五个步骤帮助企业培养移动安全能手（2）

 

培训课程提到了在机场环境下丢失设备的统计数字，并介绍了人们应该采取哪些措施来避免大家弄丢自己的移动工具。接下来有趣的部分就开始了。用户会在在线游戏当中扮演一个类似于马里奥的角色，他们需要在90秒钟的时间内在机场中运用自己学到的理论知识、从而快速找到12台丢失或者被盗的移动设备。用户控制的角色会在机场当中跑来跑去——途经值机柜台、美食广场、一条安全传送带以及有轨电车车站——而且每找到一台设备，系统都会发出“叮”的一声作为提示。“员工们没人能在第一次参与时就将所有设备在时限内找到，因此他们会迫不及待地再玩一次，”Lohrmann不无得意地回忆道。

密歇根州现在已经正式推出了这一系列培训课程，而Lohrmann预计轻松有趣的设置将让员工们与他自己一样对此留下深刻的印象。

“这就是所谓‘粘性’。对我个人来说，我每次身临机场、脑海中都会浮现起这款游戏的画面，”他表示。培训课程“所做的是改变人们的行为模式。”

4. 技术天才型员工

精通技术的终端用户有时候反而会成为一种安全噩梦——特别是在他们掌握了如何对自己的智能手机进行重新配置、从而获取到管理员级别权限的情况下。

解决方案：比聪明的员工更聪明

恶意软件可能会给设备带来巨大损害，尤其是其拥有了管理员级别的控制权限。而Gartner咨询公司作出预计，认为到2017年半有75%的移动安全问题是由配置不当的应用程序所造成。

Karl Storz公司一直以严谨的态度对待着此类威胁。“我们是一家工程技术企业，因此拥有大量熟悉技术的员工，”O’Brien评论道。由于工作中所使用的智能手机是由该公司提供的，“我还没有发现用户们对自己的手机进行重新配置，但这并不是说他们没有这种能力。信息就在这里、分散在每一台移动设备当中，单凭IT部门根本没办法强行控制。”

根据Gartner公司的调查，目前最为常见的平台安全违规行为共分两种，其一为在iOS设备上进行“越狱”、其二为在Android设备上进行“rooting”。

这些行为相当于硬性提高了用户在设备上的权限，并从本质上将普通用户转化成了管理员。上述作法允许用户访问正常情况下禁止访问的特定设备资源，而且移除应用特定保护机制以及操作系统提供的安全“沙箱”环境会令移动设备中的数据陷入风险。在这种情况下，恶意软件也有可能被下载到设备之内、并以此为起点引发各类恶意行为，包括获取企业业务数据。根据Gartner的调查，这些存在违规情况的移动设备同时也更容易被攻击者进行密码内容修改。Gartner同时指出，目前最理想的安全防御方式就是利用移动设备管理工具与政策对移动设备中以锁定。随着“容器”技术与应用程序防护机制的进一步增强，重要数据的保护能力也将得到逐步提升、移动安全性目标亦会进一步变为现实。

IT安全领导者们也需要利用网络访问控制来阻断接入到企业系统的连接，从而将那些存在可疑活动的潜在高危设备彻底隔离在业务流程之外。Raytheon公司就通过专业知识培训不断增强这些高技术水平员工的安全意识，让他们主动反思自己的行为是否会对企业业务及行为规范造成破坏。“如果他们一意孤行、完全根据自己的意愿对移动设备加以使用……他们就此了解到自己违反了公司的管理政策，并因此而感到尴尬而且自责，”Aliber表示。

此类管理政策只能算是广义数据安全战略当中的组成部分，其中还应当包括利用设备管理软件进行配置方案控制，以及将数据保存在云环境中而非直接使用移动设备自带的存储资源。

5. 习惯于过度分享的员工

某些员工总爱在社交媒体上分享太多信息资源，甚至有时候显得有些过度。也有一些喜欢把自己的设备拿给朋友或者家人加以把玩。

解决方案：阻塞漏洞

随着社交媒体的迅速兴起，雇佣大量年轻员工的企业往往会发现这些新生力量喜欢将前所未有的大量信息在社交平台上予以公开——而且这种行为及其背后的思维倾向正变得愈发普遍。作为伴随着社交媒体长大的这一代年轻人，他们在进入劳动力市场后也仍然不会改变自己的行为习惯，这就要求企业密切关注他们对于敏感数据的处理方式，C G Silvers咨询公司老总Chris Silvers指出，这是一家总部位于亚特兰大的IT安全咨询企业。“目前社交媒体上已经出现了大量此类信息——我们根本没办法将其一一回收，”他强调称。

