尽管担心自带设备(BYOD)的安全风险,但过去几年中,员工仍享受BYOD的多项好处。雇主也是如此,他们不可能阻止员工携带自己的设备上班或出于工作目的远程使用它们。面临的挑战仍然是确定与BYOD相关的安全风险并找到最合适的解决方案来减轻这些风险.
入门–谁,什么,何时何地?
每个组织对BYOD都有自己的方法,并且需要按行实施自定义保护。 BYOD在您的工作场所如何实践?正在使用哪些设备,由谁,何时何地使用?
考虑这些考虑因素(谁,什么,什么时候,在哪里)是制定规则的第一步,可以帮助平衡BYOD的风险与组织和员工的利益。好处是巨大的。这些包括使员工更满意,降低硬件成本以及为远程工作者增加移动性和生产率。在鼎盛时期,BYOD非常聪明,实用,具有成本效益,时尚且对员工友好。 IT部门正在省钱。员工喜欢使用自己知道的工具,而无需微管理其数字生活。这并不是说车轮掉下来了,而是随着网络攻击越来越成为头条新闻,如今对BYOD的好奇矛盾仍在持续。组织意识到他们必须开始权衡安全成本与BYOD给公司财务底线带来的价值.
对BYOD实施感兴趣-请参阅我们的BYOD终极指南
BYOD有哪些风险?
除技术挑战外,安全和隐私是BYOD的主要风险。技术挑战包括连接到wifi,访问共享文件或打印机等网络资源以及解决设备兼容性问题.
安全和隐私是组织和员工以不同方式面临的风险。组织倾向于更加关注公司数据的安全性(以及用户行为如何威胁到它)。员工更加关注其个人数据的私密性和机密性(以及雇主拥有哪些权限访问这些数据).
安全隐患
- 当地暴露 –丢失了在个人设备上传输,存储和处理的企业数据的控制权和可见性。 BYOD的固有缺点之一.
- 资料外泄 –来自不安全设备的潜在数据泄漏或企业数据泄露
- 资料遗失 –物理损失或设备被盗(从而丢失或损害敏感数据)
- 公众曝光 –易受中间人攻击和在远程工作者经常使用的公共wifi热点进行窃听的可能性。连接到个人区域网络,例如使用蓝牙会带来类似的安全风险.
- 使用不安全 –第三方不接受BYOD的使用,例如朋友或家人在家里
- 恶意应用 –完整性受损的设备。一个示例是在同一设备上安装具有不同信任级别的应用程序。例如,允许推送通知或启用基于位置的服务。恶意应用程序可能能够嗅探,修改或窃取应用程序间消息,从而危害设备上的可信应用程序。此外,即使来自官方应用商店的应用也可能受到威胁。 2015年,《连线》报道苹果公司从应用商店中删除了300多种软件。在此之后,针对开发人员工具集的恶意软件成功创建了受感染的iOS应用.
- 流氓应用 –通过获得对移动设备的root访问权限,存在用户(又名“流氓员工”)可以绕过安全限制的风险。在某些情况下,他们可能会安装恶意应用.
- 交叉感染 –将个人和公司信息存储在同一设备上只是(许多)风险之一。公司数据可能被意外删除.
- 特定于操作系统的安全性自定义 –“越狱”,“ root”和“解锁”是用户可以在个人设备上执行以消除供应商配置限制的三种流行过程。这使它们更容易受到不安全应用程序的攻击。他们可能能够不受限制地访问设备传感器(例如麦克风,摄像头)或存储在设备上的敏感数据.
- 内部攻击 –难以防止内部攻击的漏洞,因为内部攻击发生在使用有效用户配置文件的组织的局域网(LAN)中
隐私问题
由于BYOD可以访问公司的服务器和网络,因此公司可以合法地访问它们。最初,员工对隐私的担忧是“老大哥”式的。这些担忧包括公司是否有能力,有权利窥探私人通信并限制他们私下使用互联网的方式,例如访问社交媒体网站。但是专家们几乎都同意,雇主对员工在业余时间所做的事情并不十分感兴趣。他们对自己的所作所为是否会以任何方式损害公司的安全性更加感兴趣。很明显,在组织可以,应该和需要深入研究个人数据的深度方面,有一条很好的界限。事实是:
- 诉讼 –在涉及组织的诉讼中,员工移动设备可能会受到发现请求的约束
- 个人资料遗失 –公司的BYOD安全性可能依赖于无法区分个人数据和公司数据的软件。因此,如果发现安全漏洞,则设备上的所有个人和公司内容都可能会自动删除(称为远程擦除)。如果您不备份第一个孩子出生的视频,这会有些困难.
