每當(dāng)談起B(yǎng)YOD趨勢(shì)����,CIO們總會(huì)擔(dān)心自己對(duì)于移動(dòng)應(yīng)用程序缺乏足夠的控制手段。然而�����,在現(xiàn)實(shí)生活中給我們帶來(lái)麻煩的絕不僅僅是那些潛伏在移動(dòng)應(yīng)用中的惡意軟件。IT管理者們同樣應(yīng)該對(duì)由免費(fèi)移動(dòng)應(yīng)用帶來(lái)的風(fēng)險(xiǎn)給予足夠的關(guān)注與重視�����。
即使在管理到位���、策劃合理的軟件市場(chǎng)當(dāng)中����,移動(dòng)應(yīng)用程序仍然會(huì)以不可思議的方式造成危害�。就在今年早些時(shí)候,蘋果����、Facebook、Yelp等多家企業(yè)就被曝出應(yīng)用軟件產(chǎn)品侵犯隱私權(quán)���。據(jù)稱相關(guān)程序會(huì)記錄并上傳用戶通訊簿中的內(nèi)容���,這也使得上述公司紛紛遭到起訴。
當(dāng)時(shí)�,許多安全專家都警告稱目前的狀況還只是冰山一角。而最近由移動(dòng)安全解決方案廠商Appthority公司組織的一次調(diào)查顯示�����,免費(fèi)應(yīng)用程序同樣可能帶來(lái)安全風(fēng)險(xiǎn)�,因?yàn)檫@些軟件也有能力訪問(wèn)用戶的敏感信息。
這種狀況已經(jīng)夠糟的了�����,但如果免費(fèi)應(yīng)用能夠?qū)⒛澄讳N售代表手機(jī)中的聯(lián)系人上傳給同類公司��、將開(kāi)發(fā)人員的成果轉(zhuǎn)賣給競(jìng)爭(zhēng)對(duì)手�����,又會(huì)怎么樣�����?另一種更加嚴(yán)重���、更加普遍的數(shù)據(jù)泄露方式就此誕生�����,而且大多數(shù)企業(yè)對(duì)此還一無(wú)所知��。
我們嚴(yán)禁員工使用任何下載自App Store的應(yīng)用程序
盡管BYOD帶來(lái)的風(fēng)險(xiǎn)不容小覷�����,但總部位于伊利諾伊州的“河畔醫(yī)療中心”認(rèn)為他們別無(wú)選擇����,只能主動(dòng)接受。簡(jiǎn)單地想與時(shí)代對(duì)抗根本行不通�,因此想以行政手段強(qiáng)行禁止員工使用終端設(shè)備同樣不現(xiàn)實(shí)。“對(duì)于像我們這樣的醫(yī)院來(lái)說(shuō)�,BYOD既是營(yíng)銷手段的重要組成部分,同樣也是安全問(wèn)題的關(guān)鍵一環(huán)��,”河畔醫(yī)療中心CISO Erik J. Devine指出�����。“如果大夫們不能在工作中使用自己的平板設(shè)備或者智能手機(jī)�����,他們的工作效率必然會(huì)大大下降��、同時(shí)也容易引發(fā)診療事故。”
但權(quán)利也不是白來(lái)的�,為了在日常工作中使用BYOD帶來(lái)的益處,終端用戶必須接受多項(xiàng)協(xié)議���。舉例來(lái)說(shuō),河畔醫(yī)療中心有權(quán)在必要時(shí)對(duì)用戶的設(shè)備進(jìn)行遠(yuǎn)程數(shù)據(jù)清除——清除對(duì)象可能包含用戶個(gè)人的相片�、電子郵件等。但別急著叫屈����,企業(yè)在允許用戶引入BYOD機(jī)制時(shí)已經(jīng)在承擔(dān)風(fēng)險(xiǎn),這么做只是希望員工能夠幫企業(yè)分擔(dān)一部分��。
對(duì)于企業(yè)自有設(shè)備�,風(fēng)險(xiǎn)管理工作自然會(huì)變得相對(duì)簡(jiǎn)單一些。“如果我們決定為某位員工購(gòu)買一臺(tái)iPad����,那設(shè)備的性質(zhì)就完全屬于診療工具。員工甚至無(wú)權(quán)用它下載App Store中的任何應(yīng)用����,”Devine表示。這種辦法雖然簡(jiǎn)單粗暴卻切實(shí)有效����,我們真該讓那些每個(gè)月要花150美元在一臺(tái)移動(dòng)設(shè)備上的管理者聽(tīng)聽(tīng)這套方案��。
