企业安全新威胁 最危险的八大消费端IT技术

日期: 2008-01-15 来源:TechTarget中国

  在最近接受Yankee集团调查的500名企业用户中,有86%声称,他们在工作场所至少用过一种消费端技术,其目的与进行技术创新和提高工作效率有关。

  可遗憾的是,这种趋势也给IT部门带来了不少问题。举例来说,使用这些技术增加了企业的安全风险。另外,用户期望IT人员支持这些设备和服务,一旦他们在公司环境使用过这些应用,更是如此。

  但在许多公司,仅仅禁用设备或者禁止员工使用消费端服务有悖于公司文化。与此同时,许多公司也无法完全依靠政策来维持所需的安全级别。

  美国佐治亚州迪卡尔布县DeKalb医疗中心的信息安全管理员Sharon Finney说: “我还没听说过哪家公司的员工有时间去阅读及理解与工作环境中计算机有关的每一项政策,他们工作还忙不过来呢。我认为,我的职责就是采取措施来确保安全。”

  另一些人则等到设备给公司带来问题(譬如安全部门在对付蠕虫或者处理带宽问题)或者设备影响了工作效率时才付诸行动,电信服务提供商环球电讯公司的安全副总裁Michael Miller就是这样。但不管公司决定做什么,应对措施总是需要权衡好这几个方面的关系: 确保员工的工作效率、恪守公司文化、没有占用IT人员的过多资源、确保适合公司的安全级别。

  Yankee集团的分析师Josh Holbrook说: “技术消费化将成为IT部门的噩梦,因为这带来了维护和支持方面的问题,很快会占用大量的IT资源,除非IT部门采用新方法来管理员工。”Holbrook认为,禁止在工作场所使用消费端技术,这好比“打鼹鼠游戏(指与不听使唤的员工没完没了地较量下去)”。他说,同时,忽视这类技术的采用会导致安全和不安全的应用共存于公司中,这可能很危险。他提议通过内部客户服务协作方式,把控制权交给最终用户。

  为了帮企业用户确定如何采取对策,下文介绍了已进入工作场所的八种最流行的消费端技术和服务,并且探讨了一些公司如何在安全、工作效率和理智行为之间取得平衡。

  即时通信

  人们使用即时通信(IM)软件来处理各种事,从确保孩子们放学后坐车回家,到与同事和业务合作伙伴进行联系等。在Yankee集团开展的调查中,40%的调查对象表示他们在工作时使用即时

  通信技术。即时通信带来了众多的安全难题,其中包括: 恶意软件会通过外部即时通信客户软件进入公司网络; 即时通信用户在不安全的网络上发送公司的机密数据。

  对付威胁的一个办法是,逐步淘汰即时通信服务,改而使用内部即时通信服务器。2005年底,环球电讯公司在部署微软公司的Live Communications Server(LCS)时就是这么做的。后来在2006年8月,该公司禁止员工直接使用来自AOL、MSN和雅虎等提供商的外部即时通信服务。如今,因为通过LCS服务器和微软的公共即时消息网络(public IM cloud)来传输,所有的内部即时通信消息都经过了加密,外部即时通信消息得到了保护。

  采用内部即时通信服务器还让环球电讯公司的安全小组有了更大的控制权。Miller说: “通过公共即时消息网络,我们能够在限制程度或者开放程度方面做出某些选择。我们可以禁止文件传输、限制离开公司网络的信息或者限制某些外部URL进入(这是传播蠕虫的一个常见方法)。这大大减少了恶意活动。”

  而且还可以采取更强硬的政策。譬如说,DeKalb医疗中心的安全政策就干脆禁止使用即时通信。Finney说: “即时通信主要是聊天类型的流量,不是个人健康信息,但它仍让人感到担心。”作为限制政策的补充方案,她封阻了可以下载即时通信客户软件的大多数网站,不过没有封阻MSN、AOL或者雅虎,原因是许多医生使用这些网站来登录电子邮件账户。她领导的小组还使用网络清查工具,可以查出哪个员工的PC上有即时通信客户软件。一旦发现,就会提醒该员工DeKalb禁止使用即时通信的政策,并告知对方: 即时通信客户软件将被删除。Finney还在考虑各种各样的方法来禁用出去的即时通信流量,不过眼下,她还使用Vericept公司的数据丢失预防工具,以便监控即时通信流量、提醒安全小组有何重大安全威胁。为此,Finney的小组就要关闭大多数互联网端口,这迫使即时通信流量集中到端口80,以便监控。

