“我们知道,数据可能存放在我们所不能控制的设备上,需要利用类似黑莓的处理方式来管理这些设备,” Tim Mathias说道,他是Thomson Reuters公司的IT安全高级总监。“问题是我们并不拥有设备的所有权,所以我们开始在公司内研究相关技术、策略和标准,并接受挑战,提出了一些策略,允许个人使用他们所选择的设备,同时保护公司免于风险。”
这家位于纽约的信息巨人(在全世界100多个国家拥有55,000名员工)正采用一个多层次的方法来处理这个日益严重的问题。除了制定政策,它还在调查移动设备管理技术,并与技术伙伴开展合作,从而弄清楚移动应用所带来的安全风险。
iPhone、iPad以及Android设备在企业里的泛滥正在主导一次重大的转变,即越来越远离公司拥有、公司控制计算机系统的标准模式。为了提高生产力,功能强大的便携式计算系统使得员工可以随时随地访问企业电子邮件。但同时,这个IT消费化使得安全管理者们紧张不安。这些个人移动设备很容易丢失(比如被小偷窃取),导致保存在它们上面的所有企业敏感数据一起丢失。移动设备恶意软件以及应用程序也逐渐出现。
专家们表示,这一全新的后PC时代需要公司转变它们的安全思想,制定新的策略,并在不降低设备用户使用体验的情况下实施维持企业安全的技术。毋庸置疑,IT消费化是一个企业不能忽略的趋势。
“如果你认为你可以禁止员工使用自己的移动设备,那么你是在逃避它,” Philip Cox说道,他是咨询公司SystemExperts的安全和规则遵从主管。“要么你控制它,要么它将控制你。”
一个成长的浪潮
这可能是许多IT经理都很熟悉的一个场景:一个中意iPhone或iPad的C级果粉主管希望企业可以对此类设备提供支持。这个趋势是在去年真正确定下来,Ojas Rege说,他是移动设备管理公司MobileIron的产品和市场部副总裁。“这导致了这样一个概念:IT部门范畴之外的设备正在进入公司,并还需要 IT对其进行支持,”他说道。
Citrix Systems公司的首席安全战略家Kurt Roemer表示,自从iPad和其它平板电脑出现以后,他被那些充满担忧的企业安全经理们的电话所淹没。他们想要知道如何告诉他们的主管,在公司不能使用这些设备,但是“主管们说,‘如果你不把这个设备放在网络上,那么我会找到愿意这样做的人,’”他回忆说。
“越来越多的员工想要把他们的个人设备带到企业来,而许多企业并不乐意,但是他们正被迫对这种情况妥协,”IT服务和解决方案提供商Dimension Data Americas的一位主要安全顾问Nicholas Arvanitis说道。
看起来,公司正在屈服于这个要求。据Forrester Research今年第一季度对北美和欧洲约1,000家各种规模企业的一项调查来看,大约一半的受访公司对员工拥有的移动电话和智能手机提供了支持。
在谈到公司如何处理个人手机和平板电脑的涌入时,Perimeter E-Security公司的首席技术官Andrew Jaquith把在六个月前,当他还是Forrester公司的分析师时,所看到的情景比作著名的忧伤5阶段:拒绝、愤怒、讨价还价、沮丧和接受。
“我想说的是,大约一半的公司正处在讨价还价阶段。他们并没有完全接受它,但是知道需要做一些事情,并正开始考虑需要制定什么样的策略以及执行什么方法,”他说道。
消费者移动设备既代表了不幸又代表了机遇,Jaquith说。“你正在使得IT安全重新思考其对移动设备的整个方法,在这个意义上讲,它们是一个不幸,”他说道,“但机遇是很明显的:这些设备给员工带来了更多的满足感和工作上的高效率。随着我们进入后PC时代,企业将被迫以某种方式来适应这些设备。”
移动威胁
对于Thomson Reuters公司招聘新员工来讲,支持员工拥有的设备是很重要的,Mathias说。在致力于制定个人移动设备策略的两年里,可供选择的技术已经得到了提高,该公司对这些设备所带来的风险的理解也有所增加,他说道。
“简而言之,能够把Android手机连接到我所选择的任何工作站上,并使用手机存储器把文件带出办公室,可以将这些手机当成一个巨大的USB设备,”他说道。
数据丢失和未授权的安全访问是个人移动设备对企业最大的安全风险,Matthew Todd说道,他是位于美国加州Palo Alto的独立投资顾问Financial Engines公司的首席安全官和风险与技术运营部副总裁。
“与笔记本电脑相比,诸如智能手机和iPad等便携式设备的确更时髦,它们更小,更有趣,但是就像老的ThinkPad一样充满了信息,”他说道。 “便携式设备可以存储通讯录、电子邮件、机密附件,甚至是机密的图片、音频或视频。当你的智能设备与公司环境结合在一起,并且你的智能平板或智能手机可以访问内部系统或网站的时候,所面临的安全威胁将呈现出一个全新的情况。”
而更严重的风险是这些小型便携式设备很容易落在出租车和餐厅里,以及被小偷窃取。
移动恶意软件是另一个风险,但是它只是刚刚冒出来。在3月,Google从其Android市场上删除了20多款免费的应用程序,因为它们包含了隐藏的恶意软件。名为DroidDream的恶意软件试图得到智能手机的root访问权限,从而查看敏感数据以及下载更多恶意软件。
DroidDream“表明了恶意软件对Android的威胁是真实存在的,”Chenxi Wang在最近的报告中写道,他是Forrester Research公司的副总裁和主要研究员。“可以自由下载任何应用程序的个人设备是一个成熟的感染源。随着Android超越 iOS成为最畅销的移动平台,防御移动恶意软件将是越来越重要的IT事务。”
应用程序安全公司Veracode的共同创始人和首席技术官Chris Wysopal表示,iPhone对于恶意软件已经有相当的有抵抗力,“因为这款设备拥有已知应用程序的运行围墙,或者说白名单,增加了它的安全性。”与 Apple公司的具有更高审查标准的软件应用商店相比,在Android市场上的应用程序缺乏安全审查,他说道。今年初,Veracode推出了一项移动应用程序验证服务。
“一个最大的风险是用户安装了没有经过审查的应用程序,”Dimension Data公司的Arvanitis说道。
“我认为移动设备将会是下一个巨大的威胁源,”Ryan Laus说,他是美国密歇根中央大学的网络管理员。“我们仍然处在学习阶段,但是我认为今后它们真的会成为一个巨大的攻击目标。”