- 大哥 –尽管不像Orwell的反英雄那样故意这样做,但是公司的IT部门肯定可以随时跟踪员工的实际位置并了解他们的在线活动.
在医疗保健行业中,安全性和数据隐私风险无疑是最高的。这是因为患者数据是网络罪犯特别有利可图的目标。医疗历史,保险和财务数据以及识别信息处于危险之中.
BYOD安全技术综述
您需要了解武器库中的一些潜在武器.
移动设备管理(MDM)
MDM通常是BYOD安全性的第一个呼叫端口。但是,请记住BYOD是所有权模型。 MDM和移动应用程序管理(MAM)是公司可以购买和使用以帮助保护BYOD的简单软件类型。组织可以轻松实施第三方MDM系统。它可以做一些事情,例如远程擦除手机中的所有数据并找到丢失的手机。 MDM在数据隔离方面也很出色。例如,在同一地址簿中共享工作和个人联系人会造成数据泄漏的高风险。错误地选择一个个人联系人作为收件人并意外发布敏感的公司信息非常容易。请记住,MDM与网络访问控制(NAC)软件一起使用时效果最好(请参阅 下一代网络访问控制(NAC) 下面。)
企业移动性管理(EMM)
EMM与MDM类似。主要区别在于,MDM管理设备的所有功能,而EMM管理整个设备.
BYOD 1
MDM系统管理BYOD 1时代的设备。随着时间的流逝,IT专家发现BYOD的真正问题并改变了他们的策略。问题在于,通过在同一部电话上拥有公司和个人数据,给员工和组织带来了不同的风险。员工对自己的隐私受到威胁而退缩,组织担心企业数据的安全漏洞.
BYOD 2
输入BYOD 2和移动应用程序管理(MAM)。 MAM管理的应用程序而不是整个设备。员工可能会觉得自己的个人数据是私有的,并且可以控制自己的设备(哎呀,他们付钱了,不是吗?)就他们而言,组织现在只需要担心企业数据和数据的控制,管理和安全。应用程序,而不是个人内容.
移动应用管理(MAM)
但是MAM起作用吗?一个问题是,MAM很难管理官方应用商店中的应用。为了解决此问题,MAM供应商试图通过其自身的安全性,加密和控制层来“包装”常规的现成应用程序。问题在于,为了让IT部门“包装” iOS或Android应用,他们必须从编写该应用的任何人那里获取该应用的原始打包文件。但是大多数应用程序开发人员确实不希望将这些文件分发出去。另外,MAM供应商编写了用户自己想要下载的应用程序的安全版本。这在一定程度上击败了该物体。毕竟,BYOD的优点之一是可以按照习惯使用的方式自由使用设备。这是BYOD趋势背后的推动力之一。像IBM这样的公司免费发行了黑莓手机,他们很快意识到员工更喜欢个人的iOS和Android设备,他们对此更加自在.
虚拟主机桌面(VHD)容器化
VHD将创建一个完整的桌面映像,其中包括操作系统,所有应用程序和设置。任何机器都可以访问桌面,而处理和存储都在中央服务器上进行。一个示例是Office365。对于远程工作者,此模型的主要问题不是理想的性能。它仅适用于基本的办公应用程序,例如文字处理,电子表格和基本消息传递。 VHD容器化将本机应用程序放置在设备上的安全区域内。它有效地将其隔离并保护它们免受某些功能的影响,例如无线网络连接,USB端口或设备相机。 VHD容器化的主要问题是客户端存储固有的安全性问题.
下一代网络访问控制(NAC)
在过去,Windows服务器很容易控制静态用户计算机,并且限制非常严格。如今,由于必须使用不同的操作系统处理无线BYOD,控制网络访问变得更加复杂.
现代NAC软件(称为下一代NAC)可对用户进行身份验证,实施安全应用程序(例如防火墙和防病毒软件),并根据已定义的安全策略(尤其是针对移动设备)将网络资源的可用性限制到端点设备。 NAC是严格遵守规则的工具,可以根据用户和设备的Who,What,When和Where属性执行风险评估。管理员可以创建并自动执行严格的粒度访问策略。例如,在正常工作时间内完全合法的用户/设备组合可能无法在下班后自动获得对系统各部分的访问权限。顺便说一句,在行业中,它通常被称为基于角色的访问控制(RBAC)。下一代NAC要求网络识别用户身份。它仅允许他们通过应用严格的用户角色规则来访问必要的资源.
