在企业移动安全的世界里,有时可怕的情况迫使安全偷工减料以保护公司。 2020 年 3 月,COVID-19 迫使公司清空办公楼并将一切(和所有人)转移到偏远地区和云端就是典型的例子。 导致安全捷径的原因不仅仅是突然改变为在家工作,而且公司通常必须在几天内完成过渡。
再加上物联网安全问题的增加——尤其是当家庭环境中的物联网设备通过 VPN 访问全球系统时,有时会通过管道传播恶意软件——你就会陷入混乱。 Verizon 最近的一份移动安全报告直言不讳:“几乎一半的受访者承认他们的公司在移动设备安全方面故意偷工减料。 这比我们 2020 年的报告有所增加,当时该数字为 46%。 在我们的物联网样本中,这一比例上升到三分之二 [67%]。 在剩下的人中,38%(27% 物联网)面临这样做的压力。 另一种看待这个问题的方式是,68% 的人迫于偷工减料的压力,而其中 72% 的人屈服了。”
将这些数字放在上下文中的快速说明:这是一项调查。 有多少安全主管知道他们偷工减料,却不敢书面承认? 安全专家比任何人都清楚数据泄露的容易程度。 因此,现实情况可能比 Verizon 数据显示的还要糟糕。
[相关:在家工作员工的权利法案]
还有一个更可怕的问题:当我在这件事发生大约 13 个月后坐在这里时,还有太多的漏洞有待填补。 CISO 和 IT 团队一直忙得不可开交(而且人手不足),只是想保持运营正常运行,不制造任何新的安全漏洞,以至于他们没有机会修复旧漏洞。
这意味着最高管理层领导者——首席财务官、首席运营官和首席执行官——需要制定预算并坚持进行修复。
与此同时,这里有一些简单的修复方法可以开始降低与 COVID 相关的风险:
远程站点的双 LAN,尤其是家庭办公室
这很容易做到,相对便宜(最坏的情况,您需要为每个站点购买一个额外的路由器)并且会大大减少您接触来自家庭消费级设备的任何恶魔,包括孩子 ‘ 游戏、家庭物联网设备和笔记本电脑/手机也会访问高风险站点并免费下载天知道什么。
政策规则很简单。 截至目前,您需要创建一个企业专用 LAN,并且所有企业设备都必须使用该 LAN,并且只能使用该 LAN。 这意味着仅用于工作目的的笔记本电脑。 至于专用电话,那也是。 (见建议 2。)
重温 BYOD
请让我强调一下:这里的想法是彻底彻底地审查 BYOD 政策,而不一定要放弃它。 有太多的变量来追求这一点。 关键细节:确定您的企业在 2021 年底和 2022 年全年的远程工作计划。
当大多数企业转向 BYOD(当然,并非所有企业都采用)时,他们是在截然不同的情况下这样做的。 对 BYOD 一直有一个统计风险分析,即类似于:“我们来吧,但考虑到 90% 的企业通信不是在个人移动设备上完成的,我们给自己惹的麻烦是有限度的。” 这与在 COVID-19 之前允许家庭办公室的安全性不佳的逻辑相同。 鉴于一般企业只有 10% 或更少的员工在家工作,一些人认为花很多钱来确保他们的安全是不必要的/不划算的。
但是今天,随着越来越多的活动发生在远程站点和通过移动设备,需要重新考虑 BYOD。
回到我的第一个建议(双 LAN),如果员工/承包商进入同样访问高风险站点并包含可疑应用程序的智能手机,则风险降低是有限度的。 要从企业专用 LAN 中获得最大收益,您需要严格执行,这意味着重新考虑您的 BYOD 策略。
其他一些考虑因素:分区方法只取得了部分成功。 将手机上的个人和公司数据和应用程序分开的一个论点是,如果报告公司数据丢失或被盗,有限的远程擦除可以保护企业数据,同时保持个人数据不受影响。
但这带来了好坏参半的结果,这反过来又让 IT 人员对远程擦除犹豫不决。 不执行远程擦除的时间越长(也许是为了让员工/承包商有更多时间尝试找到设备),它变得越没有意义。 IT 和安全专家必须假设丢失的手机落入坏人手中。
相比之下,公司拥有的设备可能更容易擦除,因为没有丢失个人信息的危险。
另一个考虑因素:2021 年的智能手机正在利用更多更好的备份选项。 这意味着即使是远程擦除也无法保护所有企业数据。 假设一名雇员或承包商辞职、被解雇或被解雇。 这些备份总是超出 IT 的范围。 在管理良好的公司设备中,可以控制更多数据。
此外,今天的远程擦除与过去不同。 它曾经涉及从字面上擦除手机上的所有数据。 虽然它在技术上仍然这样做,但大多数时候它与其说是擦除,不如说是与企业资产(几乎总是基于云)的断开连接。 这甚至在 BYOD 设备上仍然有效。
重新审视移动设备管理
与 BYOD 不同,这里的想法不是重新审视您是否应该使用移动设备管理 (MDM),而是决定选择哪个提供商以及是否该升级或重新审视您的配置决策。 随着移动现在成为一种更为普遍的数据控制机制,在 2021 年重新思考 MDM 可能会产生不同的决定。
简而言之,您现在可能能够对更高级别的 MDM 解决方案进行成本验证。 今天处理数字、召开会议、审查产品选项并找出答案。
Doug Barbin 是 Schellmen & Co. 咨询公司的负责人(也是一位真正有洞察力的分析师),他认为,“MDM 技术已经进步,所以它不再是全有或全无。 每个人都急于获得可用性,但你不需要所有这些访问权限。” Barbin 强调,IT 和安全管理员对最低权限目标的关注程度低于他们应有的水平。 “他们让用户可以访问他们需要的一切,然后开始逐渐退缩。”
这是与最小特权相反的教科书示例。
处理用户反馈
当今与流行病相关的企业安全工作的最大单一问题是流行的用户(通常是经理)合理化:“我只是在努力做好我的工作。”
这几乎总是代码,“您的安全要求花费了太多时间和精力。 我现在正积极尝试绕过它们。” 这从 COVID-19 开始,当时 VPN(使用量大幅增加)速度变得缓慢,用户拼命试图避开它们以完成工作。 业务线经理通常要么赞扬这些努力,要么积极地忽视它们。
这证明企业安全和 IT 专业人员在推销遵守安全规则的好处方面做得不够好。 这也需要重新评估。
公司在过去 13 个月左右的时间里吸取了很多教训,有好有坏。 说到安全,现在是时候重新思考过去的处理方式以及未来的发展方向了。