  DeKalb医疗中心正在考虑这一想法: 安装IBM公司Lotus Notes的即时通信附件,或者为希望能跨园区进行联系的公司用户安装像Jabber这些使用自由软件的内部即时通信服务。Finney说: “没有什么是绝对的。从生产力和安全性角度来看,即时通信始终是要关注的一大问题。”

  网络邮件

  在接受Yankee集团调查的对象当中,50%声称自己使用电子邮件应用程序来工作。像谷歌、微软、AOL和雅虎提供的这些消费端电子邮件服务存在一个问题,就是用户自己并没有认识到使用电子邮件收发信息有多么不安全。之所以不安全,就是因为消息通过互联网传输,保存在电子邮件提供商的服务器和ISP的服务器上。正是因为没认识到这点,许多人随便就发送敏感信息,譬如社会保障号码、密码、公司的机密数据或者商业秘密,毫无谨慎可言。

  网络邮件方面加强安全的一个办法就是,借助利用关键字过滤器及其他检测技术来监控电子邮件内容的工具,生成警报信息、提醒可能有安全漏洞,或者只是阻止电子邮件发送。譬如,据WebEx Communications公司的IT基础设施主管Michael Machado介绍,该公司正在考虑扩大Reconnex公司的一款数据丢失预防工具的用途,以便添加电子邮件监控功能。

  至于DeKalb医疗中心,它借助Vericept公司的工具来处理这个问题: 这个工具可以获取员工发送的每封网络电子邮件(包括文件附件)的屏幕截图,然后进行扫描,查找是否含有公司规定的敏感数据,譬如社会保障号码等。一旦找到,Finney的小组就会接到警报信息,那样就可以对用户采取相应行动,向他们介绍通过互联网发送敏感数据存在的危险。

  便携式存储设备

  据有关被调查者介绍,IT管理人员面临的最大威胁之一就是层出不穷的各种便携式存储设备,从苹果电脑公司的iPhone和iPod

  到闪存设备,不一而足。他们说: “人们可以用这些设备下载大量公司秘密或者机密信息,然后带到别处,而IT人员不希望这样。”

  信息安全架构师兼《网络安全完全手册》一书的作者Mark Rhodes-Ousley 说: “单单在过去的三周,我就听说了有关闪存驱动器和便携式存储设备带来风险的六个案例。”

  虽然禁止员工使用PC上的USB端口很容易,但许多安全管理人员认为这种方法不值得推荐。Miller说: “要是有人想从中捣乱,他们会找到别的办法、绕过你所设置的任何障碍。该如何进行限制呢?如果限制USB端口以及带到办公室、可能有数据存储端口的手机,那么也就要考虑限制其他设备和光盘刻录机上的红外端口。这样一来,好多设备都要受到限制。”

  他说,处理这个问题的比较好的办法是,教育人们如何对待敏感信息的保存。Miller说: “出现的事件大多数是无意的,而不是恶意的,所以这时候教育可以发挥作用,以便用户正确处理、知道为什么这么做很重要。”

  Machado说,他并不主张在公司内禁用USB端口,主要是因为要是实行这样一种策略,用户很快会要求IT人员给予通融,IT人员就得应对这种通融。他说: “每个人觉得自己得到通融很重要,这会占用IT人员的大量时间。”

  他补充说,最好就是使用一种工具,向试图把文件拷贝到USB驱动器或者其他未加密存储介质的人发送警报信息,警告他们违反了公司政策。他说: “然后,他们知道自己有权做出决定,但所作所为将会受到跟踪及监控。”

  另一方面,DeKalb的Finney说,她对封阻技术很有兴趣,正在考虑Vericept工具的这种功能: 阻止某些类型的数据发送到外部存储介质,或者要是有人试图把外来的存储设备插入到PC,就向她发出警报。理想情况下,她倒是喜欢有一款工具还能提醒员工: 公司政策禁止敏感数据存储到外部设备上。

  同时,美国密歇根州大峡谷州立大学及出过师生丢失存有敏感数据的闪存驱动器事件的其他院校正在考虑将来统一使用采用密码和加密双重保护的USB驱动器,以保护敏感数据。

  PDA和智能电话

  如今,越来越多的员工带着某种智能电话或者个人数字助理(PDA)去上班,无论黑莓、Treo手机还是iPhone。但是如果他们试图把这种设备上的日程安排或者电子邮件应用程序与自己PC上的相应程序进行同步,就可能会带来从应用程序出故障到死机蓝屏的种种问题。Holbrook说: “这几种问题并非罕见,正是这样一些常见问题让IT人员都快发疯了。他们不想把时间花在处理这些问题上。”