简而言之,NAC控制着访问某些类型数据的用户。它与MDM配合使用效果最佳,MDM使组织能够在员工设备上监视,管理,保护和应用安全策略。.
数据丢失防护(DLP)
DLP是一种确保最终用户不会在公司网络之外发送潜在的敏感或重要信息的策略。创建信息后,DLP工具可以为其应用使用策略,无论是文件,电子邮件还是应用程序。例如,它可以识别包含社会安全号码或信用卡信息的内容。与下一代NAC一样,DLP也是规则制定者。本质上,它首先将数字水印拍打到敏感数据上。然后,它监视如何,何时以及由谁访问和/或传输此数据。不同的公司具有不同类型的敏感数据。有一些通用的解决方案包,其针对的信息通常被认为是机密的,例如在电子邮件中使用“机密”一词。 DLP软件可以检测到“机密”一词的使用并执行某些操作,例如隔离电子邮件。 DLP的主要缺点是规则实施不当会对用户体验产生负面影响。例如,在支持角色无法在工作时间访问某些应用程序或数据的情况下.
BOYD解决方案清单
组织可以采取多种措施来减轻BYOD风险:
- 一种 综合策略 是最好的方法,即使您了解组织的BYOD用途,用途,时间和地点。全面的配对应包括配对实施时最有效的配对解决方案,例如MDM和NAC.
- 此外,解决方案应包括 实用规则 不是侵入性或小事。例如,如果您的DLP工具识别出包含“机密”一词的外发电子邮件,则彻底擦除用户的消息可能会过分杀伤力。而是标记它以进行后续调查。 (看到 远程擦拭 下面。)
远程擦拭
远程擦除是用于从设备远程删除数据的工具。这包括覆盖存储的数据以防止取证,以及将设备恢复为原始出厂设置,这样任何人都无法访问其中的任何数据。.
Mimecast首席执行官Peter Bauer的女儿当时在互联网上广为娱乐报道。在度假期间与父亲的智能手机一起玩时,她输入了多个错误的密码。这导致电话的远程擦除功能被激活,删除了他在旅途中拍摄的所有照片。尽管远程擦除功能是保护丢失或被盗设备上数据的有用安全措施,但是使用远程擦除功能可能会导致不必要地擦除员工的数据。解决方案:组织需要在BYOD设备的个人使用和工作使用之间建立安全平衡。当收到有关潜在安全漏洞的警报时,安全管理员可以从物理上确定它已丢失或被盗,而不是自动擦除设备的数据。只需要打个电话.
风险分析
组织需要了解自己的数据保护要求。在可能存在合规性要求并编制风险简介的受监管环境中尤其如此。例如,国际部署和合规要求是BYOD风险水平特别高的两种情况.
保持最新
使用最新的安全补丁程序频繁更新操作系统,浏览器和其他应用程序。安全专家说,Panama Papers崩溃是历史上最大的数据泄漏之一,原因是过时的软件漏洞.
保持最新状态的另一方面是确保离职的员工的设备被适当地擦除公司数据。如果不是这样,任何数据被泄露的风险可能会持续到将来。例如,如果前员工出售他们的设备会怎样?而且我们是否提到过不满的员工可能会因获取公司机密和知识产权而遭受严重破坏?敏感的公司数据在Dark Web上获得溢价.
隔离数据
最好根据员工职位的性质限制对企业数据的访问。这就是下一代NAC的用武之地。更智能的数据供应可确保对敏感数据的最少必要访问。此外,隔离和VPN可以防止敏感数据在数小时后通过不可靠的公共无线热点泄漏出去.
设备跟踪
不要低估良好的老式密钥和挂锁安全策略的价值。当一名员工在几年的时间里偷走了许多笔记本电脑并导致许多数据泄露时,可口可乐遭受了数据泄露。可口可乐甚至都没有注意到笔记本电脑被盗了。该解决方案适用于公司实施严格的设备跟踪策略。这样,他们总是知道所有公司设备的下落,无论是否在使用中。另一个好的做法是实施监视系统,该系统可以监视进入和离开公司场所的所有设备。将访客的设备包括在监视系统中.
削减流氓员工
流氓员工是城市丛林中的独特生物。或者至少他/她认为他们是。这个人没有像我们其他人那样必须遵守社会规则的人。例如,这个人可能会深信在酒精的影响下他们会开车更好。在工作场所中,流氓驾驶员几乎不理会政策和规则.
