信息安全專(zhuān)家都喜歡用某種語(yǔ)言來(lái)解釋企業(yè)經(jīng)常面臨的安全威脅,其中一個(gè)常見(jiàn)說(shuō)法是“攻擊面”,這是指對企業(yè)信息或財務(wù)資產(chǎn)、知識產(chǎn)權或開(kāi)展業(yè)務(wù)能力的攻擊點(diǎn)。
因為任何成功的攻擊都可能帶來(lái)經(jīng)濟損失、法律或監管違規,或者損害聲譽(yù),因此,部署應對攻擊面的最佳做法能夠幫助企業(yè)限制不必要或者不請自來(lái)的訪(fǎng)問(wèn),抵御攻擊以及加強縱深防御。這需要企業(yè)圍繞有價(jià)值的資產(chǎn)構建多層保護,這樣的話(huà),即使其中一層被破壞,攻擊者也不能輕松地獲得信息。
這一切都意味著(zhù)移動(dòng)設備安全性非常重要。越來(lái)越多的員工和承包商開(kāi)始使用移動(dòng)設備訪(fǎng)問(wèn)企業(yè)系統、應用程序和數據,因此,企業(yè)必須保護這些訪(fǎng)問(wèn)。移動(dòng)設備的好處是幫助企業(yè)提高生產(chǎn)力,但同時(shí)也帶來(lái)了對信息和其他資產(chǎn)的未經(jīng)授權訪(fǎng)問(wèn)的可能性,這使它們變成對企業(yè)構成的威脅。
移動(dòng)設備本質(zhì)上是一個(gè)移動(dòng)的目標,它們通常用在企業(yè)外部,并不受防火墻、威脅管理、垃圾郵件和內容過(guò)濾以及其他工具的保護,因此企業(yè)必須部署移動(dòng)最佳做法來(lái)控制其所帶來(lái)的風(fēng)險,并將損失降到最低。所有安全專(zhuān)家都會(huì )告訴你,在保護事物的安全性和確保員工工作效率之間有著(zhù)很微妙的關(guān)系。
雖然這具有一定的挑戰性,并需要花一些功夫,下面列出的移動(dòng)安全最佳做法可以幫助企業(yè)保護移動(dòng)設備免受不必要的風(fēng)險,以及阻止對企業(yè)、知識產(chǎn)權、商業(yè)秘密或競爭優(yōu)勢的未經(jīng)授權訪(fǎng)問(wèn)。其中一些最佳做法的目標是保護移動(dòng)設備本身,而另一些則是旨在保護移動(dòng)用戶(hù)需要使用的數據和應用程序。所有這些最佳做法將幫助減少對企業(yè)的損害。
1.移動(dòng)設備需要反惡意軟件
如果你看一下最新發(fā)現的惡意軟件威脅,你會(huì )發(fā)現,移動(dòng)操作系統(例如iOS和Android)正在逐漸成為惡意軟件的目標,正如Window、MacOS和Linux作為電腦攻擊的目標。任何想要使用移動(dòng)設備訪(fǎng)問(wèn)互聯(lián)網(wǎng)的用戶(hù)都應該為其設備安裝和更新反惡意軟件。希望使用移動(dòng)設備用于工作目的的用戶(hù)更應該如此。
2.保護移動(dòng)通信的安全
大多數安全專(zhuān)家建議,所有移動(dòng)設備通信都應該理所當然地進(jìn)行加密,因為無(wú)線(xiàn)通信非常容易被攔截和窺探。這些專(zhuān)家還進(jìn)一步建議移動(dòng)設備和企業(yè)或云系統集服務(wù)之間的任何通信都應該使用VPN來(lái)進(jìn)行訪(fǎng)問(wèn)。VPN不僅包含強大的加密功能,它們還能提供日志記錄、管理和身份驗證(對想要使用移動(dòng)設備訪(fǎng)問(wèn)應用程序、服務(wù)或遠程桌面或系統的用戶(hù)進(jìn)行驗證)。
3.需要強有力的身份驗證,使用密碼控制
