如今,企业通常允许员工将自己的个人设备用于工作目的,这种做法被称为 BYOD(自带设备)。BYOD 提供了灵活性和便利性,但也带来了安全风险,因为个人设备缺乏企业硬件的严格保护措施。
什么是 BYOD 安全?
BYOD 安全的定义和范围
BYOD 安全政策旨在建立指导方针和框架,以管理和控制员工个人设备(如笔记本电脑、智能手机和平板电脑)的使用。让不受管理的设备访问受保护的资源会带来有害的安全风险,如数据丢失或恶意软件感染。
IT 基础设施的几个关键方面必须在 BYOD 使用范围中明确定义。例如,企业必须决定哪些设备类型允许用于业务目的、应用程序类型或访问内部资源,以及哪些人员有资格使用个人设备。
自带设备的安全风险
Secure 访问
在远程工作时,员工可能会将个人设备连接到不安全的 Wi-Fi 网络,这很容易受到拦截器的攻击,尤其是当员工接受共享在公共网络中访问的文件和文件夹时。
Secure 浏览
在没有有效工具阻止访问有害网站并确保连接加密的情况下,员工可能会使用自己的设备访问恶意网站或钓鱼网站并与之互动。
Secure 文件下载
从网站或消息应用程序下载的未扫描文件可能包含恶意软件,当员工将笔记本电脑连接到公司网络时,这些恶意软件就会传播。允许不安全的文件下载会带来巨大风险,因为这可能会导致关键数据泄露。
未经授权的访问
当员工使用个人设备开展工作时,不适当的安全性可能会导致公司网络和数据遭到未经授权的访问。如果员工的家庭成员也使用这些设备或USB 驱动器传输数据,风险就会进一步加剧。
软件 漏洞
个人设备可能不具备与公司配发设备相同的安全级别和补丁更新,因此更容易受到恶意软件和病毒的攻击。拥有 BYOD 访问权限的用户可能会在不知情的情况下,通过装有受损软件的设备访问公司资源,为坏人提供可乘之机。
数据泄漏
设备丢失、被盗或受损的另一个重要后果是数据泄漏。当未经授权的个人访问 BYOD 设备时,组织就会面临敏感信息和数据泄露的风险。
合规问题
缺乏加密、访问控制和数据保护的个人设备会给遵守 GDPR、HIPAA 和 PCI DSS 等标准带来挑战。对于必须保护敏感数据的金融和医疗机构来说,法律后果尤其严重。
案例研究与举例
未经授权访问 Slack 的私有代码库
2022 年 12 月,Slack 的 GitHub 存储库中发现了一些可疑活动。经调查发现,一名身份不明的个人获得了员工的访问令牌,该令牌用于访问私有代码库。分析数据后发现,该未授权用户下载了协作平台的多个私有代码库。
加密货币交易所平台数据泄露
2017 年,韩国加密货币交易所 Bithumb 一名员工的家用电脑遭到黑客攻击,无意中泄露了 3 万名客户的个人信息。攻击者获取了客户姓名、mobile 电话号码和电子邮件地址等数据,这些数据后来被用于钓鱼电话。这家加密货币交易所后来不得不支付罚款,并赔偿所有个人信息被泄露并遭受经济损失的客户。
伪装成合法Mobile 应用程序的木马恶意软件
2016 年,在 Google Play 商店的游戏、主题和智能手机性能提升程序中发现了 DressCode 木马恶意软件。一旦安装了携带 DressCode 的恶意应用程序,它就会与命令服务器进行通信,后者可以发送指令,渗透到受感染设备所连接的网络中。研究人员已发现 Google Play 上有 400 多个嵌入 DressCode 恶意软件的应用程序。嵌入应用程序的其他已知或未知威胁可能会给实行 BYOD 政策的组织带来重大风险。
如何Secure BYOD
制定 BYOD 政策
安全的 BYOD 环境的关键第一步是正式制定 BYOD 安全政策的基本要素:
- 用户协议:概述对员工个人设备安全的所有要求。典型的用户协议要素包括可接受的使用政策、安全合规要求以及责任和义务,尤其是在终止合同和移除设备的情况下。