TechRepublic早在2013年就曾报道说,有41%的美国移动业务用户曾使用未经认可的服务来共享或同步文件。 87%的人承认他们知道自己公司的文档共享政策禁止这种做法.
最低级别的数据泄露是由于人为错误造成的。解决方案之一是对从CEO到制茶师的所有角色进行定期的强化安全培训。带给我们安全意识.
安全意识培训
TechRepublic还报道了一个非营利组织的安全团队的故事,该组织发现一些未经IT授权使用Dropbox的团队最近遭到黑客入侵。团队非常明智地联系了DropBox。他们通过电话告诉CSR,他们想进一步了解其组织如何使用该平台。电话代表自愿提供的数据超出了他们的预期,并告诉他们:“我们列出了1600个用户名及其电子邮件地址。云存储供应商显然最有兴趣向他们出售企业版,并且愿意共享客户列表,甚至不需要验证呼叫者的身份。该事件发生后,该代表参加了安全意识培训课程……我们希望.
如果没有写下来,就不存在
根据AMANET的一项调查,多达45%的雇主跟踪内容,按键和在键盘上花费的时间。但是,要正确看待这一点,有83%的组织通知员工该公司正在监视内容,按键和在键盘上花费的时间。 84%的员工让员工知道公司对计算机活动的评估。 71%的员工提醒员工监视电子邮件.
当涉及BYOD时,公司需要制定可接受的使用政策和程序以清楚地传达界限。他们应明确描述违反政策的后果。 BYOD需要组织与其员工之间的相互信任–一方面是数据安全性,另一方面是个人信息的保护。但是,当数据泄露导致诉讼时,这无关紧要.
在允许访问任何企业资源之前,企业必须对员工拥有的设备建立正式的注册和配置过程。员工需要承认他们了解游戏规则.
应该包括什么:
- 可接受的使用,包括社交媒体访问
- 安全程序(例如密码更新和加密)和事件响应准则
- 财务使用条款(报销,如果有的话)
- 涵盖设备和数据丢失的规则
- 可能进行什么监视
- 允许或不允许使用哪些设备
阻止BYOD采用的原因-安全或模棱两可?
BYOD到底有多流行?
当BYOD在2009年首次流行时,有67%的人在工作场所使用个人设备。根据2012年Microsoft的一项调查,只有53%的组织报告制定了明确允许此类活动的政策。顺带一提,事情并没有太大变化。 BYOD似乎仍然处于不断变化的状态。让我们看一下数字.
Gartner,Inc.的Executive Programs对CIO进行的全球调查发现,预计到2016年将有38%的公司停止向工人提供设备。这家研究巨头继续预测,到2023年,一半的雇主将要求雇员自己提供设备设备用于工作目的。几乎没有迹象表明实际上已经发生.
2015年CompTIA(付费专区)调查–“建立数字组织” –发现53%的私人公司禁止BYOD。接受调查的受访者中有7%的人表示他们允许实施完整的BYOD政策。全面的政策意味着公司对设备不承担任何责任。 40%允许部分BYOD政策。通过部分策略,公司可以提供某些设备,但允许某些个人设备访问公司系统.
Blancco(paywall)于2016年进行的一项研究–“ BYOD和移动安全” –对超过800位网络安全专业人员进行了调查,这些专业人员是LinkedIn信息安全社区的一部分。研究发现,接受调查的组织中有25%的组织没有计划支持BYOD,不提供BYOD或尝试过BYOD但放弃了。该研究发现,安全性(占39%)是BYOD应用的最大障碍。员工隐私问题(占12%)是第二大阻碍因素.
底线:在某种程度上考虑到BYOD的异议者可以原谅.
BYOD是一个利润丰厚的市场,但对谁而言?
市场和市场调查(付费专区)表明,BYOD和企业移动性市场规模将从2016年的351亿美元增长到2023年的733.0亿美元。供应商生产(降低财务风险)降低风险的应用程序肯定有多种机会。和BYOD管理软件.
Blancco的研究还发现,对BYOD的安全威胁被认为对组织的IT资源(35%)和服务台工作负载(27%)造成了沉重的财务负担。但是47%的受访者表示,降低成本是BYOD的好处。尽管人们对BYOD带来了好处和担忧,但只有30%的受访者表示,他们将在未来12个月内增加BYOD预算。这些数字似乎表明,不仅是安全风险正在阻止组织全心全意采用BYOD.
