员工对企业保护自己移动设备安全的信心不足

  • 由Check Point软件技术有限公司发起的一项调查显示,64%的受访者怀疑他们所在组织是否有阻止移动网络攻击的能力,而移动网络攻击会引起员工个人信息的被盗。

    Clipboard Image.png

    员工对企业防护移动网络攻击的信心

    员工可能并不知道公司安全管理的细节。而一般的IT安全部门也不会把所有的安全措施都告知给员工,即便这些措施是企业赖以保障公司IT环境安全的重要举措。作为企业,应该充分利用公司的安全意识培训,帮助员工去了解公司用技术手段解决了什么样的安全风险。


    在报告中,超过60%的人指出资源匮乏(如预算不足、人员短缺)或经验不足成为他们对公司安全工作信心不足的主因。而只有37%的人对公司的安全工作做出了中肯的评估,并认为现有的风险评估不足以支撑企业进一步投资安全建设的意愿

    绝大多数组织机构本身都认为他们的移动设备没有得到很好的保护。虽然决策者们明白,他们应该做出更多的措施来保护员工的移动设备,但他们通常甚至根本没有意识到移动设备的安全性是多么的脆弱,最终导致企业面临着严重的违规风险。

    对此,很多IT和安全从业者依靠移动设备管理(MDM),并认为MDM提供了足够的安全,这是片面的。其实MDM只是提供了有限的安全。因为MDM的主要功能是移动设备的中央管理,而观察典型的安全基础设施会发现,移动网络和IoT(物联网网络)大都被归于白名单,可自动访问,且不在移动安全系统的管理下。因此移动设备依然很容易受到攻击。

    这就是为什么10个调查对象中只有2成认为自己被攻破了。看似很低的数据,其实是他们可能已经被攻破了,只是没有发现而已。

    此外,CIO们需要有前瞻性,先于不法分子的破坏行为,这意味着CIO们在寻找移动设备和IoT的安全解决方案方面要更加尽职尽责。由于缺乏安全性,移动和物联网都受到了不法分子的觊觎。他们希望找到最简单的入侵方式,移动和物联网就是他们的突破口。

    在最近的一次展示中,某移动厂商发现有23部手机嵌入了恶意软件导致数据泄露,另有5、6部手机在用户完全不知情的情况下被越狱或ROOT(破解)了。这件事情提醒企业,要像传统的反病毒和MDM一样,注意这些容易被忽略的问题。

    安全人员探讨为企业的网络提供零日漏洞的安全防护。此处需要再更进一步,也应该包含企业的移动设备。


    调查还显示,94%的人预计手机攻击的频率会增加,79%的人认为移动设备的安全会变得更加困难

    Clipboard Image.png

    对手机攻击频率和移动设备安全的预测

    企业需要全方位的安全防护,包括移动网络和物联网,而不仅仅是现有的传统网络。企业要在安全防护上保持对不法分子的领先优势,这意味着更多的研究机构和解决方案供应商会为企业的办公环境提供更加全面的安全防护。随着越来越多的移动设备和BYOD的增长,移动设备面临的威胁也在持续增长。

    企业需要像管理公司手机一样控制BYOD设备,如果用户不同意安装和调试安全应用程序,那么用户就无法访问公司网络或公司电子邮件。

    移动和物联网设备对企业来说与电脑没有区别,企业需要为这些系统提供最好的安全措施,就像对自己和员工的个人电脑和公司局域网的服务器所做的安全措施一样。尽企业最大的努力去领先于不法分子,这样企业的安全人员就能尽职尽责地为不断变化的办公环境寻找更好的安全解决方案。而重点在于这不光包括了个人电脑和服务器,还有移动设备。

    报告指出,虽然移动设备违规的成本损失与台式机或笔记本电脑的违规情况相仿,但三分之一的受访者表示,移动设备上的数据丢失风险更高。只有三分之一多的公司已经部署了移动威胁防御解决方案,而其他公司没有部署先进的移动安全方案的主因是资源匮乏。研究同时发现,尽管现状如此不堪,与几年前相比,也仅有超过一半的公司正在增加预算和资源,以确保移动设备的安全。

