企业移动设备安全引关注

前两天和一名安全界资深人士聊起金融安全,说到如U盾等身份认证动态令牌的市场被移动金融化冲击严重,近来出货量大减,不仅有些感叹这个消费时代变迁之快。现在,无论是谁,都敢大胆地预测:步消费市场移动化进程之后,企业应用的移动化进程也将持续加速,移动计算的安全问题将越来越突出。

说到企业级的移动应用,昆明亭长朗然科技有限公司移动安全专员董志军表示有话要说。移动设备在企业级的应用主要包括两个方面:一、业务流程的移动化,餐饮、电商、物流、客服等行业为提升作业效率和便利性,早已实施了移动化战略;二、协同沟通系统的移动化,包括移动办公、邮件会议、即时通讯等等,在链锁型或有分支机构的企业,以及员工经常外出工作的企业非常突出。

即使在移动化进程非常保守的企业级客户也面临两方面的压力:一、苹果、谷歌、三星、华为、联想等国际大厂商在成功占领大众消费市场后,纷纷发力布局企业级移动计算市场,企业移动计算及安全管理解决方案日渐成熟,其商业价值和优越性也越来越明显;二、几年来个人移动终端市场一直保持高速增长,企业用户们也都有了大量的移动计算消费体验,他们渴望有更多的企业移动应用。

综上所述,企业应用的移动化进程无疑仍将加速紧追消费者市场。同时,企业级移动计算的安全问题也将越来越受到重视。为什么这么说呢?昆明亭长朗然公司董志军说:有如下几点原因。

一、PC端的安全防范日益成熟和稳固,与此同时,移动计算设备却越来越普及,在终端出货量上已经甩出PC一大截。针对移动计算设备和应用的恶意代码开发、漏洞挖掘和入侵渗透都成为近几年黑客们相互追赶的一种时尚,而企业界对此的研究以及应对却显得落后很多。移动计算设备是个大舞台,而在短期内,攻防双方的力量差距相当悬殊,基于移动计算设备的安全事故自然会越来越多。

二、让我们从黑客经济学的角度思考,黑客入侵个人用户移动终端的主要目标是以网络诈骗、金钱勒索等等为主。针对企业级用户的移动设备入侵目标在于窃取机密商业数据、损毁企业形象和进行网络破坏,相关的移动应用及终端难以避免地会成为攻击者的目标或工具。入侵移动计算设备的商业价值,首先会被人们想到的是硬件的利益,除了前沿而高端的设备尚有一些市场价值之外,普通移动终端的价值显然只能引起街头窃贼们的兴趣,黑客们更在乎的是窃取用户的身份,并通过冒用身份进行更多企业信息的获取。除此之外,在获取了移动设备的访问权限之后,黑客还可以利用它们做跳板,来入侵更多企业级的应用和获取更多信息数据。

三、攻击者的互联网思维影响移动设备中的其它应用,早在2014,我们就已经看到“固若金汤”的iOS中的不少应用都陷落了,而安卓市场虽然经历了不少行政监管方面的整治,但是安卓系统存在的先天性应用分发缺陷并不是那么容易解决的。所以,包括企业移动设备在内的海量智能移动终端无疑仍然将是黑客们的目标,通过批量制造和颁发恶意应用,进而达到控制终端设备、建立移动僵尸网络并通过进一步利用来谋取不法利益的罪恶目的。

四、开放式的无线网络不断增加,只要存在免费的无线网络,用户就会尝试使用移动计算终端进行连接和使用,当然网络犯罪分子也不例外,他们可能通过建立假的免费无线热点、实施ARP欺骗等手段来进行网络窃听甚至发起中间人攻击以篡改信息通信。

五、随着移动支付等的应用越来越广泛,移动POS机等必将成为黑客热衷挑战的目标,近几年就有不少关于POS安全漏洞的问题。非接触式手机支付也逐渐从概念提出、少量商用进入到生态链搭建的阶段,尽管广泛使用可能仍然需要一些时间,但是这些占领跑钱的系统无疑是所有黑客们的梦想。

六、移动计算设备的便携性不仅让其流离于传统的网络边界保护之外,更让传统的防病毒、防火墙、IPS等安全保障系统无用武之地。而移动系统版本的快速而频繁的升级,也让独立移动安全管理软件开发商们疲于追赶,同时也在严重挤压着他们的生存空间。少了独立移动安全管理软件厂商的帮助,企业用户似乎只能受制于原厂商了。

七、关键领域如电子政务、电力通讯、金融能源、航空交通、电商配送等重点监管行业往往是移动化需求急切的行业,也是最为关注移动安全问题的行业,但是在考虑到国家政治安全时,显然没有人敢完全信任谷歌和苹果这些美国公司的系统,中国自己建立移动操作系统并非不可能,但解决移动生态链的问题才是关键。

