談到流動設備安全,使用者本身就是最大的敵人。研究人員表示,儘管很多人已經機不離手,但大多數人似乎並沒有在安全上變得更聰明些。Symantec一份安全威脅報告指出,2012年有44%的使用者沒有意識到流動設備上有安全解決方案,到2013年這個數字上升到57%。研究人員說部分原因在於缺乏這方面的教育和培訓。例如,那些多年來使用功能手機的用戶由於沒有什麼安全需求,在轉向智慧手機後也根本意識不到要安裝安全軟件。
就長期來看,安全專家認為,隨著使用者在他們的手機上保存越來越多的敏感資訊,針對流動設備的惡意軟件會越來越多。而這些流動設備經常會接入公司的網路,從而讓企業資料也處於威脅之中。
企業安全面臨的另一個威脅是遺失手機。根據Consumer Reports最近的一個調查,全球在2013年有140萬智慧手機丟失,較2012年的120萬有上升趨勢。
至今並沒有一個真正完美的解決方案能保證員工手中的流動設備的安全,因為員工可能犯各種各樣的錯,沒有哪一種工具能給流動設備加上一把絕對安全的鎖。幸好還是有些方法可以讓員工對流動安全多一份瞭解,同時也對設備多一份安全保護。以下提供了5個方法,分別針對5類容易置企業資料於危險之中的員工,用以説明他們認識到流動設備面臨的安全風險並採取措施防範這些風險。
對無戒心的人 讓他們體驗釣魚誘騙
有些人很容易被社會工程學或者釣魚行為所騙,因為他們根本就沒有意識到其中可能存在的陷阱。對於這些人如何讓他們認識到風險,從而避免成為惡意者不斷變化的伎倆的受害者?
網路黑客們一直在不斷尋找電腦之外的下一個目標,流動設備就是其中之一。他們正在把在PC上已獲得成功的欺騙手段複製到手機上,看是否會取得同樣的成功,而大多數手機用戶還沒有意識到存在風險。黑客們一直在尋找鏈條上最弱的一環,然後把他們昔日成功的手段應用到這一環節。
我們希望讓員工們意識到釣魚攻擊的存在,例如用培訓課程類比利用電子郵件和社會工程學來引誘員工。在一開始有高達70%的人會被一些最常用的釣魚騙局所欺騙,會點擊釣魚連結,並輸入帳戶和密碼等資訊,其中甚至包括一些高級的IT人員。
當然,惡意者不只是通過電腦來進行社會學工程引誘,同樣還會利用流動設備來進行,他們誘騙那些使用者不經意地點擊某個連結下載惡意程式碼,然後借助惡意程式碼入侵企業網路,竊取企業資料。
Karl Storz公司所進行的釣魚測試讓公司的員工認識到其中的陷阱,也讓他們知道如何避免中招。此類攻擊可能針對所有類型流動設備,無論是iOS還是Android或者Windows。中招的用戶中近20%的使用者使用iOS設備,我敢肯定如果繼續測試未來還會有更多流動用戶中招。
技術型公司Raytheon安全已經成為一種企業文化,公司大約1/3的員工使用公司配備的智能手機或者平板電腦。該公司使用一種社交系統和博客工具讓員工瞭解什麼是釣魚欺騙,每年公司還會要求每位員工參加線上安全培訓課程。
解決辦法:耐心,不能歧視他們
WellPoint公司給旗下的500多名醫生配備了iPad,這些醫生負責為居家的老人、殘疾人和盲人提供醫療服務,其中大部分使用者對技術並不瞭解,甚至對使用iPad有一點抵觸。部分醫生不好意思或者害怕告訴技術部門他們把iPad弄丟了。有人會過一天甚至三天后才來告訴我們,他們把iPad弄丟了,或者他們現在才想起來找iPad,但找不到,他們認為是丟了。我們可以通過位置定位服務來找到設備。但這段時間意味著設備和敏感資訊處於高度不安全狀態。
首先,降低醫生們因疏忽而把iPad落在家裡的可能性,IT部門為醫生們配備了一個手包,可以裝下iPad和他們常用的一些工作資料。同時,對醫生們進行培訓告訴他們一旦找不到自己的iPad就一定要及時告訴IT部門。其次,對IT部門進行培訓,要求IT部門不要嘲笑他們,並要安慰醫生們不要因弄丟了設備而不好意思。一旦發現設備真的的丟失,我們會啟動安全步驟,對設備上的敏感內容進行擦除。
為了降低設備丟失以後存在的安全風險,IT部門會對初次使用iPad的醫生進行培訓,告訴他們密碼的重要性,並指導他們設置比較複雜的密碼。又列出一些具體的例子來說明某些不安全的行為可能帶來的麻煩。比如,一封帶有釣魚連結的郵件可以把使用者在Facebook上的行為攝錄下來,或者一個假的銀行郵寄讓使用者提交個人資訊。通過這些培訓讓醫生們意識到,如果自己的iPad開機密碼和設備上安裝的應用軟件登錄密碼同樣或相似,就會讓病人的資訊處於高度危險之中,公司也處於高度危險之中。
解決資安最大的敵人:流動裝置及同事
https://www.facebook.com/hkitblog