事實(shí)上�����,對(duì)于像醫(yī)療保健這樣監(jiān)管機(jī)制健全���、控制力度強(qiáng)勁的行業(yè)而言,禁止從業(yè)者使用在線軟件商店早已不是什么新聞了�����。新興企業(yè)Happtique公司就將此視為發(fā)展良機(jī)���,專門為醫(yī)療行業(yè)的用戶提供了一套獨(dú)立的應(yīng)用程序商店����。“臨床醫(yī)生與醫(yī)療機(jī)構(gòu)的IT團(tuán)隊(duì)面臨的最大挑戰(zhàn)在于分辨哪些應(yīng)用程序真正值得依賴��、而哪一些則暗藏陷阱����,”Happtique公司CEO Ben Chodor解釋道����。
就在大紐約醫(yī)院協(xié)會(huì)(簡(jiǎn)稱GNYHA)開(kāi)始尋求移動(dòng)醫(yī)療類解決方案的同時(shí)����,Happtique公司迅速成立并發(fā)展起來(lái)。“我們發(fā)現(xiàn)在移動(dòng)應(yīng)用程序市場(chǎng)當(dāng)中���,幾乎沒(méi)有哪家企業(yè)真正具備醫(yī)療經(jīng)驗(yàn)并了解醫(yī)院從業(yè)者們所面臨的技術(shù)挑戰(zhàn)。這正是企業(yè)發(fā)展的最好機(jī)會(huì)����,因?yàn)闊o(wú)論是HIPAA(即健康保險(xiǎn)流通與責(zé)任法案)還是全民醫(yī)保改革我們都一清二楚,更令人興奮的是目前這一領(lǐng)域連像樣的競(jìng)爭(zhēng)者都沒(méi)有����,”Chodor不無(wú)得意地告訴我們。
隨著GNYHA對(duì)這一市場(chǎng)空白的逐漸重視����,他們決定親自動(dòng)手開(kāi)發(fā)移動(dòng)醫(yī)療解決方案,這也就是Happtique公司的前身����。這家新興企業(yè)所建立的方案能夠幫助醫(yī)院及醫(yī)生找到符合安全要求的專業(yè)應(yīng)用程序����,并將其添加到自己的常用軟件工具目錄當(dāng)中���。他們還采用由Appthority公司推出的應(yīng)用風(fēng)險(xiǎn)管理方案�,借以進(jìn)一步降低移動(dòng)軟件的使用風(fēng)險(xiǎn)���。這套方案在啟動(dòng)時(shí)會(huì)對(duì)所有應(yīng)用程序進(jìn)行審核�����,通過(guò)軟件評(píng)估來(lái)確保每款應(yīng)用都名實(shí)相符��、安全可靠���。
不過(guò)從目前來(lái)看,大多數(shù)企業(yè)仍然打算利用自己親手創(chuàng)建的審核機(jī)制管理移動(dòng)應(yīng)用�����,我們故事的主角河畔醫(yī)療中心當(dāng)然也不例外�����。嚴(yán)格控制應(yīng)用程序的引入各類只是監(jiān)管工作中的一部分,此外院方還將McAfee公司的企業(yè)級(jí)移動(dòng)管理(簡(jiǎn)稱EMM)軟件與Fortinet公司的應(yīng)用程序防火墻構(gòu)成組合方案�,借以進(jìn)一步降低安全風(fēng)險(xiǎn)。EMM的介入使得河畔中心能夠快速檢測(cè)到越獄設(shè)備��、強(qiáng)制執(zhí)行雙重身份認(rèn)證機(jī)制并在設(shè)備丟失或被盜時(shí)及時(shí)進(jìn)行遠(yuǎn)程清除���。而由于安全風(fēng)險(xiǎn)會(huì)隨著時(shí)間推移而發(fā)生變化���,河畔中心同樣需要仰仗Fortinet公司的行為分析工具來(lái)隨時(shí)掌握用戶及其移動(dòng)設(shè)備的當(dāng)前狀態(tài)。
舉例來(lái)說(shuō)���,如果企業(yè)發(fā)現(xiàn)很多用戶會(huì)在工作不忙的時(shí)候在移動(dòng)設(shè)備上玩玩小游戲,那么管理者就需要及時(shí)組織員工開(kāi)會(huì)����,進(jìn)行安全生產(chǎn)教育了。別以為這是危言聳聽(tīng)����,事實(shí)上游戲是惡意軟件最常見(jiàn)的載體。而且由于移動(dòng)設(shè)備對(duì)于用戶敏感信息的保護(hù)并不完善��,因此這些小游戲已經(jīng)成為危害企業(yè)業(yè)務(wù)安全的頭號(hào)公敵。
移動(dòng)應(yīng)用程序缺乏對(duì)應(yīng)的隱私分級(jí)機(jī)制
