安全专业人士建议公司将威胁情报与移动设备管理平台整合在一起,实现共享关于网络安全威胁和恶意应用的情报信息,提升移动安全性。
Lower Colorado River Authority首席安全官Larry Whiteside, Jr.建议首先确保能够从企业移动管理(EMM)/移动设备管理(MDM)提供商那里得到与桌面安全提供商相同等级的日志信息。
“我并没有看到那些已经安装了赛门铁克、迈克菲或其它新桌面安全工具的人说,‘嗯,你采取这些保护措施就可以了,我们不需要知道什么东西正在攻击它们,也不需要知道正在发生什么。保护它们,我们信任你。’”
Whiteside称,然而这就是我们目前在移动领域中所采取的做法。他称,当公司考虑MDM解决方案时,他们仅倾向于关注集成和能力,并没有对确保得到日志、威胁类型等一些基本功能提出过多的要求。
关键是集成威胁情报源
将威胁情报源整合至MDM系统中可使我们能够使用关于危险和恶意应用的情报提升移动威胁防御能力。这是应用安全服务提供商Marble Security的主席、首席执行官兼首席技术官David Jevans给出的建议。通常情况下,我们可以通过MDM或是威胁情报提供商的API将威胁情报源整合至MDM/EMM平台中,
Jevans 称:“威胁情报可让企业迅速将识别哪些应用不应当被允许接入网络,企业内部可在数小时内做出相关决策。”这一理念是获取数据源,将其与MDM联系起来,然后快速删除这些应用或是通知相关用户。
当然,在自备办公设备(BYOD)环境中情况比较复杂,不过Jevans仍建议我们将威胁源整合至MDM中。他警告称,公司需要具备管理BYOD的能力,以清楚哪些东西正在用户的设备上运行着。这通常意味着需要在用户设备上部署并运行一个客户端,让我们知道设备正在运行哪些东西,这样才能将设备与威胁情报关联起来。
Good Technology也认同Jevans提出的BYOD将会给威胁情报带来一些独特问题的观点。他还指出了将威胁情报直接整合至MDM中可带来的另一个好处。“你可能会希望某个设备停止接入公司的网络中,虽然我们无法对整个设备中的内容进行擦除,或是希望让它们停止与AT&T或是家庭WiFi接入在一起,因为它们不是我们自己的设备。”
Van Someren补充称:“由于移动设备不同,我们可以采取许多不同的办法。但是在许多层面上,它们都具有相同的活动,因此威胁情报需要一个全局性解决方案,而不是一个单点解决方案。”
他称:“典型的MDM解决方案与容器化解决方案相比具有更多弱点。因为在容器化解决方案中,容器的重点是让我们仅能得到针对某个容器化应用的资源。这种容器解决方案可以更好的应对我们这里讨论的一些单点威胁。从移动性方面看,由于在管理上就存在缺陷,无法控制公司网络中的设备,因此我们没有太多的机会收集移动领域中的信息。”
这里面还有一些隐私问题。“我们必须要认真考虑这一问题。我们是否应当停止从这些终端中收集信息?在行动上同样存在着相似的问题,我们是否了解自己的设备,如果设备的设置出错,那么它们就可能执行一些错误的行为,如果它们是个人的设备,我们将无法强制性对这些设备中的内容进行擦除。”
采取一个全局性解决方案
Van Someren称,在网络安全专家眼中根本没有移动设备威胁情报这一概念,这一点非常重要。威胁情报只有应用在整个基础设施中才有意义。
运营情报与日志管理解决方案提供商Splunk的首席安全专家Monzy Merza建议,威胁情报不要仅仅应用于针对个人交易的单个IP地址和域中。
他建议企业应当全盘考虑整个IT环境,包括服务器、数据库和应用以搞清楚移动交互是如何产生的,将威胁情报应用在一个尽可能广的范围内。
我们应当部署一些允许我们将威胁情报应用至移动应用日志、防火墙日志甚至是电子邮件内容当中的工具。他建议称:“不要仅局限‘事件数据’应当将威胁情报应用在所有的数据来源中。”
微软企业移动产品营销部高级总监Andrew Conway 称:“谈到获取一些关于员工所做事情的情报,我认为最重要的是部署能够向我们汇报谁正在访问如些应用,以及在什么时间的解决方案,让我们对应用的访问具有直观性。”在考虑威胁情报时,我们应当搞清楚“谁正在访问,在什么时间,他们是如何做的。”
Marble Security的Jevans给出的另一个提示是将移动威胁情报与网络情报综合在一起。网络情报数据可能将包括:
· 网络坐标,即恶意流量正在从移动设备中流向何处。
· 与企业网络相连的设备是否在防火墙内部,它们是否通过VPN相连。
聚焦威胁情报和网络情报可让我们更好地描述恶意信息并将其添加至我们在用的威胁阻止系统中,无论它们是防火墙还是设备管理。此外我们还能够实现对它们的追踪。Jevans 称:“你在机场时可能无法检测它们,但是当你回到办公室就可以对它们进行检测。”
网络、数据和移动服务提供商MetTel的网络服务业务副总裁Ed Fox和移动业务副总裁Max Silber建议在内部组建一个负责处理威胁情报源的SWAT团队,以为那些正在面临攻击威胁的用户提供目标信息。
IBM 安全部门资深安全总顾问Diana Kelley建议在内部建立起一个恰当的移动设备保护环境。如果没有收到来自外部的威胁情报,它们可使用MDM解决方案探测企业中被越狱的设备或是被root的设备。
Kelley 认为:“威胁情报真的非常重要,因为虽然它们不是整合行业性情报,但是它们是关们我们内部环境的情报。他们是否对设备进行了越狱?如果是,你可能采取措施关闭这些设备,限制它们访问公司容器,不允许它们访问公司的系统。”
针对移动设备的威胁只是企业每天所面临的大威胁环境中的一部分。将MDM/EMM与威胁情报整合在一起相当于为移动安全增加了一层网络安全防护,从而确保可对日益增加的移动网络安全威胁采取快速响应。
