BYOD:移動安全的演變之路
譯文【2013年7月31日 51CTO外電頭條】移動計算近年來已經成為改變企業面貌的重要因素,它不斷帶來新的生產力提升途徑與效率改進機制,并因此成為企業不可忽視的關鍵性輔助手段。
不過遠離內部環境的計算終端也帶來了無窮無盡的風險管理挑戰,管理者不得不對企業范圍內的移動計算安全流程進行重新組織。一旦失去此類管理政策,即使是最微不足道的小事(例如設備丟失)都可能帶來嚴重后果。
“目前發生頻率***的問題在于設備丟失,”云安全聯盟(簡稱CSA)移動工作組聯席主席David Lingenfelter指出。“員工如今開始廣泛將業務數據保存在個人設備當中,這就大大增加了信息泄露的可能性。”
CSA移動工作組最近剛剛發布了一篇名為《移動計算關鍵領域安全指南》的報告,其中匯總了當下移動設備在業務環境中的使用狀況以及移動計算安全所面臨的各類嚴重威脅。
除了設備丟失或被盜所引發的數據泄露,移動計算安全的關注重點還包括惡意軟件信息竊取、第三方應用數據丟失、高危網絡訪問以及移動管理工具缺失等情況。
隨著員工越來越多地利用消費級平臺(例如Android及蘋果設備)處理業務工作,企業在處理移動安全問題時的難度也隨之水漲船高,CSA移動工作組聯席主席Cesare Garlati指出。
“這些新平臺屬于消費級平臺;它們在安全性與可管理性方面根本無法與我們之前使用的方案相提并論,”Garlati解釋道。“企業IT無法通過服務人員培訓的方式為普通員工提供個人設備的安裝、維護以及修復等幫助,管理者甚至根本不知道這些接入的陌生設備來自何方。”
另一種狀況則加劇了安全問題的處理難度,這就是企業往往缺乏對內部移動設備進行風險評估與合規性檢查的能力,Garlati指出。這種缺失直接導致移動設備的安全漏洞成為最令消費者與企業頭痛的麻煩,而且如今我們已經無法阻止其進軍業務環境的腳步。
“我真的希望能有相關管理者站出來與互聯網服務供應商進行溝通,提醒他們如此糟糕的風險狀況根本無法接受,”Garlati補充稱。
BYOD管理政策的重要性
在移動計算安全規則真正被部署到位之前,堅實的自帶設備(簡稱BYOD)管理政策顯然能夠切實成為員工與企業免受滋擾、放心處理業務信息的重要基礎。這類政策應當定義企業在哪些情況下有權控制移動設備、企業又該如何將業務信息與個人信息區分開來。
不止如此,Lingenfelter建議稱BYOD政策應該拿出可靠的機制,從而在出現安全事故時迅速清除設備中的業務信息。要實現這一目標,我們需要借助工具或者移動設備管理產品,實現對設備中業務應用的全面控制——同時又不涉及員工的個人信息。
“作為一套合格的管理政策,我認為大家首先需要建立控制措施——無論是對移動設備本身進行管理還是對應用加以控制——這樣IT團隊才能保證設備中的應用始終處于監管之下。”只有利用這種集中式控制手段,IT管理者才能在不影響任何個人數據的前提下實現業務應用清理。
在部署BYOD政策時,個人隱私問題也是個不容忽視的大問題。企業需要認真考慮并妥善處理任何潛在的員工隱私內容,只有這樣安全監管工作才能得以順利開展。
當員工們通過個人設備接入企業網絡時,公司很可能希望或者需要追蹤并過濾往來信息,從而保證業務活動安全性。為此,我們恐怕必須建立起新的在線隱私規則,歐洲最近就在這方面取得了廣泛進展。
隱私問題正是Garlati所提出的“BYOD陰暗面”中的重要組成部分,企業需要有針對性地將傳統甚至有些陳舊的管理模式替換為新型、以個人移動設備為主要對象的方案。
“企業需要了解一點——在BYOD領域,所有效果出色的管理政策都會或多或少與法律法規發生抵觸,”Garlati表示。“企業需要在建立新政策的同時采取標準化表達方式,幫助員工們理解自己在將設備接入企業網絡時可以做什么、不能做什么。”
移動策略與移動設備安全仍然是IT部門的首要關注目標