去年viaForensics網(wǎng)站的研究人員們對(duì)一百款iOS及Android應(yīng)用程序進(jìn)行了全面調(diào)查���,發(fā)現(xiàn)其中只有17款在保護(hù)用戶信息方面稱得上“措施到位����、保障有力”���。
共測(cè)試了四種不同類型的應(yīng)用程序�,分別為金融服務(wù)類����、社交網(wǎng)絡(luò)類、生產(chǎn)類以及零售類����。研究人員為每一款應(yīng)用進(jìn)行了隱私保護(hù)水平分級(jí)——即合格、警告與危險(xiǎn)——考核標(biāo)準(zhǔn)則是應(yīng)用對(duì)數(shù)據(jù)的保護(hù)力度��。viaForensics網(wǎng)站的研究人員會(huì)嘗試訪問(wèn)應(yīng)用程序保存在本機(jī)上的數(shù)據(jù)——其中就包含有大量私人信息——只要訪問(wèn)獲得成功�,該應(yīng)用的安全評(píng)級(jí)即被判定為危險(xiǎn)。
如果研究人員無(wú)論獲取數(shù)據(jù)����,或者所獲得的數(shù)據(jù)已經(jīng)得到加密保護(hù)�,那么應(yīng)用程序的安全評(píng)級(jí)則為合格���。至于獲得警告評(píng)級(jí)的應(yīng)用����,一般是那些數(shù)據(jù)能夠被研究人員所尋獲����,但內(nèi)容并不會(huì)造成太大風(fēng)險(xiǎn)的類型。
與大家的實(shí)際感受相符����,社交網(wǎng)絡(luò)類應(yīng)用程序是安全性最薄弱的群體。viaForensics網(wǎng)站一共測(cè)試了19款社交網(wǎng)絡(luò)類應(yīng)用程序���,其中14款屬于“危險(xiǎn)”級(jí)別,其它幾款也僅僅獲得了“警告”級(jí)別�。
那些被判定為“危險(xiǎn)”級(jí)別的應(yīng)用不僅沒(méi)能對(duì)數(shù)據(jù)進(jìn)行加密、將信息以純文本形式保存�����,而且許多程序甚至把密碼也以明文形式存儲(chǔ)�����,這就使得惡意人士能夠輕而易舉地獲取到這些敏感信息,進(jìn)而冒充機(jī)主從事犯罪活動(dòng)���。
在此次測(cè)試過(guò)程中����,表現(xiàn)最優(yōu)異的要數(shù)財(cái)務(wù)類應(yīng)用程序——當(dāng)然這也在情理之中����,如果管錢的軟件都不可靠,那這個(gè)世界就快要?dú)缌?���。在接受測(cè)試的32款財(cái)務(wù)類應(yīng)用中,只有8款被評(píng)為“危險(xiǎn)”級(jí)別�����。
Appthority公司還發(fā)現(xiàn)�����,這一年中圍繞隱私信息發(fā)表的文章對(duì)于移動(dòng)應(yīng)用的安全性提升并沒(méi)有什么實(shí)際性作用�。盡管安全專家們?cè)谖恼轮袑?duì)于隱私泄露事件展開(kāi)口誅筆伐��,但在Appthority公司最近針對(duì)iOS及Android平臺(tái)上的50款最熱門免費(fèi)應(yīng)用的調(diào)查中���,仍然有96%的iOS應(yīng)用以及84%的Android應(yīng)用具備訪問(wèn)敏感信息的能力。也就是說(shuō)����,我們的通訊簿內(nèi)容、日程表細(xì)節(jié)甚至是當(dāng)前所處位置都會(huì)被應(yīng)用程序所利用����。
而且雖然大多數(shù)應(yīng)用都存在一定程度的安全隱患,但其中問(wèn)題最嚴(yán)重��、危害最顯著的要數(shù)游戲軟件����。不過(guò)除此之外,一些自稱是“商務(wù)”類應(yīng)用的軟件也根本不具備商務(wù)級(jí)別的保護(hù)機(jī)制���,它們同樣會(huì)訪問(wèn)用戶的通訊簿,甚至?xí)⑺饺诵畔l(fā)送給廣告網(wǎng)絡(luò)以及用戶行為分析工具�。
很多朋友可能都不太明白,為什么任何行業(yè)都這么樂(lè)于開(kāi)發(fā)自己的應(yīng)用程序軟件商店呢��?看了前面的內(nèi)容,那幫家伙的壞點(diǎn)子應(yīng)該昭然若揭了吧����。
隨著工作與家庭生活的進(jìn)一步融合,安全風(fēng)險(xiǎn)也開(kāi)始同步高企
