您的企业安全团队是否正在努力跟上移动和智能手机的快速增长?五位专家提供了建议,帮助你保护从黑莓到iPhone和Droid的一切设备。
在过去,拥有一部智能手机是一种奢侈品。现在每个人似乎都有一个,而且似乎无法在没有它的情况下工作。随着应用程序数量的激增,市场上充斥着黑莓、iPhone、Droid等最新类型的应用程序,IT安全商店面临着一个相当新的问题:将基于手机的恶意软件排除在其网络之外。
以下是五位专家关于保护手机安全的注意事项。
Joe Brown信息系统安全工程师,CISSP, McAfee
大多数智能手机都有AV包。手机和电脑的使用须知一样——如果你不认识发送者,或者有可疑的附件,不要打开它。冲浪的地方要小心。一些Web代理确实支持移动设备.
蓝牙是邪恶的!控制蓝牙足迹。随着iPhone、Droid和BB的出现,现在有了能够控制添加应用程序能力的产品(想想白色列表或通用操作环境)。
德里克·沙茨(Derek Schatz)是加州橘郡一家公司的高级安全架构师。
做的事:
1.只部署能够支持关键特性的设备,如加密、远程擦除和密码锁定。
2.为移动设备创建特定的安全政策和程序项目,管理可接受的使用、责任(例如,如果设备丢失或被盗怎么办)等。
3.监控针对移动设备的新攻击的安全漏洞跟踪提要。
4.确保现场设备能够快速更新以解决安全问题。
别:
1.假设智能手机应该只给高管。有了这些工具,许多员工级别的职位可以变得更加高效。
2.在没有适当保护和控制的情况下为企业使用部署设备。专有信息的丢失会给企业带来巨大的损失。
Michael Schuler,芝加哥的系统管理员
做的事:
1.明确在环境中使用智能手机的目的。
2.定义智能手机在环境中的最佳角色。
人力资源在这方面应该有很大的作用。尤其是对领薪水的员工。
3.评估产品的安全/性能特点,适合您的市场。
a.某些产品/设备可能不符合金融或政府机构的安全要求。
该产品与我们现有的基础设施集成得如何?
4.基于步骤3中确定的内容实现安全策略。
5.如果实现不同类型的智能手机,定义您计划提供的支持级别。
6.向已经实施了你想要实施的东西的类似公司征求信息。
a.询问他们使用该产品多久了。
b.找出他们没有预见到的转折点。
7.构建一个不仅仅由IT人员组成的测试组来测试POC。从IT和非IT人员那里获取可用性信息。
不
1.假设所有设备在设备上和传输过程中都对待加密等事情是一样的。
2.给公司里的每个人一部智能手机。虽然对于管理级别以下的员工来说,拥有一台设备可能是有帮助的,但HR需要参与进来,确保这些用户明白,他们在使用智能手机的同时,可能会/可能不会因为加班而获得补偿。
3.在不了解启用(或不启用)哪些策略以及数据丢失风险的情况下部署设备。
不要把你的评价局限于“每个人都用黑莓,我们也应该用。”Good for Technology有一个相当不错的应用程序,支持从Win Mo到某些掌上设备(还没有pre)甚至iPhone的各种设备。在安全方面,iPhone上的Good for Enterprise应用程序比使用ActiveSync要好得多。但是,根据iPhone 3.0操作系统的构建方式,应用程序在启动之前并不真正同步消息、联系人和日历。应用程序的db后端很慢。但是,他们承诺在下一个版本中会有一个彻底的后端。我希望之后的版本将支持iPhone 4操作系统的网络后台功能。
此外,RIM的设备在他们最新的设备中真的很令人失望。大部分地区的信号都很差。而且最新的设备操作系统,据我所知,不符合国防部的安全要求。虽然您的设备可能没有国防部级别的安全需求。这是你评估时要考虑的问题。
另外,我并不是要讨厌RIM,如果你真的在你的黑莓设备上启用了加密功能的话。在使用您的设备时,预计会有相当大的延迟。如果你只是把它当做一个通讯工具,它是可以容忍的。但是,当有人把一张micro - sd卡放进去,用它拍一些公司照片的时候。它的速度非常慢,因为每次解锁它都要解密卡上的数据,每次锁定它都要重新加密。
总的来说,我觉得BES管理界面有一些功能是缺乏的,但是通过购买第三方产品如Zenprise或Boxtone可以很容易地修复。但是很多功能都内置在Good for Enterprise产品中。
我的一个建议是避免使用ActiveSync。总的来说,我用ActiveSync管理设备的效果很差。假定我没有使用2007年或以后的Exchange环境管理它们。但是,我觉得ActiveSync不像Good或BES那样强大或经过深思熟虑。