那些喜欢随意将信息共享在社交媒体网站上的员工很容易成为恶意人士的攻击目标，这帮坏家伙往往会假装成受害者的同事或者其他熟人，试图说服他们共享那些容易攻击的安全凭据、密码或者企业信息等等。

“无论何时，只要员工将社交媒体账户与特定活动或者工作电子邮箱地址绑定起来，那么指向业务数据的威胁也将由此产生，”Social-Engineer有限公司首席人为黑客活动主管Chris Hadnagy表示，这是一家培训与咨询服务企业。“我们发现人们往往习惯于将自己的企业电子邮箱地址作为LinkedIn以及Facebook的登录账号。欺诈人士可以通过在线方式搜索相关信息，并借此找到他们所发布的帖子、博文以及经常逛的论坛——在这里，总会有一些个人内容在不经意间被泄露出来。而这些都是构成社交工程欺诈活动的重要线索。”

除此之外，教育也是一大关键。“员工们需要经过良好的教育，从而意识到如果他们有个人信息需要保护，那么来自社交媒体站点或者邮件的任何内容都不能轻易采信，”Hadnagy指出。

他同时建议称，大家应该制定专门的管理政策来控制社交媒体在日常工作中的使用方式。如果允许社交媒体介入，那么员工们应该专门创建工作账户与个人账户。“在这种情况下，恶意人士还能在LinkedIn上找到他们吗?其实还是找得到，但这至少在一定程度上实现了隔离，”他表示。

过度共享也会带来其它一些意料之外的负面后果。Lohrmann指出，父母往往会为了哄孩子开心而允许他们在企业提供的智能手机或者平板设备上玩游戏或者观看视频——这就导致此类设备有可能被不慎损坏，更糟糕的是、可能会被潜在的可疑网站当中的黑客以未授权方式加以访问。为了避免此类情况，企业雇主应当制定书面的安全管理政策，禁止员工将由企业持有的设备出借给朋友或者家人。

作为文章的结尾，IT管理领导者们强调称，移动安全的另一大核心还在于如何在灵活性与生产效率之间取得平衡点。“我们确实保留了一定程度的灵活性空间，允许员工根据需求及意愿对自己的移动设备加以使用，”Aliber指出。他同时提到，甚至下载一部分应用程序也是没有问题的。“但在面对保护企业数据这一问题时，我们就绝不能再强调什么灵活性了。这是一套处于全面管理之下的环境。我们要平衡的是生产效率需要以及帮助企业实现业务提升的需求。”

如何利用基本MDM标准避免设备越狱?

移动设备“越狱”、或者故意对应用程序进行错误配置，到2017年将成为导致75%移动安全事故的罪魁祸首，Gartner公司作出预期。这家研究企业同时建议称，IT部门应当在面向Android以及苹果设备的移动设备管理战略当中加入以下几项重要步骤：

? 要求用户同意遵守基本的企业管理政策，并准备在情况发生变化时放弃其对访问控制的管理权。那些无法保证自有设备符合基本例规性要求的用户则只能告别访问权或者接受存在严格限制的访问方式。

? 为设备密码设定长度及复杂程度的最低基准要求，并制定严格的重试与超时管理标准。

? 指定平台及操作系统的最低与最高版本。未获准使用的模式不得进行更新或者为其提供支持。

? 强制推行“不越狱/不root”原则，且限制使用未经核准的第三方应用程序商店。存在违规情形的设备应该与业务数据源相互隔离，甚至根据具体管理政策对其内容进行清除。

? 要求利用应用程序登录以及安全凭证等机制访问企业邮件、虚拟专用网络、Wi-Fi网络以及受隔离应用程序。

(责任编辑：往生)