首页 > 新闻 > 专家观点 >

免费移动应用令您的BYOD策略面临风险

2012-09-24 10:50:28   作者:51CTO   来源:博客   评论:0  点击:


  每当谈起BYOD趋势,CIO们总会担心自己对于移动应用程序缺乏足够的控制手段。然而,在现实生活中给我们带来麻烦的绝不仅仅是那些潜伏在移动应用中的恶意软件。IT管理者们同样应该对由免费移动应用带来的风险给予足够的关注与重视。

  即使在管理到位、策划合理的软件市场当中,移动应用程序仍然会以不可思议的方式造成危害。就在今年早些时候,苹果、Facebook、Yelp等多家企业就被曝出应用软件产品侵犯隐私权。据称相关程序会记录并上传用户通讯簿中的内容,这也使得上述公司纷纷遭到起诉。

  当时,许多安全专家都警告称目前的状况还只是冰山一角。而最近由移动安全解决方案厂商Appthority公司组织的一次调查显示,免费应用程序同样可能带来安全风险,因为这些软件也有能力访问用户的敏感信息。

  这种状况已经够糟的了,但如果免费应用能够将某位销售代表手机中的联系人上传给同类公司、将开发人员的成果转卖给竞争对手,又会怎么样?另一种更加严重、更加普遍的数据泄露方式就此诞生,而且大多数企业对此还一无所知。

  我们严禁员工使用任何下载自App Store的应用程序

  尽管BYOD带来的风险不容小觑,但总部位于伊利诺伊州的“河畔医疗中心”认为他们别无选择,只能主动接受。简单地想与时代对抗根本行不通,因此想以行政手段强行禁止员工使用终端设备同样不现实。“对于像我们这样的医院来说,BYOD既是营销手段的重要组成部分,同样也是安全问题的关键一环,”河畔医疗中心CISO Erik J. Devine指出。“如果大夫们不能在工作中使用自己的平板设备或者智能手机,他们的工作效率必然会大大下降、同时也容易引发诊疗事故。”

  但权利也不是白来的,为了在日常工作中使用BYOD带来的益处,终端用户必须接受多项协议。举例来说,河畔医疗中心有权在必要时对用户的设备进行远程数据清除——清除对象可能包含用户个人的相片、电子邮件等。但别急着叫屈,企业在允许用户引入BYOD机制时已经在承担风险,这么做只是希望员工能够帮企业分担一部分。

  对于企业自有设备,风险管理工作自然会变得相对简单一些。“如果我们决定为某位员工购买一台iPad,那设备的性质就完全属于诊疗工具。员工甚至无权用它下载App Store中的任何应用,”Devine表示。这种办法虽然简单粗暴却切实有效,我们真该让那些每个月要花150美元在一台移动设备上的管理者听听这套方案。

  事实上,对于像医疗保健这样监管机制健全、控制力度强劲的行业而言,禁止从业者使用在线软件商店早已不是什么新闻了。新兴企业Happtique公司就将此视为发展良机,专门为医疗行业的用户提供了一套独立的应用程序商店。“临床医生与医疗机构的IT团队面临的最大挑战在于分辨哪些应用程序真正值得依赖、而哪一些则暗藏陷阱,”Happtique公司CEO Ben Chodor解释道。

  就在大纽约医院协会(简称GNYHA)开始寻求移动医疗类解决方案的同时,Happtique公司迅速成立并发展起来。“我们发现在移动应用程序市场当中,几乎没有哪家企业真正具备医疗经验并了解医院从业者们所面临的技术挑战。这正是企业发展的最好机会,因为无论是HIPAA(即健康保险流通与责任法案)还是全民医保改革我们都一清二楚,更令人兴奋的是目前这一领域连像样的竞争者都没有,”Chodor不无得意地告诉我们。

  随着GNYHA对这一市场空白的逐渐重视,他们决定亲自动手开发移动医疗解决方案,这也就是Happtique公司的前身。这家新兴企业所建立的方案能够帮助医院及医生找到符合安全要求的专业应用程序,并将其添加到自己的常用软件工具目录当中。他们还采用由Appthority公司推出的应用风险管理方案,借以进一步降低移动软件的使用风险。这套方案在启动时会对所有应用程序进行审核,通过软件评估来确保每款应用都名实相符、安全可靠。

  不过从目前来看,大多数企业仍然打算利用自己亲手创建的审核机制管理移动应用,我们故事的主角河畔医疗中心当然也不例外。严格控制应用程序的引入各类只是监管工作中的一部分,此外院方还将McAfee公司的企业级移动管理(简称EMM)软件与Fortinet公司的应用程序防火墙构成组合方案,借以进一步降低安全风险。EMM的介入使得河畔中心能够快速检测到越狱设备、强制执行双重身份认证机制并在设备丢失或被盗时及时进行远程清除。而由于安全风险会随着时间推移而发生变化,河畔中心同样需要仰仗Fortinet公司的行为分析工具来随时掌握用户及其移动设备的当前状态。

  举例来说,如果企业发现很多用户会在工作不忙的时候在移动设备上玩玩小游戏,那么管理者就需要及时组织员工开会,进行安全生产教育了。别以为这是危言耸听,事实上游戏是恶意软件最常见的载体。而且由于移动设备对于用户敏感信息的保护并不完善,因此这些小游戏已经成为危害企业业务安全的头号公敌。

  移动应用程序缺乏对应的隐私分级机制

  去年viaForensics网站的研究人员们对一百款iOS及Android应用程序进行了全面调查,发现其中只有17款在保护用户信息方面称得上“措施到位、保障有力”。

