久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

談到移動設備安全，我們自己就是最大的敵人。研究人員表示，盡管很多人已經(jīng)7×24小時離不開移動設備，但大多數(shù)人似乎并沒有在安全上變得更聰明些。賽門鐵克2014年4月份發(fā)布的一份安全威脅報告指出，2012年有44%的用戶沒有意識到移動設備上有安全解決方案，到2013年這個數(shù)字上升到57%。研究人員說部分原因在于缺乏這方面的教育和培訓。例如，那些多年來使用功能手機的用戶由于沒有什么安全需求，在轉(zhuǎn)向智能手機后也根本意識不到要安裝安全軟件。

就長期來看，安全專家認為，隨著使用者在他們的手機上保存越來越多的敏感信息，針對移動設備的惡意軟件會越來越多。而這些移動設備經(jīng)常會接入公司的網(wǎng)絡，從而讓企業(yè)數(shù)據(jù)也處于威脅之中。

企業(yè)安全面臨的另一個威脅是遺失手機數(shù)量的不斷攀升。根據(jù)Consumer Reports最近的一個調(diào)查，全球在2013年有140萬智能手機丟失再也不曾找到，2012年這個數(shù)字是120萬。

鑒于太多種情形讓設備和企業(yè)數(shù)據(jù)處于威脅之中，因此并沒有一種完全的方法可以解決所有移動安全問題。

“至今并沒有一個真正完美的解決方案能保證員工手中的移動設備的安全。”從事醫(yī)療服務的WellPoint公司IT副總裁Jamisson Fowler說，“因為員工可能犯各種各樣的錯，沒有哪一種工具能給移動設備加上一把絕對安全的鎖。”

不過，幸好還是有些方法可以讓員工對移動安全多一份了解，同時也對設備多一份安全保護。以下提供了5個方法，分別針對5類容易置企業(yè)數(shù)據(jù)于危險之中的員工，用以幫助他們認識到移動設備面臨的安全風險并采取措施防范這些風險。

對無戒心的人

有些人很容易被社會工程學或者釣魚行為所騙，因為他們根本就沒有意識到其中可能存在的陷阱。對于這些人如何讓他們認識到風險，從而避免成為惡意者不斷變化的伎倆的受害者?

解決辦法:讓他們體驗釣魚誘騙

網(wǎng)絡黑客們一直在不斷尋找計算機之外的下一個目標，移動設備就是其中之一。他們正在把在PC上已獲得成功的欺騙手段復制到手機上，看是否會取得同樣的成功，而大多數(shù)手機用戶還沒有意識到存在風險。“黑客們一直在尋找鏈條上最弱的一環(huán)，然后把他們昔日成功的手段應用到這一環(huán)節(jié)。”安全分析人士如此評價說。

在德國醫(yī)療設備制造商Karl Storz GmbH公司，對2200名移動設備的安全管理采取了與其內(nèi)部的業(yè)務系統(tǒng)完全一樣的策略。

“我們希望讓員工們意識到釣魚攻擊的存在。”公司企業(yè)技術(shù)總監(jiān)David O’Brien說。對企業(yè)內(nèi)部的應用系統(tǒng)，該公司采用了來自PhishMe的培訓課程，該課程模擬利用電子郵件和社會工程學來引誘員工。在一開始有高達70%的人會被一些最常用的釣魚騙局所欺騙，會點擊釣魚鏈接，并輸入賬戶和密碼等信息，其中甚至包括一些高級的IT人員。

當然，惡意者不只是通過電腦來進行社會學工程引誘，同樣還會利用移動設備來進行，他們誘騙那些使用者不經(jīng)意地點擊某個鏈接下載惡意代碼，然后借助惡意代碼入侵企業(yè)網(wǎng)絡，竊取企業(yè)數(shù)據(jù)。

Karl Storz公司所進行的釣魚測試讓公司的員工認識到其中的陷阱，也讓他們知道如何避免“中招”。“此類攻擊可能針對所有類型移動設備，無論是iOS還是安卓或者Windows。”O’Brien說，“在我們的測試中，中招的最終用戶中近20%的用戶使用iOS設備，我敢肯定如果繼續(xù)測試未來還會有更多移動用戶中招。”

