每當提起移動設(shè)備的安全保護問題，其實我們自己就成了阻礙這一目標的最大敵人。盡管事實上很多朋友都會每周七天、每天二十四小時高度依賴于自己的移動設(shè)備，但絕大多數(shù)用戶對于安全性事務(wù)似乎一無所知，研究人員做出了這樣的論斷。

[[123761]]

根據(jù)賽門鐵克公司發(fā)布的威脅調(diào)查報告，單就2012年來看，44%的成年用戶完全不知道移動設(shè)備當中也存在著安全解決方案。而同樣由這家安全供應(yīng)商于2014年4月發(fā)布的2013年安全報告中，這一比例更是上漲到了57%。研究人員指出，用戶群體當中這種嚴重的指導(dǎo)與培訓(xùn)缺失只是一種表面現(xiàn)象。舉例來說，多年以來人們已經(jīng)習(xí)慣于使用幾乎不必過多考慮安全性問題的功能手機，因此在突然轉(zhuǎn)向智能手機之后往往沒有意識到需要為其安裝安全應(yīng)用程序。

展望未來，專家們一致認為，移動惡意軟件與欺詐活動只會隨著用戶將更多豐富而敏感的數(shù)據(jù)引入其手機而變得愈發(fā)猖獗。這些設(shè)備通常也能夠獲取到來自企業(yè)的業(yè)務(wù)數(shù)據(jù)，因為大多數(shù)員工會不自覺地將自己的移動設(shè)備納入生產(chǎn)力工具庫。

除了使用層面的移動安全問題，移動設(shè)備丟失的情況也開始變得愈發(fā)普遍。根據(jù)一份消費者調(diào)查報告給出的結(jié)果，單在2013年就有140萬臺智能手機丟失或者被盜，而且從未得到恢復(fù)，這一數(shù)字高于2012年的120萬臺。

面對數(shù)量眾多的設(shè)備與業(yè)務(wù)數(shù)據(jù)安全風(fēng)險，沒有任何一套解決方案能夠以不變應(yīng)萬變地搞定移動安全難題。“時至今日，員工真的沒有一種完美的方式來保護自己的移動設(shè)備，”WellPoint公司IT事務(wù)副總裁Jamisson Fowler表示，這是一家總部位于印第安納州波利斯市的醫(yī)療福利企業(yè)。“他們總是把問題歸咎于自己犯下的各種失誤，而且市面上也沒有一款工具能夠真正將設(shè)備鎖定起來。”雖然形勢不容樂觀，但我們?nèi)匀挥修k法讓員工具備更為豐富的移動安全知識與事件應(yīng)對經(jīng)驗。

下面我們將一同了解五種更有可能身陷移動安全風(fēng)險的員工類型，并學(xué)會如何教導(dǎo)他們以更加積極的心態(tài)維護自己的設(shè)備及數(shù)據(jù)。

1. 不知情員工

有些人很容易受到社交工程欺詐以及釣魚攻擊的影響，因為他們根本沒有意識到網(wǎng)絡(luò)世界當中所潛伏的種種危機。在這種情況下，我們該如何培養(yǎng)他們識別并回避惡意人士那瞬息萬變的攻擊戰(zhàn)術(shù)?

解決方案：主動釣魚以培養(yǎng)安全意識

網(wǎng)絡(luò)犯罪分子總是在尋找著“干一票大事”的機會，而移動設(shè)備已經(jīng)成為攻擊活動的最新前沿。那些在PC設(shè)備上被證實有效的攻擊活動，完全可以被用于測試毫無防備的移動用戶是否會同樣中招——而且鑒于大多數(shù)移動設(shè)備都缺乏良好的保護機制，這類唾手可得的目標當下可謂規(guī)模龐大。“攻擊者們肯定會在整條流程鏈當中尋找最為薄弱的環(huán)節(jié)”，而后將歷史上最為成功的欺詐手段融入其中，Cyren公司CTO Lior Kohavi指出，這是一家總部位于加利福尼亞州麥克萊恩市的云安全方案供應(yīng)商。