  共测试了四种不同类型的应用程序,分别为金融服务类、社交网络类、生产类以及零售类。研究人员为每一款应用进行了隐私保护水平分级——即合格、警告与危险——考核标准则是应用对数据的保护力度。viaForensics网站的研究人员会尝试访问应用程序保存在本机上的数据——其中就包含有大量私人信息——只要访问获得成功,该应用的安全评级即被判定为危险。

  如果研究人员无论获取数据,或者所获得的数据已经得到加密保护,那么应用程序的安全评级则为合格。至于获得警告评级的应用,一般是那些数据能够被研究人员所寻获,但内容并不会造成太大风险的类型。

  与大家的实际感受相符,社交网络类应用程序是安全性最薄弱的群体。viaForensics网站一共测试了19款社交网络类应用程序,其中14款属于“危险”级别,其它几款也仅仅获得了“警告”级别。

  那些被判定为“危险”级别的应用不仅没能对数据进行加密、将信息以纯文本形式保存,而且许多程序甚至把密码也以明文形式存储,这就使得恶意人士能够轻而易举地获取到这些敏感信息,进而冒充机主从事犯罪活动。

  在此次测试过程中,表现最优异的要数财务类应用程序——当然这也在情理之中,如果管钱的软件都不可靠,那这个世界就快要毁灭了。在接受测试的32款财务类应用中,只有8款被评为“危险”级别。

  Appthority公司还发现,这一年中围绕隐私信息发表的文章对于移动应用的安全性提升并没有什么实际性作用。尽管安全专家们在文章中对于隐私泄露事件展开口诛笔伐,但在Appthority公司最近针对iOS及Android平台上的50款最热门免费应用的调查中,仍然有96%的iOS应用以及84%的Android应用具备访问敏感信息的能力。也就是说,我们的通讯簿内容、日程表细节甚至是当前所处位置都会被应用程序所利用。

  而且虽然大多数应用都存在一定程度的安全隐患,但其中问题最严重、危害最显著的要数游戏软件。不过除此之外,一些自称是“商务”类应用的软件也根本不具备商务级别的保护机制,它们同样会访问用户的通讯簿,甚至会将私人信息发送给广告网络以及用户行为分析工具。

  很多朋友可能都不太明白,为什么任何行业都这么乐于开发自己的应用程序软件商店呢?看了前面的内容,那帮家伙的坏点子应该昭然若揭了吧。

  随着工作与家庭生活的进一步融合,安全风险也开始同步高企

  工作与家庭生活的进一步融合使得安全风险也开始同步高企。“从技术角度来看,我们很难将员工的个人生活与工作内容彻底分割开来,反过来也是一样。传统的朝九晚五式工作正逐渐势微,越来越多的人开始选择在自己喜欢的时间和地点进行办公。换句话来说,他们可能会在夜里十点半处理工作邮件,”EMM软件解决方案供应商Xigo公司CMO(即首席营销官)Dave Snow指出。

  这也意味着员工会把很多重要的业务信息带回家中,并转移到企业无法监管的个人设备之上。如果用户将手机中的信息(例如通讯簿、电子邮件及其它敏感数据)备份到家中的电脑里,那么一旦电脑中存在恶意软件,企业就必然会连带着遭殃。在这种情况下,恶意软件甚至可能在企业内部设施中开一道后门,进而令公司的身份验证机制遭到严重破坏。举例来说,如果某个黑客在一位全球五百强企业员工的个人电脑上埋设了键盘输入记录器,那么在他将密码“Wolfgang2012”搞到手之后,第一反应绝对是冒充员工到企业的内部网络中一探究竟——妥妥会是这样。

  下面我们再来思考如今的用户是怎样保存数据的。我们中有多少人会把通讯簿信息规规矩矩地保存在Outlook或者其它企业系统当中?通常情况下,联系人号码都会首先显示在我们的手机上,之后手机往往会一直成为这些宝贵信息的惟一载体。“想想看,如果Facebook尝试鼓励用户使用@facebook.com这样的邮箱地址,并在不经意间覆盖了智能手机中通讯簿里的原有内容,大家该怎么办?”Sophos实验室美国分部主管Richard Wang提出这样的假设。“在这样的情况下,事情很快会从用户个人的不便转化为企业业务的不便,而且由于联系人邮箱地址内容的错乱,很可能引发大量意料之外的严重事态。”

  我们在对BYOD话题的讨论中,常常会涉及“消费化”这一概念——也就是说普通消费者先使用某种技术,并在形成规模后反作用于企业,促使甚至逼迫企业不得不将其纳入日常工作。对于CIO们而言,必须要走在移动安全风险之前,因此只有积极推动消费级技术的“企业化”进程,才能让员工在提高工作效率的同时避免给公司带来潜在威胁。

  要实现这一点,我们不妨采用创新型解决方案。举例来说,企业可以考虑向经常进行远程办公的员工提供家庭杀毒软件,这比严格控制设备的效果更好——毕竟保护员工就是保护企业自身,任何一位窃取了员工信息的恶意人士,早晚是会把魔爪伸向企业资源的。而且即使能够用于身份验证的敏感个人信息暂时还没有被安全性极差的应用所泄露,但隐患终究已经埋藏于此。碰上合适的时机、遇到丧心病狂的犯罪分子,相信这些极具价值却未受保护的数据将很快被发掘出来,并最终用于破坏活动以及谋取私利。

分享到: 收藏

专题