很多現代移動(dòng)設備包含本地安全選項,例如內置生物識別技術(shù)(指紋掃描、面部識別、聲音識別等),但較舊的設備通常是采用小型可攜帶安全令牌(或者通過(guò)電子郵件或自動(dòng)電話(huà)系統等方式發(fā)出的一次性密碼)。除了簡(jiǎn)單的帳號和密碼,移動(dòng)設備應該采用多種形式的身份驗證來(lái)確保移動(dòng)設備不會(huì )自動(dòng)獲取訪(fǎng)問(wèn)重要信息和系統的權限。
同樣地,企業(yè)應該要求用戶(hù)啟用并使用密碼來(lái)訪(fǎng)問(wèn)其移動(dòng)設備。企業(yè)應該考慮數據丟失和泄漏的風(fēng)險是否意味著(zhù)一定數量的失敗登錄嘗試應該清楚設備內部存儲。(大多數現代系統包含遠程清除智能手機或平板電腦的功能,但移動(dòng)設備管理系統也可以將這種功能引入到舊設備)。
4.控制第三方軟件
向員工發(fā)放移動(dòng)設備的企業(yè)應該制定政策來(lái)限制或阻止第三方軟件的使用。這是防止潛在合規和安全泄漏事故的最佳做法,路過(guò)式流氓軟件、后門(mén)程序及“黑網(wǎng)關(guān)”都可能使信息落入到壞人手里。
對于BYOD管理,最安全的做法是要求員工登錄到遠程虛擬工作環(huán)境。然而,進(jìn)入到移動(dòng)設備的唯一信息的來(lái)自工作應用程序和系統的輸出畫(huà)面;數據并不會(huì )進(jìn)入遠程會(huì )話(huà)。由于遠程訪(fǎng)問(wèn)通常都是通過(guò)VPN會(huì )話(huà),通信也很安全,企業(yè)能夠(而且應該)部署安全政策以防止下載文件到移動(dòng)設備。
5.創(chuàng )建單獨的受保護的移動(dòng)網(wǎng)關(guān)
重要的是,你需要知道移動(dòng)用戶(hù)真正需要訪(fǎng)問(wèn)的系統和應用程序。同時(shí),通過(guò)具有自定義防火墻和安全控制(例如協(xié)議和內容過(guò)濾及數據丟失防御工具)的特殊網(wǎng)關(guān)傳輸移動(dòng)流量,能夠讓移動(dòng)員工專(zhuān)注于他們應該做的工作。這還能夠加強保護不需要通過(guò)移動(dòng)設備訪(fǎng)問(wèn)的有價(jià)值的資產(chǎn)。
6.選擇(或要求)安全的移動(dòng)設備,并幫助用戶(hù)鎖定這些設備
移動(dòng)設備應該被配置為避免不安全的無(wú)線(xiàn)網(wǎng)絡(luò ),藍牙功能應該隱藏起來(lái)。事實(shí)上,當沒(méi)有激活用于耳機時(shí),藍牙應該完全被禁用。企業(yè)應該對用于工作目的的個(gè)人移動(dòng)設備準備一個(gè)推薦的配置,并在用戶(hù)將其設備用于工作之前部署這些配置。
7.定期進(jìn)行移動(dòng)安全審計和滲透測試
每年至少一次,企業(yè)應該聘請有信譽(yù)的安全測試公司來(lái)審計其移動(dòng)安全,并對他們使用的移動(dòng)設備進(jìn)行滲透測試。一些公司還可以幫助修復和解決他們發(fā)現的任何問(wèn)題。聘請專(zhuān)業(yè)人士按照攻擊者的方式來(lái)測試你的移動(dòng)安全,你將能夠保護自己免受攻擊者可能帶來(lái)的各種威脅。
移動(dòng)安全是一種態(tài)度
雖然移動(dòng)安全可能有自己特殊的問(wèn)題和挑戰,但你必須部署上述最佳做法來(lái)保護你的員工、資產(chǎn)、聲譽(yù)和企業(yè)愿景。通過(guò)采取適當的措施來(lái)防止數據丟失和降低風(fēng)險,你的員工和承包商將能夠放心地利用移動(dòng)設備帶來(lái)的令人難以置信的優(yōu)勢。
請記住,預防為主,治療為輔。這樣一來(lái),你就不會(huì )面臨因為沒(méi)有履行應盡的職責、合規和最佳做法而受到的法律處罰。
