企业广泛部署的BYOD政策一直专注于手机安全,但其实所有移动设备都会带来安全挑战。攻击者会不断寻找各种方法来访问敏感数据,他们把移动设备视为企业防御的薄弱环节。
移动设备很难得到保护主要是因为它们的移动性。它们可能遗失或被窃,或者被带到不安全的环境。对此,企业可以利用背景元素来向现有的防御增加额外的安全层,也就是说,根据不同标准(例如设备类型或者设备是属于员工还是公司所有)来决定访问权限。
在设计防御措施之前,每个企业都必须建立自己的移动访问策略。企业是否需要允许远程访问?如果需要,员工需要远程访问哪些数据和应用程序?在某些情况下,电子邮件访问就已经足够。而在其他一些情况下,员工需要远程访问敏感数据。这种访问权限是否应该根据背景元素(例如设备类型或位置)而受到限制?
实际上,企业必须将背景安全整合到现有的防御中。在很多情况下,员工多年来使用家庭电脑或者笔记本电脑登录企业系统,所以现有数据库包含用户名/密码定义和其他标准(例如员工职责和安全全新),这种数据库必须进行更新来反应新增的背景元素。
BYOD:需要多个决策
对于企业来说,选择允许的设备类型以及是否允许员工使用自有设备是一个重要的决策。一些IT部门在发现很多员工一直在使用自己的设备而忽视企业相关的规定后,不得不创建一个BYOD政策。
这个决策不是简单地允许员工使用自有设备。这里的问题是:企业是否允许员工使用特定类型的设备,或者员工是否被要求从可接受的设备列表中选择设备?如果员工需要访问敏感数据,是否只能使用企业设备或者特定设备,或者他们可以使用任何设备,但仅限于较少的敏感数据?
IT部门是否应该坚持在员工自有设备上安装移动设备管理软件?如果是这样的话,企业需要部署何种程度的控制?最小程度的支持可能意味着选择支持多种主流设备的防病毒套件,并将其安装在员工设备上。但在其他情况下,IT可能需要一个完整的移动设备管理软件包,用来配置设备、管理远程更新以及控制可以安装哪些应用程序。对此,员工是否可以自己选择?
对设备类型和管理软件包的决策带来了其他问题。员工在使用自己手机登录时,可能被允许访问,因为其手机安装了完整的管理软件包,但当使用其他人的手机时员工将被阻止访问,尽管输入相同的用户名和密码。安全软件可能会检测到设备身份,并与管理数据库核对,从而确定应该允许还是拒绝设备访问。
允许或阻止访问并不是唯一的可能性。企业政策可以规定首席财务官能够使用自己手机访问财务数据,但当使用其他移动设备时,只允许读取邮件。
背景安全政策可以根据企业需求具体化
这里我们有很多选择。IT部门可能认为某些设备比其他设备安全,并要求某些员工使用企业提供的手机,或者从更安全的手机中做出选择。在过去,很多人认为黑莓手机是高度安全环境的唯一选择,但随着其他供应商提高其产品的安全功能,这种观念已经发生了变化。
位置和网络类型是可以影响访问权限的其他背景元素。企业政策可以利用设备的GPS或者源IP地址来限制对地理区域的访问。例如,企业可以允许员工从家庭Wi-Fi网络访问敏感数据,但仅允许员工从其他远程位置访问有限的敏感数据。
其他选择包括通过蜂窝网络允许访问,同时阻止从公共Wi-Fi热点登录。在这里,很少有中间人攻击的情况,即有人利用类似于热点SSID的服务集标识符(SSID)在热点附近产生一个强有力的信号,但这种攻击可以很成功地捕获用户名和密码。
基于位置的访问可以限制建筑物内特定区域的连接。如果员工手机处于登录状态,当他们从办公区域走到公司食堂时,他们可能会突然无法连接,因为背景安全软件检测到访问点的变化。企业还可以根据自己的需求设置访问权限的变量,并利用相关的背景安全来执行。
尽管背景安全有很多好处,但它并不是放之四海而皆准的解决办法。每个企业必须分析自己的需求,并制定自己的政策。重要的是,背景安全并不能取代其他安全技术,它也不是万无一失的方法。它只是新增的防御层,帮助企业抵御日益复杂的攻击。