    Clipboard Image.png

    移动和PC违规成本对比

    Clipboard Image.png

    企业不使用先进移动安全方案的原因


    我们能做什么

    虽然没有哪种安全策略能够以一套方案适用于所有场景,但组织机构应该专注于以下四种主要能力,以确保安全保护工作:

    • 了解存储数据的位置,及其可能的威胁。了解数据所在的位置和如何访问数据同样重要。例如,如今大多数组织机构都在电子邮件之外使用云,这通常是移动办公设备上唯一经常使用的数据存储方式。要知道内容存储在哪里,以及相应存在的风险,可以防止因数据泄漏造成的高额损失。

    • 尽可能限制对敏感数据的访问。许多组织机构可能会发现,通过减少访问最敏感数据的人的数量,可以大大减少移动设备数据泄露造成的影响。

    • 远程访问的控制。随着手机使用量的增加,全球化企业的员工们正试图从世界各地获取高度敏感的企业数据。与简单的在任何设备上输入密码即可访问数据相比,确保数据只能通过安全的、多因素的身份验证连接访问,可以显著降低移动数据泄露的风险水平。

    • 基于风险级别的移动设备保护。如果你发现你必须允许在移动设备上访问或存储高度敏感的信息,那么就需要更多的保护措施了。如果常规移动安全措施都失效,继而发生了违规访问数据的行为,更高水平的移动设备安全管理措施依然能够为企业提供控制和监控设备的安全服务和产品。无论设备身处何方,组织机构需要具备随时随地擦除移动设备上敏感数据的能力。

    多年来IT部门一直被认为是企业“老大哥”似的的重点部门。世界上充斥着这样的故事,IT部门常常以“安全”的名义,在员工的设备上安装了间谍软件、密钥记录器、网络流量过滤器和其他技术产品,但员工认为这实际上是公司窥探了自己在办公室里的所有行为。

    与其成为人力资源的附属,IT部门需要充当员工利益的维护者。在对员工部署BYOD项目之前,要确保对员工是有切实利益的,即提供了包括简单的电子邮件访问在内的,更高效的生产力工具;这可以作为一种很酷的应用程序,使员工在办公室内外都能高效的工作,可以访问企业的内网站点,或者方便地访问业务文档。

    IT部门需要积极地将这些好处作为推广BYOD计划的一部分,并且当产品有所改进时,继续传递在业务系统中推行移动程序的好处。

    此外,一定要尽早沟通,不单是指IT部门将要做什么,不会做什么,还包括为什么要这么做,而这一切都关于员工隐私。随着新功能的推出,如苹果的HealthKit,确保所有员工都能及时了解这些新技术对BYOD项目的意义,即使企业没有计划在内部利用这些新功能。


    那么作为CISO,你会如何建立一个让员工感觉更安全的公司网络呢?

    或许可以使用像证书这样的工具来完成,这可以帮助企业确保员工在公司Wi-Fi上传输的任何信息都不会被攻击者截获。此外,许多公司的安全工具也需要防护起来,例如监视操作系统的及时更新,以及它是否被篡改,最终确保终端用户的私有数据与公司数据一起受到保护。

    同时,包含移动应用管理(MAM)、移动内容管理(MCM)、移动身份认证(MI)等功能模块的轻量化的EMM解决方案,也能很好的保障移动设备的数据安全。这种在应用层加密存储传输企业数据,防非法分享、复制、粘贴,限制摄像头、话筒,以及Wi-Fi、蓝牙、GPS等功能,禁止截屏、录屏的弱管控产品,公私数据分离,在BYOD场景种,既满足安全的需求,也很大程度上尊重了用户的隐私诉求。

    一些通过特殊沙盒技术和虚拟安全域技术的构建安全产品,正被广泛应用于各组织机构的移动安全管控中。


    最后,我们再次重申:安全意识培训是保护所有端点安全的第一选择,包括了那些不属于企业的所有端点,因为它们显然被授权可与企业的资产交互(如BYOD)。不过也有一些技术工具可以确保这些交互的安全。但是,所有的安全管理都必须在安全性和必须要处理的最终用户的冲突之间找到正确的平衡点,尤其当这些所谓的安全工具已经影响了员工自己的移动设备的情况下。

原始链接: http://www.freebuf.com/company-information/156401.html
侵权请联系站方: [email protected]

相关推荐

换一批