在德國醫(yī)療設(shè)備制造商Karl Storz GmbH公司，IT部門用于管理2200臺移動設(shè)備的安全方案同時也負責(zé)著企業(yè)內(nèi)部系統(tǒng)的保護工作。“我們希望讓人們意識到釣魚攻擊的存在以及可能后果，”位于加利福尼亞州埃爾塞貢多市的Karl Storz Endoskope子公司企業(yè)技術(shù)主管David O’Brien表示。

在內(nèi)部系統(tǒng)當中，該公司實施了一整套培訓(xùn)項目，其內(nèi)容從PhishMe到運行模擬郵件再到社交工作欺詐可謂無所不包，目的就是讓員工在切膚之痛中了解安全事務(wù)的重要性。在早期實踐過程中，IT部門發(fā)現(xiàn)了令人震驚的結(jié)果：有大約70%的目標測試者心甘情愿點擊了那些最基本的釣魚欺詐鏈接，并將自己的ID以及密碼輸入了進去。更可怕的是，其中還不乏一些“我手下最資深的IT人員”，O’Brien回憶道。

當然，惡意人士所采用的社交工程手段不僅僅能夠通過基于PC的系統(tǒng)起效，同時也能影響到移動系統(tǒng)。無論采用怎樣的實施途徑，受害目標總是指向那些無意中點擊鏈接并下載惡意軟件的受信用戶，他們的這些違規(guī)操作將導(dǎo)致攻擊者能夠進入企業(yè)內(nèi)部網(wǎng)絡(luò)并獲取到敏感數(shù)據(jù)。網(wǎng)絡(luò)釣魚信息在移動設(shè)備上被打開后，也能夠進一步感染到筆記本以及企業(yè)業(yè)務(wù)系統(tǒng)，KnowBe4公司聯(lián)合創(chuàng)始人Stu Sjouwerman指出，這是一家位于佛羅里達州清水市的安全培訓(xùn)企業(yè)。對于這一點，他給出了一項簡單的忠告：“先考慮清楚再下手點擊。”釣魚欺詐實踐讓Karl Storz公司的員工們意識到了惡意活動的存在，并幫助他們學(xué)會了如何回避此類攻擊。

“這些不同類型的攻擊將對任何設(shè)備造成嚴重影響——無論是移動設(shè)備還是其它傳統(tǒng)計算設(shè)備，”O’Brien強調(diào)稱。“在我們的測試當中，全部終端用戶當中約有20%沒能在自己的iOS設(shè)備上(iPhone或者iPad)經(jīng)受住釣魚考驗。我敢肯定，未來的測試將包含數(shù)量占比更為可觀的移動設(shè)備使用規(guī)模。”

在技術(shù)巨頭Raytheon公司，安全已經(jīng)成為企業(yè)文化的一項重要組成部分。在這家位于馬薩諸塞州沃爾瑟姆市的企業(yè)當中，遍布世界各地的63000名員工有約三分之一利用智能手機以及平板設(shè)備處理日常工作，而其中“人為因素”永遠是給安全保障造成最大困擾的環(huán)節(jié)，該公司便于業(yè)務(wù)服務(wù)IT事務(wù)副總裁Jon Aliber指出。

“最終能否實現(xiàn)安全保障還是得歸結(jié)于個人，而且必須確保他們真正了解釣魚魚欺詐活動的套路與特征，”Aliber指出。Raytheon公司利用社交協(xié)作與博客工具來幫助員工及時獲取并發(fā)現(xiàn)網(wǎng)絡(luò)釣魚活動。除此之外，該公司還要求每位員工每年參加一次在線安全培訓(xùn)課程。#p#

2. 初次擁有自己移動設(shè)備的員工

那些第一次將平板設(shè)備或者智能手機拿在掌中的用戶往往身處安全風(fēng)險當中，因為他們不知道自己需要了解什么、或者說對哪些情況缺乏必要的認識。

解決方案：友善而非羞辱性的管理政策

WellPoint公司為大約五百名臨床醫(yī)生及服務(wù)協(xié)調(diào)員配備了iPad，他們的主要工作是照顧那些年事已高、失目或者身有其它殘疾的居家病患。Fowler表示，大部分此類移動用戶“幾乎沒有什么技術(shù)基礎(chǔ)，甚至?xí)κ褂眉夹g(shù)方案而感到有些不安。”

