调查表明:IT安全策略并不能阻止用户使用云和BYOD

日期: 2013-11-14 作者:Brandan Blevins翻译:刘淡宁 来源:TechTarget中国 英文

关于企业BYOD使用的管理,IT安全策略看起来可能是最合乎逻辑的方法。但是一项新的调查结果显示,越来越多的Y代用户在使用自带设备和云服务时,会避开那些安全策略

网络安全设备供应商Fortinet公司最近发布了一个涉及3200个用户的调查,调查显示,年龄在21岁到32岁的很多用户,都不会关注企业IT团队制定的BYOD和云策略。Fortinet还发现,65%的受访者在工作时经常使用个人设备,如智能手机、平板电脑或笔记本电脑,另有14%的受访者每月至少都会使用几次。

令人吃惊的是,51%的受访者表示,他们在工作时都违反了公司限制个人移动设备使用的策略。这个数字比起去年Fortinet进行的一项类似调查的结果增加了42%。

暂且先不跳转到关于企业内部风险可能增加的结论。位于加利福尼亚州桑尼维尔的Fortinet公司营销副总裁John Maddison推测,用户主要分成了两个阵营,一部分人说“我只是想要使用我的设备”,另一部分人表示“我只是想要我的工作”。Maddison认为:“我不认为他们这样做有什么错,而且他们并不会进行黑客攻击。他们只是想更方便地做好自己的工作。即使企业已经制定了BYOD策略,很多员工还是会说‘我想按我自己的方式工作’,于是这些IT策略又需要改进了。”

Maddison表示,必要的时候,比起安全性,年轻用户更倾向于选择生产力和易用性。比如,如果一个安装在移动设备上的VPN服务运行缓慢或者功能冲突,Y代用户就会选择不激活VPN控制,直接连接到公司网络。

也许让人惊讶,Y代终端用户似乎比过去更加了解网络安全问题。Fortinet公司要求受访者评估自己对各种常用的信息安全术语的熟悉度,整体来说,用户安全知识较往年有所增加。例如,88%的受访者至少熟悉网络犯罪,80%知道网络钓鱼,50%对高级持续威胁有所了解。

不过,年轻用户网络安全意识水平的不断提高似乎并没有延伸到移动设备和云技术领域。当受访者被问到是否了解个人设备上的攻击时,64%的台式电脑用户和57%的笔记本用户都知道他们的设备已经有一些针对性的攻击方法,而只有22%的智能手机用户和21%的平板电脑用户意识到他们的设备可能被攻击。针对这种情况,Maddison认为,用户可能是从他们雇主的安全角度了解的。

他说:“我认为这是因为他们已经看到过许多针对PC电脑的攻击,而且企业不断地坚持在PC电脑上安装杀毒软件,所以他们看到很多针对笔记本电脑的活动、控制和策略。”

Y代用户同样缺乏对于移动设备威胁的知识,这似乎渗透到了Y代用户对于个人云服务的观点。对此,36%的受访者表示,即使一些云活动被IT策略阻止,他们还是会使用云服务。事实上,许多用户在工作中已经使用云服务,46%的受访者表示他们已经使用像Gmail和Outlook这样的网络邮件服务。1/5的用户表示他们还分别使用了Google Drive和Dropbox。

工作中使用个人云服务的人群中,有33%表示他们已经在云存储中存储了一些客户信息,如联系方式,另外还有22%的人承认他们存储了一些敏感文件,如合同和商业计划。尽管这些数字可能会让一些安全专家震惊,但是被调查的Y代用户似乎很能接受云计算所带来的风险。32%的受访者相信云服务会处理好各种类型的数据,57%的受访者承认云存储有一定级别的风险,但是他们说这并不妨碍存储一些不敏感数据。

Maddison说:“大部分人要么相信云服务没有风险,要么知道云服务的风险,但是还是愿意相信它。云服务让用户的工作变得简单,而且在这些风险中有一个细微的平衡。他们知道有风险,但是从生产力的角度来看,代价是值得的。”

所以IT安全团队应该如何处理这看似雪崩的危险行为呢?Maddison提出了三点建议。首先,也许让人出乎意料,他鼓励企业继续给年轻用户灌输一些知识,不仅仅是已存在的企业安全策略,还有最新的移动设备和云服务威胁。Maddison承认,报告中的一些数据可以用来证明用户教育的有效性,但是他指出88%的受访者也认为他们应该继续了解使用个人设备涉及到的风险,增加对各种网络安全方面术语的了解,这意味着Y代用户愿意了解这些问题。

Maddison强调,企业需要深入了解网络来解决这些问题,网络分割也许就是一个不错的答案。例如,如果组织确定它需要完全信任网络的某个部分,它可以对其设定额外的控制,如使用一个VPN获得对该段的访问权。

Maddison主张企业花费更多的时间分析内部网络流量。他指出,报告中所提到的各种活动,从云服务的使用到不使用VPN连接移动设备,都可以从网络层面观察到。企业如果使用额外的网络安全控制,也许能抓住最好的机会来遏制风险行为。

如果有一件事是肯定的,那就是:企业需要在风险失去控制之前,管制好BYOD和云活动。Y代用户被问及他们在未来是否可能拥有自己的可穿戴技术时,如Google Glass,一半受访者给予了肯定的回答,并且对新兴技术表现出了浓厚兴趣,如与互联网相连的汽车和电视。同样,49%的受访者还表示他们愿意避开管理这些技术的IT策略。

Maddison总结道:“虽然Y代用户使用这些技术都在违反IT安全策略,但是在这个特殊的细分市场中,回报似乎比风险更大。我并没有看到这个趋势要停止的迹象,如果明年还做这个调查,我认为结果会继续增加。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Brandan Blevins
Brandan Blevins

As news writer for SearchSecurity and SearchCloudSecurity, Brandan Blevins covers the enterprise information security landscape, from data breaches and research reports to IT security product market trends and case studies.

相关推荐

  • 评估厂商安全策略:你应该关注这五个问题

    网络空间的动态特性要求安全策略适应这一趋势。很多安全损害首先是由于针对厂商的攻击引起的,所有企业必须解决与厂商有关的网络威胁。评估厂商的安全策略是一种确保数据安全性的合理方法。

  • 如何用移动应用评估来提高企业安全性?

    面对海量的应用,对企业来说,确定哪些应用用于企业用途是十分困难的。即使是最有用的应用都可能会增加企业安全风险,因此,安全团队需要将移动应用评估作为其工作的一部分……

  • 移动应用热修复终结:这对企业安全意味着什么?

    苹果公司最近开始通知部分移动应用开发人员,称其违反了苹果的使用条款,主要是因为这些开发人员通过Rollout.io或者JSPatch框架使用热修复。

  • 移动认证安全简要指南

    在移动电话使用的早期阶段,其管理和安全保证都遵循着企业标准。如今,移动设备数量激增,并由不同的人和企业所使用和拥有。然而,许多运行着关键任务的设备是由不同的安全供应商和技术来保障其安全的。