八、移动计算设备是获取企业信息的计算终端,与PC相比,移动应用往往将用户身份验证信息存储在设备本地,这样可以免去每次登录的输入,提升工作效率。同时,这也方便了犯罪分子们,借助被控制的移动计算终端,他们可以轻易盗用企业用户的身份,进行涉密信息的攫取。

受消费性移动应用的影响,企业计算移动化的潘多拉魔盒已经开启,请重视起来,及早制定应对之策吧!昆明亭长朗然科技有限公司专注于帮助企业级的单位提升职员的信息安全意识,其中包括移动安全意识,我们的课程内容也特定为移动计算用户所设计,适合移动工作和学习。欢迎联系我们了解更多详情。

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:[email protected]
QQ:1767022898

mobile-computing-security

携带个人设备时代的数据安全

cook-ipad-mini2
后PC时代,消费电子流行,携带个人设备 Bring Your Own Devvice (BYOD) 来势汹汹,不少员工开始使用自己的智能手机或平板电脑用于工作场所,当然在办公室之外更是如此。

设备是员工们的私人资产,却传输、处理和存储了公司(本文定义包含其它非商业的组织机构)的重要信息数据,这的确带来一些信息安全方面的挑战。不少大型组织机构的信息安全管理负责人已经开始严肃对待这件事情,至少我们可以有两方面着手行动:一、从政策和管理层面加强监管,传统的设备及应用的登记、批准、审核等一套标准化的作业流程逐渐被开发、发布以及落实。二、从技术控管方面层面评估、开发或采用适当的移动设备管理 MDM 解决方案。

其实,除了上面两招之外,我们要弄清楚的一个事实和趋势是:借用于云计算的威力,移动计算时代的信息安全威胁已经不能依靠传统的中央控管和边界安全了。这是怎么回事呢?我们已经无法像十年前那样,将信息数据、计算设备和终端用户固定在办公室或大院内。

聪明的信息安全管理团队开始从业务信息安全方面着手,在保障IT基础架构安全之外,紧紧抓住海量的终端数据、智能设备及移动用户,这虽然算不上什么创新,但无疑是一个大的关注角度和焦点的变换。

终端本身即包含设备、信息,也包含使用以及操控它们的最终用户,既然这些终端能逃出中央控管和边界保护,那为什么不让最终用户担负起终端最基本的信息安全保护职责呢?也正是这些最终用户,才和业务成功息息相关。

搞信息安全管理的,在后台埋头苦干,让基础架构固若金汤,也难让业务方面的经理和总监大佬们理解和认可。昆明亭长朗然科技有限公司移动安全观察员James Dong提议:要让信息安全真正体现出价值,要让信息安全与业务战略、目标及需求保持一致,要转换思路和方法,一方面从关注信息系统的安全转换到关注业务信息的保障,特别是业务流程所严重依赖的信息流的安全,除了在信息系统后台的那些不为非IT人士所理解的数据库存储、中间件应用之外,最多的就是用户终端。

想在业务信息安全方面有所作为,被负责业务的总监经理们理解和认可,焦点应该转向用户终端的信息数据安全。终端安全显然不再是个人电脑的杀毒以及安装个人防火墙这么单纯——这些毕竟还是很简单的技术活,要从最终用户所知晓和处理的业务流程和数据入手。

还有一个重要的是我们还需要适当的“秀”,我们谈论的“秀”不是贬义词,而是在展示信息安全对业务成功的价值,当然目的还是获得高管们对信息安全工作的理解和支持。高管们了解员工们的工作与信息安全的关系,信息安全需要高层的支持,所以也需要高层参与进来“秀”给全公司、客户甚至供应链,以表公司高层对信息安全工作的重视和承诺。

回到BYOD,信息安全管理团队最应该做的,是拉上高层赞助者来向全体员工“秀”一“秀”移动信息安全的重要性、最终用户应该注意的安全事项、并且展示出保护移动信息安全的一些最佳实践。这样,高层领导即在移动设备信息安全方面做了表率,又显示了工作方面的尽职尽责,还让信息安全沟通工作变得更加顺滑,真是一举多得!

在技术控管方案上面即使花费大量资源,也很难赶上移动设备更新换代的速度,手机厂商使用浑身解数来增加新功能,可穿戴式计算设备蓄势待发,AI设备蜂拥而至……此外,在安全控管技术上追随的步伐也难赶上破解者的速度,而从最终用户的移动设备信息安全意识爬起,则能以不变应万变。

携带个人设备时代,我们可以有多种应对方案,最有效、最轻松、也最能彰显成绩的,无非强化对最终用户进行信息安全意识教育。昆明亭长朗然科技有限公司设计和制作了简单易用的移动设备安全使用培训课程和动画视频,可供有需要的客户参考、借鉴和购买使用。除了移动计算安全之外,我们亦有数百部其它安全意识动画视频和交互式游戏培训课件,欢迎有需要的安全宣教负责人员和我们联系,也欢迎有兴趣有渠道的合作伙伴加入我们。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:[email protected]

QQ:1767022898