移动安全不是地缘冲突,是全民战争

hackers_security_password

2013年信息安全的重灾区在移动互联网,而智能手机和移动互联网应用正通过BYOD和如潮水般涌入企业,“IT消费化”为企业的CIO们带来一连串全新的安全挑战,移动安全不再是零星分散的“地缘冲突”,而是“全民战争”,企业必须动用所有可用资源,构筑立体防御体系,才有可能避免信息安全灾难的发生。NCP Engineering 的CTO Rainer Enders最近在给CIO.com的撰文指出,只有从系统性的高度重新思考移动安全问题,才能真正有效应对如潮水般涌来的移动安全威胁。 IT经理网为读者编译如下:

近一年来, 关于移动安全的话题被炒得火热, 人们从各个不同的维度分析移动安全威胁。 然而, 大家常常忽视的却是如何系统性地思考和应对移动安全的问题,从而有效应对各种安全威胁,无论这些安全威胁是来自安卓应用, 还是SSL实施的缺陷, 或者是机场VPN木马等等。 参考阅读:iCloud不是你的也不是乔布斯的,是黑客的

对移动设备的安全问题的应对方式简单地说来, 就是需要对设备进行系统性的管理。

只要公司对移动设备的管理不进行强制要求,企业就避免不了移动设备的安全问题或者信息泄露。 因此, 对移动安全这个问题, 我们必须用系统性的眼光来看。目前很多移动技术公司的重点依然还是在消费者市场, 对企业市场的关注还远远不够。

简单来说, 像个人笔记本, PDA或者智能手机这样的终端, 在整个企业的安全基础架构上是最薄弱的一环。 然而令人吃惊的是, 在很多企业依然允许未经管理的设备接入公司的网络。 即使我们已经知道很多基本的安全协议在今天的移动设备里都没有实现。参考阅读:IBM的BYOD历险记

以Android设备为例, 长久以来, 它都没有一个API能让应用调用内核的IPSec VPN客户端。 这只是移动设备缺乏基本的安全协议的一个例子。 另外一个关于Android的问题就是, 不同的终端可能在运行不同版本的操作系统, 这可能会导致设备管理的问题。 因为不同版本的某些安全协议或者安全函数的实施可能会有差异。 而很多的移动设备厂商可能会忽略这一类问题。

实际上, 恶意软件可能会通过社交工程或者通过软件更新, 或者动态网页代码如Java或者ActiveX等方式发布到任何操作系统上去。 此外, 如Session劫持或者身份劫持的攻击方式, 也很容易获取对移动设备的控制权。 这些不同的攻击方式的存在, 也就意味着:

企业移动安全不是一个局部安全的问题, 而需要包括客户端, 设备, 防火墙到IPSec VPN,以及员工安全意识在内的全面的安全问题。

需要指出的是, 即使是全面地网络安全保护, 也不能保证由于用户缺乏安全意识所带来的安全问题。 比如随意点击链接或者打开可疑邮件等等。 因此, 作为企业来说, 不能够想当然的认为每个员工都对基本的技术和安全协议有足够的了解。 他们必须对员工进行安全意识的培训, 并且遵循行业最佳实践。

我们目前, 正处在一个移动设备迅猛增长的时代。 然而, 在移动安全方面, 现有的解决方案却相当不够。 很多甚至不具备基本的安全信息, 更不要说整合重要的安全功能以及管理功能。 这并不是说现有的解决方案的技术方面有所不足, 问题在于, 安全威胁检测, 威胁处理以及响应需要整合的设备管理方式。 而我们目前针对移动威胁的处理方式存在不足。

举个例子来说, 由于移动设备会经常性的暴露于不同的很多情况下是危险的公共网络中, 即使采用最好的安全技术, 也不一定能提供足够的安全保证。

因此, 在目前缺乏一个一站式的安全产品的情况下, 一个较好的方式就是整合各种功能性的安全产品, 着重于深度安全防护战略略和对安全威胁的反应。

比如IF-MAP就是一个在这个领域的公开标准。 IF-MAP使得不同IT安全系统的互连成为可能, 从而能够准确反映一个IT网络的安全健康状况。 而目前, 已经有一些安全厂商正在进行ESUKOM的研究项目, 目标就是利用IF-MAP标准在不用人工干预的情况下, 使得系统自动对网络威胁进行反应并且实施安全策略。

从一个更广的角度来看, 移动设备的安全性问题, 是一个系统性的问题。 这意味着,不光是公司的IT管理部门, 从产品概念设计, 到软件结构师, 到公司管理层直到最终用户, 每个人都需要对安全性问题承担责任。 更重要的是, 安全问题应该在设备管理的每个层面上进行统筹安排, 而不是像现在这样只是把它仅仅作为一个添加的模块。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   
除非注明,本站文章均为原创或编译,转载请务必注明出处并保留原文链接: 文章来自IT经理网
相关文章:


关于作者

写评论

忘记密码

加载中...
X