在技術(shù)型公司Raytheon這里，安全已經(jīng)成為一種企業(yè)文化。這個在全球擁有6.3萬名員工的公司大約1/3的員工使用公司配備的智能手機或者平板電腦。

“涉及到安全，人的因素總是最先要考慮的。”公司IT部門全球業(yè)務服務部副總裁Jon Aliber說,“我們必須讓每個員工都了解釣魚欺騙是什么樣。”

Aliber介紹說，該公司使用一種社交系統(tǒng)和博客工具讓員工了解什么是釣魚欺騙，每年公司還會要求每位員工參加在線安全培訓課程。

對剛拿到移動設備的新手

由于沒有意識到其中存在的安全風險，那些第一次拿到智能手機或者平板電腦的人可能會成為安全漏洞。

解決辦法：耐心，不能歧視他們

WellPoint公司給旗下的500多名醫(yī)生配備了iPad，這些醫(yī)生負責為居家的老人、殘疾人和盲人提供醫(yī)療服務，其中大部分使用者對技術(shù)并不了解，甚至對使用iPad有一點抵觸。

Fowler驚訝地發(fā)現(xiàn)，部分醫(yī)生不好意思或者害怕告訴技術(shù)部門他們把iPad弄丟了。“有人會過一天甚至三天后才來告訴我們，他們把iPad弄丟了，或者他們現(xiàn)在才想起來找iPad，但找不到，他們認為是丟了。”Fowler回憶說，“有時候是真丟了，有時候則是把iPad落在家里了，我們可以通過位置定位服務來找到設備。但這段時間意味著設備和敏感信息處于高度不安全狀態(tài)。”

為此，F(xiàn)owler的團隊提出兩個解決辦法。首先，降低醫(yī)生們因疏忽而把iPad落在家里的可能性，IT部門為醫(yī)生們配備了一個手包，可以裝下iPad和他們常用的一些工作資料。同時，對醫(yī)生們進行培訓告訴他們一旦找不到自己的iPad就一定要及時告訴IT部門。其次，對IT部門進行培訓，要求IT部門不要嘲笑他們，并要安慰醫(yī)生們不要因弄丟了設備而不好意思。

“我們不會對任何丟失設備的醫(yī)生進行喊叫，IT部門都知道不應該這樣。”Fowler說，“當醫(yī)生向iPad組報告設備丟失后，IT人員會表示很樂意為他們提供幫助，一旦發(fā)現(xiàn)設備真的的丟失，我們會啟動安全步驟，對設備上的敏感內(nèi)容進行擦除。”

為了降低設備丟失以后存在的安全風險，IT部門會對初次使用iPad的醫(yī)生進行培訓，告訴他們密碼的重要性，并指導他們設置比較復雜的密碼。“我們有一個完整的培訓流程，通過在線視頻進行，不僅有關(guān)于設備的使用也有密碼的設置，以及密碼與設備要分開放置等。” Fowler解釋說，“我們還會列出一些具體的例子來說明某些不安全的行為可能帶來的麻煩。”

比如，一封帶有釣魚鏈接的郵件可以把用戶在Facebook上的行為攝錄下來，或者一個假的銀行郵寄讓用戶提交個人信息。通過這些培訓讓醫(yī)生們意識到，如果自己的iPad開機密碼和設備上安裝的應用軟件登錄密碼同樣或相似，就會讓病人的信息處于高度危險之中，公司也處于高度危險之中。

對神經(jīng)“大條”的人

大多數(shù)人認為自己的個人信息是無價的，會緊緊守護它，但也有一些人對自己和企業(yè)的數(shù)據(jù)滿不在乎。

解決辦法：游戲化地不斷提醒。

密西根州政府需要跟蹤被政府員工使用的1.7臺智能手機和平板電腦。去年，員工共丟失了256臺政府配備的移動設備，包括手機、平板電腦和筆記本電腦。

“坦白地說，過去我們在安全方面的培訓是很失敗的。”密西根州政府首席安全官Daniel J. Lohrmann說，過去只是準備了一個PPT，讓那些有關(guān)的員工來聽一個小時的演講。他很懷疑到底有多少人真正聽進去了，現(xiàn)在他們準備徹底拋棄這一做法而重新建立一套培訓方法。參加培訓的人也表示，過去的辦法很無趣、難以接受，也并沒有教給他們什么有用的知識。