Fowler的團隊很驚訝地發(fā)現(xiàn)，一部分此類員工甚至羞于或者害怕向IT部門上報他們不小心弄丟了iPad的狀況。“人們更傾向于等上個幾天，然后才承認自己恐怕是把設(shè)備弄丟了——在此之前，他們認為自己只是處于尋找階段——是的，直到這時候他們才‘確信自己的設(shè)備確實不見了，’”他回憶道。“有時候我們發(fā)現(xiàn)這些移動設(shè)備其實是被盜了，但也有一些情況下、iPad只是被員工落在了家中——我們會通過定位服務(wù)來幫助員工將其找到。”但這種拖延不報的作法往往會令設(shè)備以及其中的敏感信息面臨泄露風(fēng)險。

為了解決這一難題，F(xiàn)ower的團隊想出了兩套解決方案。第一，為了降低臨床醫(yī)生與服務(wù)協(xié)調(diào)員們在不經(jīng)意間將自己的iPad落在家中的可能性，IT部門為他們提供了專門的便攜袋、其體積足夠容納iPad外加其日常工作需要的文書材料。這部分員工還參加了培訓(xùn)，認識到一旦他們認為自己的設(shè)備不知所蹤、應(yīng)該立即與IT部門取得聯(lián)系。第二，為了確保員工在弄丟iPad后會切實加以上報，IT部門建立了一套友善而非羞辱性的管理政策，從而打消員工在上報之前所面臨的心理斗爭與疑慮情緒。

“我們絕不會向任何弄丟了移動設(shè)備的員工大喊大叫。IT人員都很清楚，自己不能這么干，”Fowler表示。“當醫(yī)生們與iPad支持團隊取得聯(lián)系時，大家都熱情地向其伸出援手。在這種情況下，雖然很多時候設(shè)備已經(jīng)無法找回，但我們卻能夠立即實施制定好的安全協(xié)議，從而避免后續(xù)事態(tài)的進一步惡化。”

為了在設(shè)備確實被盜時降低敏感信息泄露的風(fēng)險，每一位新的iPad用戶都需要接受培訓(xùn)，從而了解密碼保護的重要性并在技術(shù)人員的指導(dǎo)下學(xué)習(xí)如何使用多個密碼。“我們通過在線會議的方式推進培訓(xùn)課程，學(xué)習(xí)內(nèi)容除了設(shè)備本身之外、也包括設(shè)置密碼的重要性以及如何將不同密碼內(nèi)容彼此隔離開來，”Fowler解釋道。“我們還會向?qū)W員們舉例實例，告訴他們安全問題是如何在不經(jīng)意間給大家?guī)砺闊┑摹?rdquo;舉例來說，他創(chuàng)建了一封偽造的釣魚郵件，其中的內(nèi)容與Facebook上常見的欺詐信息非常類似、并包含有偽造的銀行電子郵件詢問部分。通過這類親身體驗，F(xiàn)owler表示，員工會深刻地意識到：“如果我們在不同設(shè)備上使用內(nèi)容相近的密碼內(nèi)容，而日常使用的軟件又需要涉及病患個人信息，那么魯莽的使用心態(tài)將把自己和整家企業(yè)陷于安全風(fēng)險當中。”#p#

3. 心不在焉的員工

大多數(shù)人都認為自己的個人信息不能簡單用價值來衡量，并愿意以嚴密的心態(tài)加以保護，但其中有些人卻沒有拿出同樣的嚴謹態(tài)度來對待雇主企業(yè)的業(yè)務(wù)數(shù)據(jù)與設(shè)備。

解決方案：游戲化機制與其它“粘性”提醒方案

密歇根州政府必須時刻追蹤公務(wù)員們在日常工作中所使用的約17000臺智能手機與平板設(shè)備。就在去年，州政府工作人員丟失的移動設(shè)備總計256臺，其中包括智能手機、平板設(shè)備以及筆記本電腦。