- 允许和禁止的活动:定义员工可以在个人设备上执行的与工作相关的任务,例如允许使用的应用程序、访问电子邮件或访问内部文档。必须禁止可能给公司带来风险的活动,如在个人设备上存储敏感数据或下载未经授权的文件。
- 允许使用的设备:指定允许使用的个人设备,如智能手机、平板电脑、笔记本电脑,包括具体型号、品牌、操作系统(如 iOS、Android、macOS、Windows),以确保设备与公司安全配置兼容。
Mobile 设备管理(MDM)
MDM 技术可提供、管理和控制企业用于工作的设备。除了控制企业设备外,MDM 程序还可以为员工的个人设备注册。MDM 软件会在设备上安装配置文件数据、VPN、必要的应用程序和资源,以及用于监控设备活动的工具。
建立可移动Media 政策
使用可移动媒体(如USB 和外置硬盘)传输数据会带来巨大的安全风险。这些设备可能会将恶意软件引入网络,从而导致数据泄露或系统中断。MetaDefender Kiosk™ 等物理解决方案可以使用多种反恶意软件引擎扫描可移动媒体,以确保其安全性。
实施安全解决方案
BYOD 设备可以受到端点安全解决方案(如MetaDefender Endpoint™)的保护。这种端点安全方案可在设备上执行重要的安全措施,抵御威胁。
某些合规性要求不允许在第三方暂存设备上安装软件,禁止安装端点解决方案。为确保符合此类规定,可部署MetaDefender Drive™等解决方案来执行裸机扫描,而无需从暂存设备的操作系统启动。
网络安全措施
网络安全允许对端点到企业网络进行管理和访问控制,确保只有经过授权和符合要求的设备才能连接。
Secure 访问
执行保护端点与网络连接的策略,如防火墙、用于远程访问的安全 VPN 以及基于角色的文件和数据访问权限。
网络分割
将 BYOD 设备与公司关键网段隔离。通过隔离 BYOD 流量,即使设备受到攻击,攻击者也无法访问网络的其他敏感部分。
定期审计和监测
建立对所有连接设备的可见性,实现对网络活动的持续监控。通过定期进行漏洞评估,企业可以主动发现异常和安全漏洞。
BYOD 安全最佳实践
员工培训和意识
定期培训课程
向员工传授 BYOD 安全最佳实践,如密码卫生、设备安全设置、安全浏览习惯以及减轻最新的网络威胁。
网络钓鱼模拟
模拟网络钓鱼攻击,测试用户意识,帮助员工识别和应对网络钓鱼企图。
事件响应规划
制定事件响应计划
定义角色和责任,确定可能的后果,并规定 BYOD 安全事件发生前、发生期间和发生后的行动步骤。全面的响应计划包括从安全团队到其他利益相关者的清晰指挥链和沟通协议,以减轻安全事件造成的后果。
坚持整体方法
BYOD 政策为企业带来了巨大的好处,例如通过灵活性和工作生活平衡提高员工满意度,以及通过减少设备采购节约成本。随之而来的挑战也不容小觑,如未经授权的访问、合规性以及威胁行为者的易入点。
采用 BYOD 的企业必须采取全面的方法,从制定正式的政策和用户协议,到实施端点安全,以及提供培训以提高员工意识等各个方面应对风险。通过全面执行和持续改进,企业可以充分享受 BYOD 带来的好处,同时在组织基础架构面临威胁时保持领先。
BYOD 安全性OPSWAT MetaDefender IT Access ™
应对 BYOD 挑战、 MetaDefender IT Access是一个统一的端点安全管理平台,可确保 BYOD 用户访问企业资源时的安全合规性、可视性和控制性。它采用SDP (软件定义边界)技术,可执行全面的设备态势检查,包括风险和漏洞评估,并可检测近 10,000 个第三方应用程序。MetaDefender IT Access此外,基于 ZTNA(零信任网络访问)理念构建的 "零信任网络访问 "系统确保只有授权身份才能访问网络,从而在不妨碍工作流程的情况下提供安全的工作环境。