員工所持有的智能手機已經成為企業業務流程中的重要組成部分,隨之而來的管理、風險以及合規性事務就成了必須首先處理好的前提條件。根據最近由SearchCompliance發布的一份調查報告,有96%的受訪者在談到自帶設備以及IT消費化時***想到“安全性”概念。
報告同時指出,“合規性”則是BYOD與消費化趨勢需要考慮的第二大重點。此次調查涵蓋了參與SearchCompliance 2013網絡安全狀況大會中24個虛擬研討環節的773位IT專家。
“這是又一種我們必須緊隨其后的發展趨勢,”美國眾議院監察長 Theresa M. Grafenstine指出。由于移動設備所涉及的信息越來越多,Grafenstine認為保障數據安全的難度也在逐步提升。“作為安全專家,我們希望盡可能嚴格控制手中的信息;而這勢必給業務流程帶來更高的復雜性。”
新技術改變了我們處理業務的方式——通常是以積極的方式,Grafenstine與其它與會者紛紛表示。有41%的調查受訪者認為IT消費化確實幫助所在機構“提高了員工的生產力水平”。
不過更重要的是,我們要清楚地意識到這些小設備身上蘊藏的潛力是無窮無盡的。企業不得不重新規劃業務流程并采用安全工具,旨在緩和移動設備中的安全風險。
“我們安全專家的工作不是對可能存在風險的事物一概否定,而是提醒機構***或者企業CEO目前我們面臨著哪些風險、將技術引入業務又會帶來哪些問題,”與會者Ron Ross博士解釋道,他現任美國國家安全技術局高級計算機科學家兼信息安全研究員。
目前就移動技術在業務領域的應用已經引發了激烈的爭論,Ross指出,但IT安全***需要與高管層共同了解目前已經存在哪些移動設備安全控制方案、這些方案的側重點又在哪里。舉例來說,28%的受訪者認為BYOD項目預算中的大頭應該被用于改進“網絡安全”。
“我們必須擁有廣闊的觀察視角,并有能力回答這樣的問題:如果決定采用新型移動設備技術,我們需要為其配備哪些以標準化形式部署在筆記本或者工作站中的安全機制?”Ross表示。
復雜性令移動安全難以實現
移動設備安全之所以如此復雜,是因為消費者們能夠選擇的設備種類及數量實在太過繁雜。員工們所購買的不同型號及品牌的移動設備在業務環境下可能暴露出多種多樣的安全缺陷,J.Gold協會創始人兼***分析師Jack E. Gold表示。
員工其實并不希望業務數據由于進入個人設備而面臨安全隱患,他們只是不了解如何避免這種狀況,Gold補充道。
“消費者主要關注產品的便捷性,”Gold指出。“他們通常只考慮到自己想要什么、何時購買,但卻沒有考慮過自身在風險知識及使用規范方面的弱點。”
有鑒于此,BYOD管理政策及策略應該在部署的同時向員工們清晰傳達其運作機制,Gold提醒道。調查受訪者們對他的建議也表示認可:68%的受訪者已經針對個人設備在業務環境中的普及建立了管理政策,另有19%正在著手部署之中。
Gold告訴我們,缺乏BYOD策略及相關政策很可能導致數據泄露事故的出現機率達到夸張的程度。
“在缺乏策略輔助的情況下,我們很可能失去對移動設備及移動基礎設施的控制能力,”Gold總結稱。
Gold建議各機構將注意力集中在應用程序安全性方面,而非移動設備本身。
“目前越來越多的企業允許用戶從應用軟件商店中下載程序并用于業務處理——實際上我們應該推出一系更限制措施,”Gold指出。“我并不太在意應用程序運行在哪些設備上,倒是更關心應用程序到底具備哪些功能、這些功能會對安全環境造成何種影響。”
相較于移動趨勢在業務領域的橫行無忌,調查發現受訪者在企業處理移動設備的基本立場上存在嚴重差異:31%的受訪者表示所在機構允許員工利用個人智能手機處理業務,但IT部門并未提供相應的技術支持;只有17%的受訪者表示所在機構為用戶的個人設備配備了IT支持措施。
26%的受訪者表示所在機構“嚴禁”員工利用個人設備處理業務——當然,這主要是出于安全考量。不過只要部署得當,移動環境的復雜性完全可以被維持在能夠被終端用戶所接受的程度,Gold表示。
“新型移動技術與新型用戶模式自然需要新型管理機制——這是大家在采取行動之前必須認真思考的問題,”Gold告訴我們。
