視頻——這就導致此類設備有可能被不慎損壞，更糟糕的是、可能會被潛在的可疑網站當中的黑客以未授權方式加以訪問。為了避免此類情況，企業雇主應當制定書面的安全管理政策，禁止員工將由企業持有的設備出借給朋友或者家人。

作為文章的結尾，IT管理領導者們強調稱，移動安全的另一大核心還在于如何在靈活性與生產效率之間取得平衡點。“我們確實保留了一定程度的靈活性空間，允許員工根據需求及意愿對自己的移動設備加以使用，”Aliber指出。他同時提到，甚至下載一部分應用程序也是沒有問題的。“但在面對保護企業數據這一問題時，我們就絕不能再強調什么靈活性了。這是一套處于全面管理之下的環境。我們要平衡的是生產效率需要以及幫助企業實現業務提升的需求。”#p#

如何利用基本MDM標準避免設備越獄?

移動設備“越獄”、或者故意對應用程序進行錯誤配置，到2017年將成為導致75%移動安全事故的罪魁禍首，Gartner公司作出預期。這家研究企業同時建議稱，IT部門應當在面向Android以及蘋果設備的移動設備管理戰略當中加入以下幾項重要步驟：

? 要求用戶同意遵守基本的企業管理政策，并準備在情況發生變化時放棄其對訪問控制的管理權。那些無法保證自有設備符合基本例規性要求的用戶則只能告別訪問權或者接受存在嚴格限制的訪問方式。

? 為設備密碼設定長度及復雜程度的最低基準要求，并制定嚴格的重試與超時管理標準。

? 指定平臺及操作系統的最低與最高版本。未獲準使用的模式不得進行更新或者為其提供支持。

? 強制推行“不越獄/不root”原則，且限制使用未經核準的第三方應用程序商店。存在違規情形的設備應該與業務數據源相互隔離，甚至根據具體管理政策對其內容進行清除。

? 要求利用應用程序登錄以及安全憑證等機制訪問企業郵件、虛擬專用網絡、Wi-Fi網絡以及受隔離應用程序。

原文鏈接：http://www.computerworld.com/article/2692103/5-steps-to-more-mobile-security-savvy-employees.html