对企业而言,iCloud身份验证是否足够安全?

日期: 2015-01-20 作者:Dave Shackleford翻译:邹铮 来源:TechTarget中国 英文

在好莱坞明星艳照门事件后,iCloud身份验证遭受质疑,那么,对企业而言,它足够安全吗?在本文中,专家Dave Shackleford将为大家解答这个问题。 在2014年8月份iCloud明星照片泄露事件后,苹果公司对其安全系统和政策做出了一些修改,包括当用户账户登录时发送电子邮件警报给用户。然而,在这个做法中仍然存在漏洞可能允许攻击者访问用户账户,而且用户不会收到提醒。 在本文中我们将探讨iCloud身份验证的情况,重点是企业需要知道的iCloud安全的关键方面。

是否有办法让iCloud的使用在企业设置中被宽恕或者至少被容忍,还是没有办法?是否能够为它提供额外的控制?本文中也将为企业提供一些……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

在好莱坞明星艳照门事件后,iCloud身份验证遭受质疑,那么,对企业而言,它足够安全吗?在本文中,专家Dave Shackleford将为大家解答这个问题。

在2014年8月份iCloud明星照片泄露事件后,苹果公司对其安全系统和政策做出了一些修改,包括当用户账户登录时发送电子邮件警报给用户。然而,在这个做法中仍然存在漏洞可能允许攻击者访问用户账户,而且用户不会收到提醒。

在本文中我们将探讨iCloud身份验证的情况,重点是企业需要知道的iCloud安全的关键方面。是否有办法让iCloud的使用在企业设置中被宽恕或者至少被容忍,还是没有办法?是否能够为它提供额外的控制?本文中也将为企业提供一些指导,让企业知道如何运用技术和政策来降低iCloud相关数据丢失的风险。

企业中的iCloud安全

iCloud真的适合企业吗?有些企业更愿意使用具有企业安全和监控功能的更加可管理的服务,例如Box.com或Google Drive,但同时很多IT部门允许使用iCloud作为BYOD举措的一部分。目前苹果正在努力让iCloud更适合企业使用,包括其iCloud Drive和Mail Drop,它们可以自动同步大型邮件附件到iCloud驱动器。

下一个问题是:它是否可以受到适当的保护?好消息是,在明星艳照泄露事件后,苹果已经增加了一些安全控制来加强iCloud账户安全。在iCloud中,邮件和笔记不会被加密,但大部分其他数据都会加密,包括iCloud Drive和iCloud Backup数据、日历、联系人、书签、照片和文档。对iCloud的所有连接还使用SSL来安全地连接和传输数据。

苹果公司一直要求用户对其iCloud服务使用高强度密码。所有访问iCloud的苹果ID至少需要8个字符,其中需要包括一个大写字母、一个小写字母和一个数字。这可能并不完美,但它符合目前很多企业密码政策。

苹果提供的额外安全措施

苹果为加强iCloud账户安全所做的两个最大的变更涉及当发生某些登录操作或账户设置被更改时发送给用户的警报,以及访问iCloud账户的双因素身份验证。该警报选项要求用户使用“已知”设备来验证其身份,然后他们才可以对其MyAppleID的账户信息做出更改,在新设备或iCloud.com登录到iCloud,或从新设备在iTunes、iBooks或App Store购买产品。用户可以在设备的设置中启用这个双因素身份验证,并且,这种验证方法通常会通过短信向移动设备发送PIN码。当登录操作完成或账户变更完成时,警报会发送到主账户电子邮件。这些电子邮件会有些许延迟,有些攻击者指出受感染的账户可以快速被配置为将苹果的电子邮件发送到垃圾邮件文件夹,防止用户发现。

如何降低安全风险

如果没有两步骤验证,攻击者仍然可以很容易地对iCloud身份验证进行蛮力破解,这让人们认为苹果的安全措施仍然不足。企业如何可以增强苹果的内置控制?为加强iCloud安全,安全团队可以使用的唯一控制类型是移动设备管理(MDM)控制,制定iCloud使用政策,并执行本地数据保护和身份验证来取代iCloud的做法。企业并没有简单的方法可以控制个别用户的iCloud账户,但企业可以制定新政策,说明对云服务(包括iCloud)的可接受使用和禁止使用,这是一个很好的开始。此外,传统代理服务器和内容过滤器等其他工具以及更专业的工具(例如Skyhigh Networks的内容监测)可以帮助检测和控制在有线和无线企业网络对iCloud服务的使用,但移动网络将仍然提供给用户使用。

总结

相比大多数企业存储选项,iCloud有着相对不成熟的安全选项。在大多数情况下,企业应该选择更安全的存储做法,但苹果公司提供的新功能让iCloud成为可用的选择,如果说不是理想的选择。

作者

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

翻译

邹铮
邹铮

相关推荐

  • 安全自动化是企业安全“一劳永逸”之法吗?

    有时候安全团队似乎过分依赖于“一劳永逸”的安全机制,而没有足够的安全专业人员提供人性化的分析和判断。在这方面,安全自动化的风险是什么?企业如何利用安全自动化的优势,而确保自己受到保护?

  • 企业安全防护:防御未知威胁的能力是关键

    网络威胁形势只会变得更为严峻,为了在资源有限的情况下最大程度的保护企业安全,部署能够防御未知威胁的产品是摆在企业面前一个重要的课题。

  • 雇佣前黑客:这是企业安全的解决之道吗?

    如今有些企业开始雇佣更多的黑客来帮助他们改善安全态势。虽然黑客拥有很高的技能,但这真的是好主意吗?这一战略的利弊是什么?真的有道德黑客吗?

  • 人工智能会让安全更好还是……

    尽管由狭义的AI进化到真正的人工智能还需要加以时日,但可以肯定的是,AI会让安全变得更简单,这对一直想解放人力物力财力去专注业务创新的企业们来讲无疑是值得雀跃并期待的。