BYOD替代品
选择自己的设备(CYOD)
CYOD在大型组织中越来越受欢迎。与BYOD(用户可以使用任何设备)不同,组织必须批准CYOD的使用。预先配置的设备应提供提高员工工作效率所需的所有应用程序。通过确定员工可以选择的设备,公司可以确切地了解每个设备的安全性规定。该公司还知道每个设备正在运行什么软件的版本。可以确保自己所有的应用程序和软件在公司范围内都是兼容且一致的.
公司所有,个人启用(COPE)
使用COPE模式,公司可以为员工的智能手机付款。公司保留设备的所有权。就像在个人设备上一样,员工可以发送个人电子邮件和访问社交媒体等。缺点是控件可能阻止公司数据在设置参数之外的电话上使用。这可能会击败远程工作者的对象.
大个子怎么做?
对于许多较小的公司,BYOD似乎是会议室里的大象。大佬们的共同点是计划,并着眼于底线.
甘尼特(Gannett),NCR公司,西联汇款公司(Western Union Company)和西部数据(Western Digital)等财富500强公司与Network World分享了BYOD政策。他们说,他们确保在允许移动设备进入其局域网之前,采取适当的安全访问程序。他们最主要的BYOD安全做法是:
- BYOD用户必须安装公司认可的防病毒软件
- 出于安全原因,IT管理员还必须能够访问员工BYOD。原因包括对丢失或被盗的设备进行远程擦除(称为“毒丸”技术),或扫描安全威胁.
- 一些公司要求员工在其设备上使用PIN锁
- 大多数公司要求用户将其移动设备管理(MDM)应用程序加载到手机,平板电脑和平板手机上
- 一些公司,例如NCR,禁止出于商业目的使用个人电子邮件帐户
- NCR还禁止在互联网或云站点上存储业务资料或信息,除非明确授权
谷歌
Google采用了分层访问方法,该方法会考虑设备状态,设备属性,组权限以及特定员工角色所需的信任级别。有四个层次:
- 不信任 –没有Google数据或公司服务(通常)
- 基本访问 –对请求用户的机密和需要了解的数据(例如,校园地图和公交车时刻表)和HR数据进行限制的服务
- 特权访问 –具有机密但不需要知道的数据(例如,错误跟踪)和具有经理级别访问权限的HR数据的服务
- 特权访问 –访问所有公司服务,包括那些包含机密或需要知道的数据的服务
谷歌解释说,这种方法对传统的安全性假设提出了挑战,因为传统的安全性假设是私有或“内部” IP地址代表的设备比来自互联网的设备更“受信任”。它启用了粒度严格的访问,并提供了表达风险阈值的精确方法。用户可以灵活地使用各种设备,并可以出于方便考虑选择安全性较低的配置(例如更长的屏幕解锁时间或完全移除PIN)。他们还可以选择不同级别的企业管理。用户对企业服务的访问级别将取决于设备,设备的当前状态和配置及其用户身份验证.
IBM公司
在IBM,正确的使用准则排除了员工经常在自己的设备上定期使用的大量服务,但提供了内部开发的替代方法。常规服务包括DropBox,电子邮件转发,语音激活的个人助理Siri,以及Apple iCloud等公共文件传输程序。问题是,如果IBM(或任何其他公司)打算将这些设备从吸引用户的东西中剥离出来,那么很有可能这些设备将完全停止工作。.
高露洁
当高露洁建立自己的BYOD计划时,该公司估计每年将节省100万美元。如果这些设备属于公司所有,那就是必须向黑莓制造商Research in Motion支付的许可费用。.
底线–谁,什么,何时何地?
处理远程工作和BYOD中固有的威胁的诀窍是要拥有一个上下文相关的网络。情境感知网络是一种可以识别流量的来源和性质的网络-通过位置,设备类型和行为(例如无论是平常还是可疑。通过识别潜在威胁,系统可以做出明智的决策。例如,它可能不允许访问与属于同一用户的另一个设备不在同一地理位置的设备。或者,它可能允许对通过公共Wi-Fi登录的用户的访问权限受到限制。它还可能会限制对某些文件或网络部分的访问.
请记住以下几点:
- 在工作场所很难撤销BYOD特权
- 通过限制BYOD到不再具有预期价值的程度,将婴儿扔掉洗澡水是没有好处的
- BYOD实际上是组织面临的来自网络犯罪分子的最小威胁之一。联邦调查局的一份报告《 2016年互联网犯罪报告》保守估计受害者在2016年网络犯罪中的损失为13.3亿美元.
课程:从价值与安全风险的角度看待BYOD,如果您认为值得的话,请配置实用规则以使其有效.
Jeremy Keith的“设备堆”在CC BY 2.0下获得许可