在過去，“坦率地講培訓(xùn)就是一條死胡同，”密歇根州政府首席安全官Daniel J. Lohrmann表示。“只要PowerPoint這類演示文稿一亮，事情就算完了，”他指出長達一個小時的喋喋不休只會讓人心生反感，連他自己都不相信會有多少人能堅持看到最后。“所以我們把這套辦法徹底拋開。”Lohrmann希望能夠整頓州政府的安全培訓(xùn)機制。用戶們反映原有培訓(xùn)方式太過枯燥、與實際之間相距太遠、他們從中學(xué)不到什么有用的東西。有鑒于此，他認為亟需出臺一套簡潔、包含交互環(huán)節(jié)、有趣、而且最重要的是能夠真正讓參與者們有所體悟的新方案。

考慮到上述要求，他的團隊拿出了一套新的培訓(xùn)體系，其中包含多節(jié)基于主機游戲的課程。Lohrmann指出，其中他最喜愛的部分就是在機場環(huán)境下發(fā)現(xiàn)移動設(shè)備丟失或者被盜時，員工應(yīng)該采取怎樣的應(yīng)對措施。這其實是安全工作當中一項非常重要的課題; 根據(jù)由Credant Technlogies公司(如今已經(jīng)被戴爾方面所收購)公布的2012年機場調(diào)查報告，單單是芝加哥、丹佛、舊金山、邁阿密、奧蘭多、明尼阿波利斯以及夏洛特這七座機場，當年由旅客丟失的無線設(shè)備就達到8016臺。在這些被不慎遺失的設(shè)備當中，智能手機與平板設(shè)備占45%，而筆記本則占約43%。根據(jù)Credant公司的報道，其中有約一半設(shè)備被歸還給了失主，其余的則被捐給慈善機構(gòu)或者進行拍賣。

培訓(xùn)課程提到了在機場環(huán)境下丟失設(shè)備的統(tǒng)計數(shù)字，并介紹了人們應(yīng)該采取哪些措施來避免大家弄丟自己的移動工具。接下來有趣的部分就開始了。用戶會在在線游戲當中扮演一個類似于馬里奧的角色，他們需要在90秒鐘的時間內(nèi)在機場中運用自己學(xué)到的理論知識、從而快速找到12臺丟失或者被盜的移動設(shè)備。用戶控制的角色會在機場當中跑來跑去——途經(jīng)值機柜臺、美食廣場、一條安全傳送帶以及有軌電車車站——而且每找到一臺設(shè)備，系統(tǒng)都會發(fā)出“叮”的一聲作為提示。“員工們沒人能在第一次參與時就將所有設(shè)備在時限內(nèi)找到，因此他們會迫不及待地再玩一次，”Lohrmann不無得意地回憶道。

密歇根州現(xiàn)在已經(jīng)正式推出了這一系列培訓(xùn)課程，而Lohrmann預(yù)計輕松有趣的設(shè)置將讓員工們與他自己一樣對此留下深刻的印象。

“這就是所謂‘粘性’。對我個人來說，我每次身臨機場、腦海中都會浮現(xiàn)起這款游戲的畫面，”他表示。培訓(xùn)課程“所做的是改變?nèi)藗兊男袨槟Ｊ健?rdquo;#p#

4. 技術(shù)天才型員工

精通技術(shù)的終端用戶有時候反而會成為一種安全噩夢——特別是在他們掌握了如何對自己的智能手機進行重新配置、從而獲取到管理員級別權(quán)限的情況下。

解決方案：比聰明的員工更聰明

惡意軟件可能會給設(shè)備帶來巨大損害，尤其是其擁有了管理員級別的控制權(quán)限。而Gartner咨詢公司作出預(yù)計，認為到2017年半有75%的移動安全問題是由配置不當?shù)膽?yīng)用程序所造成。

Karl Storz公司一直以嚴謹?shù)膽B(tài)度對待著此類威脅。“我們是一家工程技術(shù)企業(yè)，因此擁有大量熟悉技術(shù)的員工，”O’Brien評論道。由于工作中所使用的智能手機是由該公司提供的，“我還沒有發(fā)現(xiàn)用戶們對自己的手機進行重新配置，但這并不是說他們沒有這種能力。信息就在這里、分散在每一臺移動設(shè)備當中，單憑IT部門根本沒辦法強行控制。”

根據(jù)Gartner公司的調(diào)查，目前最為常見的平臺安全違規(guī)行為共分兩種，其一為在iOS設(shè)備上進行“越獄”、其二為在Android設(shè)備上進行“rooting”。