現(xiàn)在他們的目標是要讓培訓變得更簡短、更具交互性、更有趣，尤為重要的是，要想方設法告訴員工他們以前所不知道的東西。為此，技術(shù)部門選擇了一家培訓服務商來做這件事，該服務商利用一個游戲視頻來進行培訓。

Lohrmann表示，他最喜歡的一部分內(nèi)容是讓員工能與他們在機場被盜或者丟失的手機取得聯(lián)系，擦除其上的內(nèi)容。這是非常重要的一部分知識，根據(jù)2012年Credant技術(shù)公司(如今被戴爾收購)的一份統(tǒng)計，僅僅在芝加哥、丹佛、舊金山、邁阿密、奧蘭多、明尼阿波利斯、夏洛特等七大機場就撿到8016臺無線設備，其中智能手機和平板占45%，筆記本電腦占43%。有一半的設備最后歸還給失主，剩下的捐給了慈善組織或者被拍賣。

培訓課程介紹了這些數(shù)據(jù)，然后一步步地告訴員工們?nèi)绾伪苊膺@類事情的發(fā)生。最有趣的部分是，在一個在線游戲中，員工們扮演一個角色。有90秒鐘的時間利用剛剛學到的知識尋找12臺遺失或被盜的手機。員工控制的這個角色會在機場穿梭，要經(jīng)過登機手續(xù)辦理處、美食廣場、行李輸送帶以及不同登機口之間的穿梭小火車，每使用一種工具他就會得到一個“贊”。

“沒有人第一次就能完成任務，他們都會想再來一次。”Lohrmann說。

密西西比州現(xiàn)在正在針對所有員工開展這個培訓課程，Lohrmann希望每個員工都能像他一樣對這次培訓能留下深刻印象。“對我而言，這次培訓效果很明顯，如今每次到機場我都會想到這次培訓，這種培訓或多或少都會改變?nèi)藗兊囊恍┬袨榉绞健?rdquo;他說。

對技術(shù)達人

員工中那些對技術(shù)非常在行的用戶對于企業(yè)安全而言可能是一個噩夢，特別是在他懂得如何重新配置智能手機來獲得系統(tǒng)管理員級的操作權(quán)限時。

解決辦法:要比他們更聰明

通過獲得管理員操作權(quán)限，惡意軟件可以在移動設備上更隨意地進行操作。Gartner預計，到2017年，75%的移動安全漏洞源于應用程序的不恰當配置。

對Karl Storz公司這方面的威脅非常大。“我們是一個工程公司，員工都非常懂技術(shù)。”O’Brien 說，“從公司開始給員工配智能手機以來，我還沒有看到員工們自己刷機，但是他們有這個能力。一旦他們這么做了，他們手機上的信息IT部門就無法掌控了。”

根據(jù)Gartner的研究，對移動平臺最大的威脅可能就是對iOS的越獄或者安卓設備的“Rooting”。因為越獄或者“Rooting”后，用戶可以直接訪問之前所無權(quán)訪問的資源，這會讓設備處于危險境地，它讓這些數(shù)據(jù)不再受應用或者操作系統(tǒng)所提供的“沙漏”的保護。這也很容易就讓惡意軟件被植入到設備上，從而為更多的惡意行為開綠燈，包括提取公司信息。這些被越獄的設備還很容易被暴力破解密碼，對此最佳的防護辦法就是通過MDM工具和策略來嚴格限制設備被破解。在此之上，通過應用程序“外殼”和“容器”來進一步保護重要的數(shù)據(jù)。

另外，IT安全負責人也需要借助網(wǎng)絡訪問控制技術(shù)，阻止那些被懷疑正在進行惡意操作的設備接入公司的業(yè)務系統(tǒng)。Raytheon同時還對員工進行認真培訓，以確保他們了解公司對于安全使用這些設備的一些規(guī)定。

