个人自带设备(BYOD)的新型办公场景,已经成为不可逆的大潮,正一步步颠覆着传统办公模式。但在高效、便捷的办公背后,由于IT部门对个人设备难以统一管控,而导致企业在安全威胁面前“破绽百出”。
一、BYOD的安全风险
BYOD场景下,核心生产力的角色不再只由PC端来承担。个人移动设备的加入,使得移动端的企业敏感数据泄露,成为企业移动办公安全中亟待解决的首要安全隐患。
传统的办公模式下,处理各个不同业务流的系统一般是彼此独立的。IT部门可以针对各个系统,或通过在公司统一下发的办公PC上安装代理等方式,来实现细粒度的行为管理和访问控制。
但在移动办公时代,时间、空间、距离的界限都被打破,截屏、信息的复制粘贴、转发、分享等能力唾手可得,导致信息安全风险陡然增大。
BYOD是个人终端参与办公的时代,相对于PC时代,用户对体验的要求非常高。而移动应用的专业程度和更新频率都很高,企业需要很高的移动安全专业技能和管理成本,才能确保来不同自不同供应商、多个移动应用之间能够实现一致的操作逻辑,达到相同的用户体验。因此企业越来越需要由专业的移动安全厂商,在不影响办公体验(最好是用户无感知)的前提将安全能力融合到App中。
可能的安全防护思路
BYOD场景下的移动端App,是企业针对其内部业务流程,专为内部员工使用而开发的应用。所以,在开发过程中加入一定程度的安全控制,往往是最先会被考虑的防护手段。但目前来看,针对业务应用的开发团队对安全的认识普遍不够深刻、专为安全的附加开发成本企业难以承受等问题,使得从开发角度来“根治”的方法对于大部分企业来讲不那么切实可行。
当然,术业有专攻,如果专注移动应用加固的安全厂商来做结果又是怎样?现实是,整体效果也不那么尽如人意。应用加固技术对BYOD场景下的to B应用并不完全适用,原因有三:
1) 从用途上看,目前对很多企业而言,用户盗取数据对其造成的威胁远比恶意软件要严重得多,应用加固主要用途是从技术角度增强应用面对专业黑客时的抗攻击能力,而不是防止普通用户盗取数据。
2)从安全能力上,目前主流的应用加固技术不具有完整的数据防泄露(DLP)能力,无法实现对应的保护效果。
3) 从实现形态上,应用加固是针对独立的App进行,只是在单点上实现,而企业的移动安全需要将多个App、App与设备状态/用户身份等多个移动要素联动起来,并且对接企业现有的IT安全基础架构才能真正实现。目前的单点应用加固方案显然无法做到。
除了移动应用加固外,借鉴之前传统办公的安全思路,通过在移动端设备安装代理的方式,在系统层实现对移动设备的统一管控的移动设备管理(MDM)呢?很遗憾,因为BYOD场景下“移动设备为个人所属”的特性,让MDM因个人隐私问题而难以推行。同时,大型企业IT运维人员对众多设备的跟踪和管理成本,也是不小的开销。
综上不难看出,如果企业移动管理(EMM)能够脱离MDM,即脱离设备,那将不失为一种更契合企业当下安全办公需求的解决方案。
二、虚拟安全域
国内专注移动办公安全整体解决方案的提供商——指掌易提出了一种虚拟安全域(VSA)的概念。通过轻量级的移动应用加壳,即在终端系统和办公App间加入虚拟化层的方式,在应用层实现包括数据防泄露的多种安全能力。
虚拟安全域的特点包括:
- 由于整个加壳过程不需破坏原App,所以加壳过程也可在安全加固后实现;
- 整个加壳过程可以在极短的时间内在后台自动完成;
- 加壳后的App有着极高的一次性运行成功率;
- 性能方面,封装前后文件大小差异小于1MB,代表着更小的多余系统资源占用;
- 更像是“安全引擎”,除了数据防泄密以外,还可实现包括应用的自动初始化配置,以及对行为和内容进行审计等安全能力。