這些行為相當于硬性提高了用戶在設(shè)備上的權(quán)限，并從本質(zhì)上將普通用戶轉(zhuǎn)化成了管理員。上述作法允許用戶訪問正常情況下禁止訪問的特定設(shè)備資源，而且移除應(yīng)用特定保護機制以及操作系統(tǒng)提供的安全“沙箱”環(huán)境會令移動設(shè)備中的數(shù)據(jù)陷入風(fēng)險。在這種情況下，惡意軟件也有可能被下載到設(shè)備之內(nèi)、并以此為起點引發(fā)各類惡意行為，包括獲取企業(yè)業(yè)務(wù)數(shù)據(jù)。根據(jù)Gartner的調(diào)查，這些存在違規(guī)情況的移動設(shè)備同時也更容易被攻擊者進行密碼內(nèi)容修改。Gartner同時指出，目前最理想的安全防御方式就是利用移動設(shè)備管理工具與政策對移動設(shè)備中以鎖定。隨著“容器”技術(shù)與應(yīng)用程序防護機制的進一步增強，重要數(shù)據(jù)的保護能力也將得到逐步提升、移動安全性目標亦會進一步變?yōu)楝F(xiàn)實。

IT安全領(lǐng)導(dǎo)者們也需要利用網(wǎng)絡(luò)訪問控制來阻斷接入到企業(yè)系統(tǒng)的連接，從而將那些存在可疑活動的潛在高危設(shè)備徹底隔離在業(yè)務(wù)流程之外。Raytheon公司就通過專業(yè)知識培訓(xùn)不斷增強這些高技術(shù)水平員工的安全意識，讓他們主動反思自己的行為是否會對企業(yè)業(yè)務(wù)及行為規(guī)范造成破壞。“如果他們一意孤行、完全根據(jù)自己的意愿對移動設(shè)備加以使用……他們就此了解到自己違反了公司的管理政策，并因此而感到尷尬而且自責(zé)，”Aliber表示。

此類管理政策只能算是廣義數(shù)據(jù)安全戰(zhàn)略當中的組成部分，其中還應(yīng)當包括利用設(shè)備管理軟件進行配置方案控制，以及將數(shù)據(jù)保存在云環(huán)境中而非直接使用移動設(shè)備自帶的存儲資源。#p#

5. 習(xí)慣于過度分享的員工

某些員工總愛在社交媒體上分享太多信息資源，甚至有時候顯得有些過度。也有一些喜歡把自己的設(shè)備拿給朋友或者家人加以把玩。

解決方案：阻塞漏洞

隨著社交媒體的迅速興起，雇傭大量年輕員工的企業(yè)往往會發(fā)現(xiàn)這些新生力量喜歡將前所未有的大量信息在社交平臺上予以公開——而且這種行為及其背后的思維傾向正變得愈發(fā)普遍。作為伴隨著社交媒體長大的這一代年輕人，他們在進入勞動力市場后也仍然不會改變自己的行為習(xí)慣，這就要求企業(yè)密切關(guān)注他們對于敏感數(shù)據(jù)的處理方式，C G Silvers咨詢公司老總Chris Silvers指出，這是一家總部位于亞特蘭大的IT安全咨詢企業(yè)。“目前社交媒體上已經(jīng)出現(xiàn)了大量此類信息——我們根本沒辦法將其一一回收，”他強調(diào)稱。

那些喜歡隨意將信息共享在社交媒體網(wǎng)站上的員工很容易成為惡意人士的攻擊目標，這幫壞家伙往往會假裝成受害者的同事或者其他熟人，試圖說服他們共享那些容易攻擊的安全憑據(jù)、密碼或者企業(yè)信息等等。

“無論何時，只要員工將社交媒體賬戶與特定活動或者工作電子郵箱地址綁定起來，那么指向業(yè)務(wù)數(shù)據(jù)的威脅也將由此產(chǎn)生，”Social-Engineer有限公司首席人為黑客活動主管Chris Hadnagy表示，這是一家培訓(xùn)與咨詢服務(wù)企業(yè)。“我們發(fā)現(xiàn)人們往往習(xí)慣于將自己的企業(yè)電子郵箱地址作為LinkedIn以及Facebook的登錄賬號。欺詐人士可以通過在線方式搜索相關(guān)信息，并借此找到他們所發(fā)布的帖子、博文以及經(jīng)常逛的論壇——在這里，總會有一些個人內(nèi)容在不經(jīng)意間被泄露出來。而這些都是構(gòu)成社交工程欺詐活動的重要線索。”

