利用背景安全加強(qiáng)BYOD管理
責(zé)編:admin |2015-02-08 17:01:52企業(yè)廣泛部署的BYOD政策一直專注于手機(jī)安全,但其實所有移動設(shè)備都會帶來安全挑戰(zhàn)。攻擊者會不斷尋找各種方法來訪問敏感數(shù)據(jù),他們把移動設(shè)備視為企業(yè)防御的薄弱環(huán)節(jié)。
移動設(shè)備很難得到保護(hù)主要是因為它們的移動性。它們可能遺失或被竊,或者被帶到不安全的環(huán)境。對此,企業(yè)可以利用背景元素來向現(xiàn)有的防御增加額外的安全層,也就是說,根據(jù)不同標(biāo)準(zhǔn)(例如設(shè)備類型或者設(shè)備是屬于員工還是公司所有)來決定訪問權(quán)限。
在設(shè)計防御措施之前,每個企業(yè)都必須建立自己的移動訪問策略。企業(yè)是否需要允許遠(yuǎn)程訪問?如果需要,員工需要遠(yuǎn)程訪問哪些數(shù)據(jù)和應(yīng)用程序?在某些情況下,電子郵件訪問就已經(jīng)足夠。而在其他一些情況下,員工需要遠(yuǎn)程訪問敏感數(shù)據(jù)。這種訪問權(quán)限是否應(yīng)該根據(jù)背景元素(例如設(shè)備類型或位置)而受到限制?
實際上,企業(yè)必須將背景安全整合到現(xiàn)有的防御中。在很多情況下,員工多年來使用家庭電腦或者筆記本電腦登錄企業(yè)系統(tǒng),所以現(xiàn)有數(shù)據(jù)庫包含用戶名/密碼定義和其他標(biāo)準(zhǔn)(例如員工職責(zé)和安全全新),這種數(shù)據(jù)庫必須進(jìn)行更新來反應(yīng)新增的背景元素。
BYOD:需要多個決策
對于企業(yè)來說,選擇允許的設(shè)備類型以及是否允許員工使用自有設(shè)備是一個重要的決策。一些IT部門在發(fā)現(xiàn)很多員工一直在使用自己的設(shè)備而忽視企業(yè)相關(guān)的規(guī)定后,不得不創(chuàng)建一個BYOD政策。
這個決策不是簡單地允許員工使用自有設(shè)備。這里的問題是:企業(yè)是否允許員工使用特定類型的設(shè)備,或者員工是否被要求從可接受的設(shè)備列表中選擇設(shè)備?如果員工需要訪問敏感數(shù)據(jù),是否只能使用企業(yè)設(shè)備或者特定設(shè)備,或者他們可以使用任何設(shè)備,但僅限于較少的敏感數(shù)據(jù)?
IT部門是否應(yīng)該堅持在員工自有設(shè)備上安裝移動設(shè)備管理軟件?如果是這樣的話,企業(yè)需要部署何種程度的控制?最小程度的支持可能意味著選擇支持多種主流設(shè)備的防病毒套件,并將其安裝在員工設(shè)備上。但在其他情況下,IT可能需要一個完整的移動設(shè)備管理軟件包,用來配置設(shè)備、管理遠(yuǎn)程更新以及控制可以安裝哪些應(yīng)用程序。對此,員工是否可以自己選擇?
對設(shè)備類型和管理軟件包的決策帶來了其他問題。員工在使用自己手機(jī)登錄時,可能被允許訪問,因為其手機(jī)安裝了完整的管理軟件包,但當(dāng)使用其他人的手機(jī)時員工將被阻止訪問,盡管輸入相同的用戶名和密碼。安全軟件可能會檢測到設(shè)備身份,并與管理數(shù)據(jù)庫核對,從而確定應(yīng)該允許還是拒絕設(shè)備訪問。
允許或阻止訪問并不是唯一的可能性。企業(yè)政策可以規(guī)定首席財務(wù)官能夠使用自己手機(jī)訪問財務(wù)數(shù)據(jù),但當(dāng)使用其他移動設(shè)備時,只允許讀取郵件。
背景安全政策可以根據(jù)企業(yè)需求具體化
這里我們有很多選擇。IT部門可能認(rèn)為某些設(shè)備比其他設(shè)備安全,并要求某些員工使用企業(yè)提供的手機(jī),或者從更安全的手機(jī)中做出選擇。在過去,很多人認(rèn)為黑莓手機(jī)是高度安全環(huán)境的唯一選擇,但隨著其他供應(yīng)商提高其產(chǎn)品的安全功能,這種觀念已經(jīng)發(fā)生了變化。
位置和網(wǎng)絡(luò)類型是可以影響訪問權(quán)限的其他背景元素。企業(yè)政策可以利用設(shè)備的GPS或者源IP地址來限制對地理區(qū)域的訪問。例如,企業(yè)可以允許員工從家庭Wi-Fi網(wǎng)絡(luò)訪問敏感數(shù)據(jù),但僅允許員工從其他遠(yuǎn)程位置訪問有限的敏感數(shù)據(jù)。
其他選擇包括通過蜂窩網(wǎng)絡(luò)允許訪問,同時阻止從公共Wi-Fi熱點(diǎn)登錄。在這里,很少有中間人攻擊的情況,即有人利用類似于熱點(diǎn)SSID的服務(wù)集標(biāo)識符(SSID)在熱點(diǎn)附近產(chǎn)生一個強(qiáng)有力的信號,但這種攻擊可以很成功地捕獲用戶名和密碼。
基于位置的訪問可以限制建筑物內(nèi)特定區(qū)域的連接。如果員工手機(jī)處于登錄狀態(tài),當(dāng)他們從辦公區(qū)域走到公司食堂時,他們可能會突然無法連接,因為背景安全軟件檢測到訪問點(diǎn)的變化。企業(yè)還可以根據(jù)自己的需求設(shè)置訪問權(quán)限的變量,并利用相關(guān)的背景安全來執(zhí)行。
盡管背景安全有很多好處,但它并不是放之四海而皆準(zhǔn)的解決辦法。每個企業(yè)必須分析自己的需求,并制定自己的政策。重要的是,背景安全并不能取代其他安全技術(shù),它也不是萬無一失的方法。它只是新增的防御層,幫助企業(yè)抵御日益復(fù)雜的攻擊。
- 360助力“奧運(yùn)冠軍之城”七臺河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財報
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書