信息技術近期的最大趨勢可能就是員工“自帶設備”(BYOD) 和移動性實踐的現(xiàn)象迅速發(fā)展。的確�,我們現(xiàn)在正面臨著 IT 消費化,其中供客戶使用的資源通常等于或超過企業(yè)傳統(tǒng)上向員工提供的資源���。最近����,我們發(fā)現(xiàn):
• iOS 和 Android 推動平板電腦計算崛起
• iOS 和 Android 同樣推動智能手機崛起
這些新生的設備靈活、光鮮且有趣�����,而傳統(tǒng)企業(yè)發(fā)放的筆記本電腦可以視為“平庸無奇”��。此外�,因為用戶如此喜歡其設備,所以通�?偸请S身攜帶著它們。的確���,這些設備是“驚奇小工具”��,能夠完成與工作�����、個人或娛樂有關的幾乎任何任務��。它們使員工可以選擇攜帶一個設備���,而不是多個設備���。它們還可以提供額外的工作場所門戶,因為許多人將設備配置為可訪問與工作相關的電子郵件���、網站和應用程序��。
BYOD 由員工所有和配置���,可提供眾多通信和社交網絡選項,這僅僅在幾年以前還是不可想象的�����。我們可使用 Skype�、WhatsApp����、Line、Facebook���、iMessage — 這類工具不勝枚舉�����,每天都會誕生新的選擇���。
廣泛的通信和社交選擇
員工在其個人生活中(并且越來越多地在其業(yè)務生活中)使用這些通信工具����。它們以較低成本或免費提供與好友和同事之間的即時全天候通信�����。它們促進隨時隨地工作�。遺憾的是,如果使用不小心����,這些選擇還可能會帶來意想不到的風險。它們可能會導致失去對數據和應用程序的控制�����。對于員工所有的設備:
• 企業(yè)無法控制安裝的應用程序或應用程序修訂級別
• 企業(yè)無法控制操作系統(tǒng)修訂級別或補丁狀態(tài)
• 不同的操作系統(tǒng)意味著不同的風險級別和類型
• 組織可能暴露在新的和不熟悉的漏洞下�。
• 遠程設備管理難以或無法進行
• 丟失、被盜或解鎖的設備提高了數據泄漏的風險
也就是說�����,對于在我們網絡內外(因而在我們置于組織周圍的邊界防御內外)移動的傳統(tǒng)雇主提供的筆記本電腦,也存在著以上相同風險中的一種或兩種�����。這在過去幾年中也已成為一種日益普遍的現(xiàn)象�,從而使員工可以更靈活且更高效地工作。
任何組織的目標都是在這些風險與 BYOD 和移動性所帶來的好處之間尋求平衡����。本質上,只要關鍵企業(yè)資產與這些趨勢所施加的額外風險絕緣�����,組織便會允許這些趨勢存在�����。
最新 WISR 指出��,63% 的企業(yè)受訪組織允許個人設備進入其網絡�。在這些組織中����,有 25% 完全不監(jiān)視這些設備���。這意味著無法了解這些設備在內部執(zhí)行的操作,進而意味著無法檢測可能受損的設備�����。
BYOD狂潮
與 BYOD 和移動性有關的一個主要安全問題是它們如何使組織安全邊界變得模糊�。邊界防御不保護處于網絡外部的設備。因此��,設備可能在網絡外部受到感染�。當受感染的設備返回網絡邊界內部時,所有邊界防御都顯得無關緊要���。
WISR 為應對 Intranet 上實際遇到的威脅帶來了一線曙光�。受訪者遇到的首要安全威脅是“受僵尸病毒損害的主機”����?紤]到存在的惡意軟件變體的數量和復雜性����、它們的演化速度以及 IDS 和防病毒 (AV) 系統(tǒng)因而無法充分保護我們�����,僵尸主機的增多便并不奇怪���。BYOD 和員工移動性的引入只會使情況更糟。25 % 的企業(yè) WISR 受訪者報告在其內部網絡上遇到過惡意間諜或高級持續(xù)性威脅 (APT)���。這些類型的威脅可能難以主動檢測�,因為它們在安全邊界內部出現(xiàn)并且設計得十分隱蔽�����。
WISR 指出���,四分之一的企業(yè)受訪者未在其網絡上監(jiān)視或以其他方式檢測是否存在員工所有的(或其他)設備�。受感染的設備可能會偷偷從企業(yè)復制數據����,僅在處于企業(yè)網絡外部時才上載相同數據。此外���,這些設備可能會向企業(yè)網絡引入 APT 或僵尸網絡�。
將 BYOD 和移動性引入我們的日常工作生活將突出以下工作的關鍵性:
• 制訂清晰明確的安全策略�����,其中說明員工在希望將 BYOD 帶入企業(yè)網絡時所承擔的責任����。
• 基于信任級別分割網絡 — 并將 BYOD 置于比公司所有的資產更低的信任級別。
• 針對所有連接的設備及其用戶的面向網絡的活動提供優(yōu)秀的監(jiān)視功能通過仔細監(jiān)視其網絡�����,組織可以識別惡意活動跡象�����,包括:
• 主機掃描
• 端口掃描
• APT/ 惡意軟件感染的設備
• 即將上線的新服務����、應用程序和服務器
• 連接到網絡的新主機
• 與外部地址的可疑連接
• DDoS
• 隧道應用程序
• 對等 (P2P) 和垃圾郵件機器人
在我們的網絡內部檢測和緩解威脅
傳統(tǒng)上,組織會定義圍繞其網絡的邊界并在此邊界上部署威脅檢測�、緩解和監(jiān)視解決方案。此體系結構可提供網絡守衛(wèi)和訪問控制�����,但是不足以應對當前的自適應網絡環(huán)境和復雜的威脅局勢。隨著員工移動性的提高��、BYOD 的興起以及黑客可以更輕松地逃避基于簽名的檢測�����,企業(yè)需要具有更廣泛監(jiān)視水平的解決方案�����。
無論針對業(yè)務數據完整性和機密性的威脅是由惡意軟件還是由惡意間諜推動����,應對這些威脅都要求解決方案使當前捉衿見肘的安全資源可以快速識別重要風險 — 從而使它們可以更有效地集中自己的時間�。組織必須利用自己基礎設施的現(xiàn)有能力,通過已部署的遙測功能(如 Netflow)來經濟高效地獲取網絡流量詳細信息�����。
通過將此詳細信息與可操作的威脅和聲譽智能相關聯(lián)以及在其網絡中的關鍵點處(例如數據中心邊界)部署第 7 層檢測機制和沙盒功能����,企業(yè)可以識別可疑行為。
如果組織部署提供這些功能的解決方案(更重要的是使之運行),則可以評估風險并改變其整體安全態(tài)勢以更好地保護自己�。
然而,越來越多的企業(yè)不僅必須保護自己免受 DDoS 攻擊和其他類型的網絡入侵��,還必須考慮它們可能不知不覺中依賴的輔助服務的受保護程度����。