除此之外，教育也是一大關(guān)鍵。“員工們需要經(jīng)過良好的教育，從而意識到如果他們有個人信息需要保護，那么來自社交媒體站點或者郵件的任何內(nèi)容都不能輕易采信，”Hadnagy指出。

他同時建議稱，大家應(yīng)該制定專門的管理政策來控制社交媒體在日常工作中的使用方式。如果允許社交媒體介入，那么員工們應(yīng)該專門創(chuàng)建工作賬戶與個人賬戶。“在這種情況下，惡意人士還能在LinkedIn上找到他們嗎?其實還是找得到，但這至少在一定程度上實現(xiàn)了隔離，”他表示。

過度共享也會帶來其它一些意料之外的負面后果。Lohrmann指出，父母往往會為了哄孩子開心而允許他們在企業(yè)提供的智能手機或者平板設(shè)備上玩游戲或者觀看視頻——這就導(dǎo)致此類設(shè)備有可能被不慎損壞，更糟糕的是、可能會被潛在的可疑網(wǎng)站當中的黑客以未授權(quán)方式加以訪問。為了避免此類情況，企業(yè)雇主應(yīng)當制定書面的安全管理政策，禁止員工將由企業(yè)持有的設(shè)備出借給朋友或者家人。

作為文章的結(jié)尾，IT管理領(lǐng)導(dǎo)者們強調(diào)稱，移動安全的另一大核心還在于如何在靈活性與生產(chǎn)效率之間取得平衡點。“我們確實保留了一定程度的靈活性空間，允許員工根據(jù)需求及意愿對自己的移動設(shè)備加以使用，”Aliber指出。他同時提到，甚至下載一部分應(yīng)用程序也是沒有問題的。“但在面對保護企業(yè)數(shù)據(jù)這一問題時，我們就絕不能再強調(diào)什么靈活性了。這是一套處于全面管理之下的環(huán)境。我們要平衡的是生產(chǎn)效率需要以及幫助企業(yè)實現(xiàn)業(yè)務(wù)提升的需求。”#p#

如何利用基本MDM標準避免設(shè)備越獄?

移動設(shè)備“越獄”、或者故意對應(yīng)用程序進行錯誤配置，到2017年將成為導(dǎo)致75%移動安全事故的罪魁禍首，Gartner公司作出預(yù)期。這家研究企業(yè)同時建議稱，IT部門應(yīng)當在面向Android以及蘋果設(shè)備的移動設(shè)備管理戰(zhàn)略當中加入以下幾項重要步驟：

? 要求用戶同意遵守基本的企業(yè)管理政策，并準備在情況發(fā)生變化時放棄其對訪問控制的管理權(quán)。那些無法保證自有設(shè)備符合基本例規(guī)性要求的用戶則只能告別訪問權(quán)或者接受存在嚴格限制的訪問方式。

? 為設(shè)備密碼設(shè)定長度及復(fù)雜程度的最低基準要求，并制定嚴格的重試與超時管理標準。

? 指定平臺及操作系統(tǒng)的最低與最高版本。未獲準使用的模式不得進行更新或者為其提供支持。

? 強制推行“不越獄/不root”原則，且限制使用未經(jīng)核準的第三方應(yīng)用程序商店。存在違規(guī)情形的設(shè)備應(yīng)該與業(yè)務(wù)數(shù)據(jù)源相互隔離，甚至根據(jù)具體管理政策對其內(nèi)容進行清除。

? 要求利用應(yīng)用程序登錄以及安全憑證等機制訪問企業(yè)郵件、虛擬專用網(wǎng)絡(luò)、Wi-Fi網(wǎng)絡(luò)以及受隔離應(yīng)用程序。

原文鏈接：http://www.computerworld.com/article/2692103/5-steps-to-more-mobile-security-savvy-employees.html