“如果放任他們?yōu)樗麨?，就會把整個公司信息置于非常危險的境地。”Aliber說，這些規(guī)定還應該成為公司整體信息安全策略的一部分，它與設備管理軟件來控制設備的配置、把數(shù)據(jù)保存云端而不是在手機上等共同來確保企業(yè)數(shù)據(jù)的安全。

對迷戀分享一族

社交媒體的出現(xiàn)給員工的溝通和交流帶來很大方便，越來越多的員工習慣于在社交媒體上與朋友們分享。不過，有些員工過于迷戀社交媒體，換句話說，他們在社交媒體上分享了一些不該分享的內(nèi)容。另外一個不安全的行為是，讓家人和朋友使用他的設備。

解決辦法：堵住安全漏洞。

隨著千禧一代開始進入社會，社交媒體對與企業(yè)信息安全的威脅開始顯現(xiàn)出來。作為善于利用社交媒體的年輕人，它們習慣于分享，這給企業(yè)帶來了很多挑戰(zhàn)。特別是那些擁有大量年輕員工的企業(yè)，它們突然發(fā)現(xiàn)公司很多信息被社交媒體公開，而且這種趨勢才剛剛開始。

實際上，隨著更多年輕一代參加工作，這一點將會更為明顯，企業(yè)必須認真應對這個問題。“有太多信息已經(jīng)被員工透過社交媒體發(fā)布出去了，而一旦發(fā)布出去，就不可能退回，所以必須提前預防。”位于亞特蘭大的安全咨詢公司C G Silvers 首席安全專家Chris Silvers表示。

那些愿意借助社交媒體分享而且常常過于隨意與人分享的員工，很容易成為那些黑客們攻擊的對象。這些黑客常常假裝是合作伙伴或者其他熟悉的人來誘使這些員工分享其敏感信息，包括密碼和公司敏感信息。

“任何時候把工作郵箱或者某個活動與社交媒體綁定，對企業(yè)數(shù)據(jù)而言都是一個潛在的威脅。”咨詢和培訓公司Social-Engineer首席安全專家Chris Hadnagy表示，他們發(fā)現(xiàn)那些在LinkIn和Facebook中使用公司郵箱的人，很容易招致黑客順著其郵箱來追蹤其發(fā)布到網(wǎng)上的信息，包括微信、博客以及發(fā)布到各種論壇中的帖子，通過這些內(nèi)容黑客們可以輕易找到它們感興趣的信息，包含其個人的和其工作單位的。

對于他們，培訓和教育是關(guān)鍵。“員工需要一個好的教育和培訓課程，讓他們認識到，如果他的個人信息被公布在某個網(wǎng)站的某個地方，那么很有可能一些黑客會參考這些信息借助社交媒體或者通過郵件來欺騙你。”Hadnagy說。他建議，公司應該為員工在工作時使用社交媒體制定一些規(guī)范。如果可能，員工應該在社交媒體上分別建立工作賬號和個人賬戶。此時，黑客仍然可以通過技術(shù)來跟蹤員工，但畢竟難度要大大增加。

過度分享有時還會以一種看似無辜的方式出現(xiàn)。Lohrmann介紹說，有些父母親為了取悅孩子，讓孩子們在其工作用的手機或者平板電腦上玩游戲或者看視頻，這會讓這些設備處于威脅之中，最糟糕的是，黑客可能誘使孩子們進入惡意網(wǎng)站并借此獲得對設備的訪問權(quán)限。為了避免這種情況的出現(xiàn)，員工應該簽訂一些安全協(xié)議，禁止把公司設備給他們的朋友和家人使用。

本質(zhì)上，安全問題最終都是靈活性和安全可控之間的平衡。對靈活性追求高就要犧牲一些安全性，反過來也是如此。“我們的確應該允許一定靈活性，讓員工可以在他們的智能手機上做他們想做的。”Aliber說，比如下載一些App，但是為了保護企業(yè)數(shù)據(jù)的安全又不允許過多靈活性存在，于是，我們就必須把握好這個度，既能保證安全同時也能方便使用。