基于虚拟安全域,指掌易还进一步研发出了移动安全工作空间系统,无需MDM,提供私有应用商店、应用准入、DLP保护、应用级安全接入隧道、远程安全配置等安全能力,在不影响用户体验的前提下,实现完整的BYOD 移动安全保护。
指掌易以VSA为核心的安全工作空间解决方案
在基于虚拟安全域的移动安全工作空间中,以DLP为核心的多种安全能力和业务在企业App中实现了更紧密的结合。在不降低安全防护能力的情况下,免除了用户对在个人手机上安装代理等方式可能造成个人隐私泄露的担忧。用户对安全防护手段的无感知,一方面保证了其办公体验,另一方面对内部威胁也有了更好的防护效果。
在移动办公大潮已至的今日,面对“海平面”下暗流涌动的安全威胁,虚拟安全域技术则像“定海神针”一样,成为企业应对的利器。
当然,在VSA技术能力的实现方面,也不免要面临下面这些挑战。包括:
(1) 挑战1 对设备兼容性的保障
安卓手机在中国的市场占有率高达86.4%(Kantar Worldpanel统计);且国内手机厂商众多,手机厂商对ROM更新速度不一,导致国内安卓系统的碎片化问题严重。所以在这种情况下,对占有绝对数量优势的安卓系统兼容性的保障,是实现具有普适性而不是针对特定设备的安全的基础。
指掌易在从2013年开始,便在VSA对移动端操作系统和设备的兼容性方面投入大量人力,有数十人的专门团队来做这个事情。目前基本可以保证将全新操作系统适配的空白时间窗控制在数月内。
(2) 挑战2 在“应用层”实现
出于对个人隐私的担忧,在个人设备上强制加装安全代理方式的可行性都是极低的。要想在手机系统层添加安全控制,如果不能和数量众多的手机厂商达成深度合作的话,更是不可能(需要用户上交个人设备,且在系统版本升级后会失效)。所以,安全应选在应用层来实现。
诚然,移动应用加固也是在应用层实现的。但对企业在业务层面对数据泄露的防护不够直接,且防护能力的可扩展性受限。
指掌易的VSA,在加壳后App在移动端成功安装后,便作为虚拟层运行在应用和系统层之间,类似安全引擎,通过策略设置来提供不限于数据防泄露的多种能力。
(3) 挑战3 完整的移动端to B安全解决方案
从企业的敏感信息保护而不是单个App的角度,实现跨业务流,包括数据防泄密、代码安全、配置安全等多个安全能力的覆盖,并与企业的真实BYOD办公流程契合。整合到一个平台来集中提供并借以简化运维成本,也是非常有必要的。
指掌易虽然目前核心业务的定位是办公安全综合解决方案提供商,并从EMM作为切入点在深耕这个领域。但拥有丰富移动端系统级安全经验的指掌易,to B的移动安全综合解决方案也必将是其未来的方向。
四、移动办公安全未来的市场方向
未来的市场方向,包括技术发展趋势、生态环境以及应用场景的变化。
指掌易认为,EMM首先要实现的是DLP的核心安全能力;然后是BYOD更广泛的安全需求;最后还要实现将移动设备、应用、数据、文档、邮件等业务资源的使用,与用户身份、安全状态、访问策略联动起来,通过安全大数据分析平台,从全局的视野来动态管理,而不仅仅是处理单点的安全需求。同时,安全能力的可扩展性,以及产品自身的开放性,包括和企业原有系统和第三方安全厂商能力的集成,也是非常重要的。
目前,BYOD所带来企业对办公安全的需求,是阶段性的;未来,更大的市场在物联网。但同时,如何对智能终端的安全性进行综合考虑,并在BYOD这个特定场景下实现安全管控,对于之后的过度是非常重要的。目前BYOD的安全需求是非常强烈的,而物联网安全的市场还在快速发展,指掌易也已经在技术层面进行了很多储备,为未来的云大物移全面融合打下基础。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