  另外,如果员工离开公司或者被解雇,只要PDA或者智能电话归他所有,他就能带着自己所需的任何信息扬长而去。

  与另外有些公司一样,WebEx公司尽量减小这种可能性的办法是: 统一使用某种品牌和款式的PDA,让员工知道IT部门只支持这一种设备。WebEx对笔记本电脑采取了同样的做法,Machado特别指出,笔记本电脑带来的威胁甚至比PDA还要大,原因是前者的数据存储量更大。如今,未经批准的任何设备都不可以连接到WebEx公司的网络上。

  拍照手机

  一名医院员工站在护士站,与护士们闲聊。没人注意到她手里还拿着一个小设备,时不时地摁一下小按钮。这是最新惊险间谍片中的一幕吗?不是,这是DeKalb医疗中心的Finney进行的一项安全测试。

  她说: “我所做的其中一项测试是,我把手机带到护士站,开始拍起照来,护士们并不知道。我想下载拍下的图片、润饰图片、看看拍到了什么,其实是计算机屏幕或者放在桌子上的纸张显示的病人信息。”

  结果证明,她没有获得任何个人身份资料,但她确实从所拍计算机屏幕的上方获得了计算机名称(不是IP地址)。她说: “这种信息积少成多后形成的线索可与某人从医院其他地方获得的另外信息汇总起来,从而策划攻击计划。”

  作为后续措施,Finney为DeKalb医疗中心的员工岗前培训和安全意识计划添加了有关这一潜在安全漏洞的信息,那样员工至少认识到机密数据让外人看到(或者可能拍到)有多危险。

  Skype及其他消费端VoIP服务

  迅速发展的另一项消费端技术就是Skype,这种可下载的软件型服务让用户可以免费拨打网络电话。实际上,接受Yankee集团调查的对象当中有20%表示,他们使用Skype来办公。

  Holbrook说,在公司环境下,Skype和类似服务带来的威胁其实与下载到企业PC的任何消费端软件一样。他说: “企业应用程序具有高度的可扩展性和安全性,消费者应用程序的可扩展性和安全性要差一些。所以,只要下载了Skype或者其他类似服务,无异于带来了安全风险,IT人员对此会感到不舒服。”譬如说,这种软件会与PC或者网络上的其他每个应用程序进行联系,可能会影响每个程序的性能。

  Skype自己已至少发布了四份安全公告,宣布了用户在下载这款软件的最新版本时可以堵住的漏洞。但因为IT人员往往不知道有多少用户安装了Skype,更不用说是谁安装了它,所以他们无力监管这种行为。

  最安全的办法、也是调研公司Gartner推荐的办法就是,完全禁止使用Skype。Gartner认为,要是公司决定允许使用Skype,那么也应当使用配置管理工具,对Skype客户软件积极实行版本控制,确保它只分发给了授权用户。

  可以下载的窗口组件

  据Yankee集团声称,如今消费者使用Q和Nokia E62等设备下载窗口组件,以便可以迅速使用网络应用。这种窗口很容易被转移到PC上,它们因而成了进入IT人员竭力想控制的技术生态系统的另一个入口点。

  这里的风险在于,这种小程序耗用了PC和网络上的处理能力。除此之外,未经审查就下载的任何软件也带来了潜在威胁。Holbrook说: “这倒不是更有可能感染上病毒,而是这些下载的东西并不是你充分信赖的。”

  WebEx公司缓解这种风险的办法就是采用了三管齐下的方法: 教育用户认识到软件下载的种种风险; 使用Reconnex来监控安装在用户PC上的软件; 禁用用户的部分默认访问权限,从而限制了下载功能。

  虚拟世界

  公司用户正在开始体验像“第二人生(Second Life)”这些虚拟世界,这时候IT人员就要更加认识到随之带来的安全问题。Holbrook说,单单禁止使用这些虚拟世界无疑是短视行为。他说: “人们只是刚刚开始了解这种应用在公司环境下有多大的用处。”

  Gartner在近期的一份报告中指出,与此同时,使用“第二人生”需要下载大量的可执行代码,并且通过公司防火墙安装上去。另外,实际上没有办法知道居住在虚拟世界的许多化身者的真实身份。

  Gartner建议采用的一种办法就是,让员工能够通过公司的公共无线网络进入虚拟世界,也可以鼓励他们在家里这么做。还有种办法就是,公司可以考虑采用这样的工具: 可建立自己的虚拟环境,这种环境在公司内部运行,放在企业防火墙后面。

 

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