Mayank Aggarwal,全球威胁中心研究工程师,移动系统公司
1.来自移动系统威胁中心的论文“中间人袭击”:MITM攻击被认为是对信息安全PC端机密或私人数据的合法威胁。测试团队已经充分证明,在Wi-Fi网络中使用移动笔记本电脑,可以拦截智能手机和Wi-Fi热点之间的通信。测试团队能够对四种不同的智能手机设备执行成功的MITM攻击,说明SSL提供的保护可以被绕过,登录凭证可以被拦截。
这项研究强调了这样一个事实,即使用公共Wi-Fi热点应该谨慎对待,当有必要访问这些数据时,应该小心地确保机密或私人数据被充分加密。在可能的情况下,智能手机用户应该寻找并识别提供足够加密技术的应用程序,以保护机密或私人信息。在这一点上,这样的应用程序确实存在,但很少。在选择处理敏感通信的应用程序时,用户应该搜索在客户机应用程序和终端服务器之间提供端到端加密的应用程序。此外,在处理提供访问金融机构或其他敏感信息的应用程序时,应该采取同样的预防措施,以确保这些通信是端到端加密的。当这些应用程序不容易使用时,用户必须确保他们采取必要的预防措施,以确保他们只通过服务提供商的互联网连接访问敏感信息,或通过可信任的、安全的Wi-Fi网络访问敏感信息。
此外,个人智能手机用户和提供(或允许)智能手机访问其环境以提高工作效率的企业,至少应该确保安装了提供防火墙和反病毒功能的安全软件。用户和企业必须开始像对待个人电脑或笔记本电脑一样对待智能手机。这些威胁虽然目前没有那么广泛,但在成功的攻击发生时是非常相似的,而且代价很高。此外,一如既往,随着针对智能手机设备的漏洞/利用研究不断发生,转化为针对智能手机用户的成功攻击的利用数量也将不断增加。
2.来自移动系统关于短信攻击的论文:
还有一个突出的威胁,每个手机用户都是脆弱的,几乎没有讨论,即短信垃圾邮件。目前,无论是移动设备还是其运营商,都没有提供实质性的支持或功能来规范手机短信的流入。这可能就是为什么SMS作为一种可行的攻击向量不断受到攻击者关注的原因,这使得这项服务获得了如此多的研究关注。注:以上文章只提到了一种向用户发送垃圾邮件的方式。不过,我正在撰写一篇新文章,讨论可以通过使用一种工具(我作为POC编写的工具)将垃圾短信过程自动化,这种工具可以一次性向许多用户发送无限量的垃圾短信。
Yinal Ozkan,首席建筑师,CISM, CISA, CISSP, INTEGRALIS
做的事:
1.没有不受管理的移动设备——必须进行集中管理。非托管设备不应访问公司数据。
2.被管理的设备应该通过空中管理。在运营商网络上的远程政策推送必须工作(无线编程(OTA))。终端用户配置文件应该加密,不允许进行本地修改。
3.中央日志记录应该执行一个带有以下项目的策略(可以增加策略项目):移动数据加密、锁定超时设置(屏幕保护程序锁定);uthentication /密码策略;PIN(黑莓)短信和IM,蓝牙政策(ok或不);远程擦除;在线旅行社;允许应用程序;社交媒体政策(Facebook, Twitter, Foursquare,基于位置的服务;还有对摄像机的规定。
4.尝试将您的端点安全策略扩展到移动端点(URL过滤/AV/媒体处理/防火墙),但不要过于兴奋,只部署有效的解决方案。最好在企业网关(代理所有网络连接)上实现这些解决方案,而不是在资源有限的移动设备上。云中的URL过滤就是一个很好的例子。
5.尝试将你的公司电话系统扩展到你的智能设备上。有一些软客户端可以无缝地扩展到移动设备,这样所有的语音邮件/扩展/DIDs都可以在你的智能手机上工作。同样,不要过于兴奋。这个扩展将把您现有的安全带到移动设备上。
6.在智能手机的无线VOIP客户端上做802.1x。
7.使用证书管理身份验证(最好在SIMs上)
不
1.不要阻止所有第三方应用程序。有一个审批申请的程序。为已批准的应用创建白名单。“阻断”不是关键字,关键字是“控制”。
2.不要允许非托管设备访问和检索分类数据(如果您没有数据分类,请做)。非托管设备上的数据应被视为丢失(它们将被视为)。如果允许非托管设备访问,请确保对风险进行管理。
3.请勿在移动设备上安装1个以上的安全客户端。如果可以,不要安装客户端。他们已经慢了,也许在未来,专注于基于网络的安全解决方案。
4.不要让这些设备对终端用户来说变得更慢或更复杂,您的项目将被终止,不管安全性的优点。
5.不要允许每一个承运人。尝试标准化端点设备类型和运营商。
阅读更多关于数据保护的信息在CSOonline的数据保护部分。
这篇题为“手机安全注意事项”的文章最初是由方案 .