工作與家庭生活的進(jìn)一步融合使得安全風(fēng)險(xiǎn)也開(kāi)始同步高企�。“從技術(shù)角度來(lái)看,我們很難將員工的個(gè)人生活與工作內(nèi)容徹底分割開(kāi)來(lái)����,反過(guò)來(lái)也是一樣。傳統(tǒng)的朝九晚五式工作正逐漸勢(shì)微�����,越來(lái)越多的人開(kāi)始選擇在自己喜歡的時(shí)間和地點(diǎn)進(jìn)行辦公��。換句話來(lái)說(shuō)�,他們可能會(huì)在夜里十點(diǎn)半處理工作郵件,”EMM軟件解決方案供應(yīng)商Xigo公司CMO(即首席營(yíng)銷官)Dave Snow指出����。
這也意味著員工會(huì)把很多重要的業(yè)務(wù)信息帶回家中,并轉(zhuǎn)移到企業(yè)無(wú)法監(jiān)管的個(gè)人設(shè)備之上���。如果用戶將手機(jī)中的信息(例如通訊簿���、電子郵件及其它敏感數(shù)據(jù))備份到家中的電腦里���,那么一旦電腦中存在惡意軟件,企業(yè)就必然會(huì)連帶著遭殃��。在這種情況下�����,惡意軟件甚至可能在企業(yè)內(nèi)部設(shè)施中開(kāi)一道后門����,進(jìn)而令公司的身份驗(yàn)證機(jī)制遭到嚴(yán)重破壞。舉例來(lái)說(shuō)��,如果某個(gè)黑客在一位全球五百?gòu)?qiáng)企業(yè)員工的個(gè)人電腦上埋設(shè)了鍵盤輸入記錄器�,那么在他將密碼“Wolfgang2012”搞到手之后,第一反應(yīng)絕對(duì)是冒充員工到企業(yè)的內(nèi)部網(wǎng)絡(luò)中一探究竟——妥妥會(huì)是這樣�����。
下面我們?cè)賮?lái)思考如今的用戶是怎樣保存數(shù)據(jù)的����。我們中有多少人會(huì)把通訊簿信息規(guī)規(guī)矩矩地保存在Outlook或者其它企業(yè)系統(tǒng)當(dāng)中?通常情況下�����,聯(lián)系人號(hào)碼都會(huì)首先顯示在我們的手機(jī)上���,之后手機(jī)往往會(huì)一直成為這些寶貴信息的惟一載體�����。“想想看�,如果Facebook嘗試鼓勵(lì)用戶使用@facebook.com這樣的郵箱地址����,并在不經(jīng)意間覆蓋了智能手機(jī)中通訊簿里的原有內(nèi)容,大家該怎么辦����?”Sophos實(shí)驗(yàn)室美國(guó)分部主管Richard Wang提出這樣的假設(shè)。“在這樣的情況下�����,事情很快會(huì)從用戶個(gè)人的不便轉(zhuǎn)化為企業(yè)業(yè)務(wù)的不便�����,而且由于聯(lián)系人郵箱地址內(nèi)容的錯(cuò)亂,很可能引發(fā)大量意料之外的嚴(yán)重事態(tài)��。”
我們?cè)趯?duì)BYOD話題的討論中�����,常常會(huì)涉及“消費(fèi)化”這一概念——也就是說(shuō)普通消費(fèi)者先使用某種技術(shù)���,并在形成規(guī)模后反作用于企業(yè)�����,促使甚至逼迫企業(yè)不得不將其納入日常工作��。對(duì)于CIO們而言���,必須要走在移動(dòng)安全風(fēng)險(xiǎn)之前,因此只有積極推動(dòng)消費(fèi)級(jí)技術(shù)的“企業(yè)化”進(jìn)程�����,才能讓員工在提高工作效率的同時(shí)避免給公司帶來(lái)潛在威脅。
要實(shí)現(xiàn)這一點(diǎn)�����,我們不妨采用創(chuàng)新型解決方案���。舉例來(lái)說(shuō),企業(yè)可以考慮向經(jīng)常進(jìn)行遠(yuǎn)程辦公的員工提供家庭殺毒軟件�,這比嚴(yán)格控制設(shè)備的效果更好——畢竟保護(hù)員工就是保護(hù)企業(yè)自身,任何一位竊取了員工信息的惡意人士����,早晚是會(huì)把魔爪伸向企業(yè)資源的。而且即使能夠用于身份驗(yàn)證的敏感個(gè)人信息暫時(shí)還沒(méi)有被安全性極差的應(yīng)用所泄露����,但隱患終究已經(jīng)埋藏于此。碰上合適的時(shí)機(jī)�、遇到喪心病狂的犯罪分子,相信這些極具價(jià)值卻未受保護(hù)的數(shù)據(jù)將很快被發(fā)掘出來(lái)�����,并最終用于破壞活動(dòng)以及謀取私利�。
