安全专家表示,由于越来越多的公司雇员们通过Wi-Fi热点上网,因此在无意识情况下泄露他们自己个人信息和职业信息的事件将越来越多。专家称,尽管这些事件还没有酿成轰动性事故,但是随着对智能手机、笔记本电脑和其它移动设备的依赖与日俱增,这只是一个时间问题。
普华永道咨询服务公司的信息安全总监Ryan Crumb称,他已经看到了从热点收集到的各种各样的信息,包括社会安全号码、公司财务数据以及关于并购交易的信息。有时候,Crumb会有意查看一下那些正在公共网络上传输的未受保护数据。
他称:“这是一个公共空间所与生俱来的问题。” Crumb的工作是与客户一起发现和解决存在的安全隐患。他指出,发现这类数据并非难事,这些数据通常是通过电子邮件往来于热点中。
(ISC)2政府事务总监信息系统安全认证专家Marc Noble称:“热点是咖啡店的一大特色。但是在咖啡店处理事务的人要明白自己必须要保护自己。他们的行为有可能如同将这些信息放在广告牌上或大街上一样。” (ISC)2 为全球信息安全专业人员提供教育及认证服务的非营利组织。
多数雇员并不知情
安全专家称,尽管许多技术人员意识到这些被称之为“黑洞”的安全风险,以及如何最大程度的降低安全风险,但是普通的雇员并没有被告之,这也为数据安全埋下了隐患。
Crumb称:“由于用户希望能够移动办公,因此这对于解决这些安全隐患是一个极大的挑战。他们希望在这些热点上利用所有的设备得到他们的电子数据表或是简报。但是他们使用的笔记本电脑可能会危害整个公司,因为他们使用的电脑没有正确配置。”
与其他的安全专家一样,Crumb认为没有任何一种特别的计算设备能够解决这一问题。他表示,多种因素联合的作用导致了热点在数据保护方面的问题。
其中的一个问题是热点自身的问题。Crumb称,不仅仅是无线设备,即使是有线互联网连接也存在着安全风险。
他解释称:“隐患是公共接入点。风险是你无法控制其它的网络。当你接入一个公共网络,这就如同在没有任何保护的情况下接入互联网。你不知道你的邻居是谁。”
Crumb称,往来于这些公共网络间的未加密信息能够被那么知道如何查看的人所窥视。此外,他还指出,笔记本电脑、智能手机和PDA能够与接入这些热点中的其它设备进行对话,甚至当用户并不希望这样做时也会发生这种情况。
Crumb称:“任何时候当你与他人共享你的网络时,你的机器也将能够与他人共享,你也就有机会截获任何人的信息。”
中间人攻击
市场分析公司Gartner公司的分析师John Pescatore称,用户非常容易受到中间人攻击。在这些攻击当中,黑客会刻意伪造一个合法连接以截获信息。
Pescatore称:“在这些热点当中,黑客可以坐在你旁边伪造出一个热点,然后引诱你去连接他。”他称,虽然这种情况并不经常发生,但是确实发生过。黑客然后使用这个连接窥探你的电脑,他们窃取的不仅仅是数据,还包括你的用户ID号和密码以访问你的公司系统。
雷神公司资深信息保障工程师,信息系统安全认证专家兼信息系统安全工程专家Bob Batie称:“如果这个黑客聪明到可以获取你的用户ID号和密码,那么他一定知道如何使用它们。”
热点所显露出来的潜在安全问题对于公司的IT安全团队来说并不陌生。不过网络安全顾问公司SystemExperts集团的副总裁Brad Johnson称,热点数量的增加已经让这些安全问题成为了他们迫切需要解决的问题。
他称:“现实情况是,热点数量的增加已经改变了整个使用环境。过去使用热点的人相对要少,但是目前你在任何地方都可以找到热点。”#p#
公司需及时制订和更新相关规定
Johnson称,目前许多公司在规定和实际使用方面经常相互脱节。
他解释称:“他们还没有将热点视为一个问题。当我们的雇员不在公司办公室内时,他们被规定如何处理我们的数据呢?比如,尽管公司有规定禁止公司信息被传输到家庭电脑上,但是并没有出台严格的规定以防止雇员通过宾馆的热点向总公司发送带有未加密的敏感数据的电子邮件。”
Johnson称,即使连接是安全的,电子邮件也不会总是自动被加密,当有热点存在时,移动设备不是被设置成自动与公司VPN相连。此外,移动设备的安全选项的设置往往并不正确,这也在无形中增加了它们的安全隐患。
Johnson和一些安全专家表示,尽管IT人员能够找出雇员们使用热点时存在的安全隐患,但是这并不意味着这些问题能够被轻松解决。
Pescatore称:“人们使用他们的笔记本电脑或智能手机办公的需求无法被阻挡。这就是我们口中所说的IT消费化。”消费化让IT人员更加难以完善公司对这些私人设备的规定和管控。
Batie称,成本也是扮演了一个重要的角色。尽管使用VPN能够带来保护,但是并不是所有的公司都有充足的实力承担起一个VPN。在当前恶劣的经济环境中,公司不会主动增加成本,即使在安全方面,他们也是在努力压缩资金预算。
人的因素也应当考虑在内
法律事务所Duane Morris LLP旧金山分部的合伙人Eric J. Sinrod长期以来都在关注这一问题。他称,许多公司需要采取诸多措施以提前解决热点所存在的潜在问题。
他称:“有许多公司相当明智,并试图提前解决这些潜在的安全隐患。但是并不是所有的公司都是如此。这一问题可以说是一个崭新的领域。我们可能只是站在了一个浪潮的起点而已。我们不清楚这一问题是否会浮出水面。但是如果我们听到关于热点的安全事故越来越多,那么这个问题就必须要解决。”
Batie认为人为的疏忽也是影响热点安全的一个因素。
他称:“我想人们可能会误以为他们的信息不是很重要,他们受到的安全培训有时可能也不会充分发挥作用。”
这又将我们带回到了Crumb通过热点所窥视到的数据上。他称,当用户使用热点时,他们必须对这些潜在问题拥有更大的自主决断权。与此同时,IT人员也必须要尽可能的让这些处置变得简单起来。#p#
IT人员处置措施
Crumb称,公司可以通过强制认证,比如自动连接VPN和自动加密来降低流氓热点所带来的安全隐患。此外,公司还需要为所有用于办公的设备及时提供补丁管理、完善制度和操作规程以确保IT人员能够让所有雇员的设备都能被正确设置。
Johnson称,另一个需注意的设备为无线上网卡,因为该设备将直接用于与宽带连接。换句话说,无线上网卡是一个能够与你的宽带运营商连接的USB网卡,也被称为无线宽带卡。他指出:“由于你能够在运营商提供服务的任何地方使用无线上网卡,那么它们也就成为了热点的备用设备。”
按照这个思路走下去,你的运营商服务覆盖区域实际上也是一个重要的因素。依据你正常工作和生活的地方以及运营商服务覆盖区域,它可以给你带来便利或是不利。Johnson称:“随着运营商服务覆盖范围的增加,这个问题的重要性已经降低,虽然设备越来越小,但是覆盖范围却越来越大。”
多数宽带运营商都推出了价格不等的套餐,但是与通常免费使用的Wi-Fi相比,这相当于增加了用户的成本。尽管如此,还是值得花这个钱。Johnson称:“与热点比起来,无线宽带上网卡更为的安全。因为它在你的控制之下,你直接与运营商建立连接,而不是通过热点设施。”
Johnson称:“另一个策略是IT团队主动出击,任何时候在公司网络内都保持一个触点,只要这些设备接入公司网络,它就能够对设备进行检查以确保设备被正确设置。”
通过设置终端用户机器和设备,这些机器和设备每次连接公司网络都能够被扫描,不过这样做法会让那些希望快速进入工作状态的雇员出现耽搁。虽然Johnson知道会发生这种情况,但是他表示耽搁时间仅仅是几秒钟,在进行IT培训时必须要让使用者养成习惯。此外,他还表示:“这个费用,无论是公司出的,还是由雇员自己出都可以让网络环境变得更为安全。”
Crumb强调,防止通过热点泄露重要数据以及杜绝此类重大事故发生的关键是尽可能的采用自动安全防范措施。他称:“这就如同电话机,安全时刻发挥着作用。为了确保安全时刻起作用,IT人员采用的措施越多,我们就越能达到目的。”(范范编译)#p#
相关链接一
IT可采取的保护数据避免热点危险的步骤
·对于试图接入企业网络的设备建立和强制执行身份识别政策。
·要求员工在进行连接和交换数据的时候使用企业虚拟专用网;设置员工计算机,在保证计算机或者设备没有丢失或者被盗之后,让设备自动连接到虚拟专用网并且加密数据。
·保证正确地设置所有的设备和软件应用程序并且使用最新的补丁。
·保证企业安全政策阻止员工向移动设备或者非授权的计算机传送敏感的数据。
·使用需要一个服务计划的无线卡,不要使用热点进行无线连接。(胡杨编译)
相关链接二
此事为什么很重要
Gartner分析师John Pescatore说,企业在既成事实之前一般都没有认识到什么数据被通过热点攻破了。但是,这种错误的代价巨大是没有疑问的。考虑一下非盈利机构Ponemon Institute LLC和这篇报告的赞助商PGP Corp在今年1月发布的题为“数据突破的代价”的报告的一些要点。这篇2009年的研究报告研究了45个机构的数据突破事件。
根据这篇报告的研究结果,2009年机构数据突破的平均损失从2008年的665万美元增加到了675万美元。每一次被攻破的记录的数据突破成本从2008年的202美元提高到了204美元。
在2009年的研究报告中,42%的案件涉及到第三方的错误;36%的案件涉及到丢失或者被窃的设备(包括笔记本电脑);24%的案件涉及到导致数据丢失或者被窃的恶意的或者犯罪分子的攻击。
机构应用了广泛的工具防止未来的数据突破,67%的机构使用培训和熟悉计划;58%的机构使用人工程序或者控制,58%扩大加密的应用。
然而,Ponemon在3月份发表的一篇报告对957名美国的IT和企业经理、分析师和官员进行了调查显示,只有21%的机构对于自己的整个机构采取了一致的加密战略;74%机构有某种类型的加盟战略。
Crumb说,这个事情与设备或者提供商没有关系。提供商的任务是提供不受约束的接入到互联网的服务。采用这种没有约束的接入服务也带来了风险。因此,消费者应该真正地把公共接入点当作肮脏的东西。(胡杨编译)
【编辑推荐】
