保護(hù)手機(jī)里的公司機(jī)密

一部智能手機(jī)壞掉，可能對(duì)一個(gè)企業(yè)造成多大的殺傷力？Jose Quintero領(lǐng)教過(guò)其中的厲害。在加入法律機(jī)構(gòu)Bush Gottlieb擔(dān)任信息服務(wù)部門主管之前，Quintero曾在一家國(guó)際公司擔(dān)任自動(dòng)化系統(tǒng)分析師，和公司15個(gè)辦事處的700多名律師共事。一次，這家企業(yè)的一個(gè)律師在Quintero和其他人都不知情的情況下，將全部文件、照片和數(shù)據(jù)上傳到了自己的iPhone上。更糟的是，他也沒(méi)有對(duì)這些文件進(jìn)行備份。

“沒(méi)過(guò)多久，他的筆記本電腦就中病毒了，所有數(shù)據(jù)都沒(méi)了。”Quintero回憶，“緊接著又丟了iPhone，所有數(shù)據(jù)永遠(yuǎn)找不回來(lái)了。”

2013年加入位于加州Glendale的Bush Gottlieb之后，Quintero決定不能再讓這種悲劇事件重新發(fā)生。他找到安全公司Marble Security，開發(fā)了一套全公司范圍內(nèi)、基于云端的軟件，保護(hù)手機(jī)和平板電腦內(nèi)資料不受病毒和惡意軟件侵害、不被竊取。

“你的手機(jī)現(xiàn)在就相當(dāng)于是裝在兜里的筆記本電腦。”Quintero說(shuō)，“我們有專人檢查敏感文件，并將文件發(fā)送給其他同事。有了移動(dòng)安全技術(shù)你可以遠(yuǎn)程鎖定一個(gè)丟失的設(shè)備，抹掉上面的文件，或者在必要情況下改密碼。硬件是什么不重要，重要的是里面的數(shù)據(jù)。”

移動(dòng)安全問(wèn)題現(xiàn)在還沒(méi)有受到法律公司、衛(wèi)生機(jī)構(gòu)、掌握著超級(jí)敏感的患者數(shù)據(jù)的垂直醫(yī)療領(lǐng)域公司的重視。網(wǎng)絡(luò)安全產(chǎn)品提供商Check Point Software的一項(xiàng)調(diào)查顯示，53%的企業(yè)都會(huì)在移動(dòng)設(shè)備中儲(chǔ)存消費(fèi)者的敏感信息。而隨著越來(lái)越多的企業(yè)開始使用智能手機(jī)和平板電腦來(lái)代替筆記本電腦，這一數(shù)字還將在短期內(nèi)形成井噴之勢(shì)。而且，鑒于越來(lái)越多的企業(yè)開始接受能幫企業(yè)節(jié)省開銷的BYOD模式（讓員工自帶設(shè)備辦公），員工開始用自己的iOS設(shè)備和安卓設(shè)備工作，設(shè)備丟失造成的數(shù)據(jù)丟失問(wèn)題也將越來(lái)越嚴(yán)重。

IT業(yè)內(nèi)在線社區(qū)Spiceworks的調(diào)查顯示，如今已經(jīng)有大約60%的小型企業(yè)接受了BYOD模式。更可怕的是Marble Security的一項(xiàng)調(diào)查顯示，超過(guò)一半的中小型企業(yè)表示，當(dāng)出現(xiàn)數(shù)據(jù)丟失或是數(shù)據(jù)泄露的情況時(shí)，他們不知如何應(yīng)對(duì)。要知道，威脅設(shè)備安全的方式有很多種，例如DNS病毒（通過(guò)變換IP的方式將訪客引到惡意網(wǎng)站），甚至設(shè)備越獄（用戶移除設(shè)備制造商和網(wǎng)絡(luò)運(yùn)營(yíng)商制定的系統(tǒng)權(quán)限限制）也會(huì)威脅到設(shè)備中數(shù)據(jù)的安全。

小型企業(yè)也面臨威脅

雖然在歷史上，網(wǎng)絡(luò)罪犯的目標(biāo)通常是大型企業(yè)，但是由于這些大企業(yè)在這些年來(lái)加大了網(wǎng)絡(luò)安全的投資力度，如今情況已經(jīng)出現(xiàn)了改變。網(wǎng)絡(luò)罪犯轉(zhuǎn)而將小企業(yè)當(dāng)成了他們的“狩獵對(duì)象”。網(wǎng)絡(luò)安全企業(yè)Symantec于2012年發(fā)布了一個(gè)報(bào)告：在當(dāng)年所有遭受網(wǎng)絡(luò)攻擊的企業(yè)中，31%為250人以下的企業(yè)。這一數(shù)字相比前一年上升了13%。

然而令人意外的是，許多企業(yè)似乎并不太關(guān)心這個(gè)問(wèn)題。網(wǎng)絡(luò)安全巨頭McAfee在超過(guò)1000家美國(guó)中小型企業(yè)中展開了一次調(diào)查。結(jié)果顯示，參與調(diào)查的企業(yè)中，66%相信自己能夠?qū)购诳偷墓簟＿€有77%的企業(yè)表示自己從來(lái)沒(méi)有被攻擊過(guò)。專家表示，Symantec和McAfee的調(diào)查看上去似乎有很大出入，實(shí)際上，很多小型企業(yè)甚至沒(méi)有意識(shí)到他們自己曾經(jīng)遭受到了攻擊。

Bluebox Security是一家來(lái)自洛杉磯的移動(dòng)數(shù)據(jù)安全產(chǎn)品提供商，該公司聯(lián)合創(chuàng)始人兼COO Adam Ely表示：“很多小型企業(yè)都認(rèn)為網(wǎng)絡(luò)攻擊與自己無(wú)關(guān)，攻擊者只會(huì)攻擊那些大型企業(yè)。但實(shí)際上這些小企業(yè)掌握著許多消費(fèi)者的敏感信息，例如信用卡號(hào)碼、電子郵箱地址。相比于大型企業(yè)，小企業(yè)只是客戶敏感信息的數(shù)量少一點(diǎn)而已。小型企業(yè)通常會(huì)用最節(jié)省成本的方式來(lái)運(yùn)營(yíng)企業(yè)。但是他們必須意識(shí)到一點(diǎn)，保護(hù)數(shù)據(jù)安全也是運(yùn)營(yíng)企業(yè)的一部分。”

人們開始越來(lái)越多地使用移動(dòng)設(shè)備進(jìn)行辦公，實(shí)際上讓小型企業(yè)更多地暴露在了數(shù)據(jù)泄露的危險(xiǎn)之下。安全軟件企業(yè)Trend Micro發(fā)現(xiàn)，截止到2013年第三季度，安卓平臺(tái)上的惡意軟件數(shù)量高達(dá)100萬(wàn)個(gè)，而這一數(shù)字在2013年年初為42. 5萬(wàn)個(gè)。但是Ely表示，相比于惡意軟件，內(nèi)部數(shù)據(jù)泄露其實(shí)更加危險(xiǎn)。

Ely表示：“如今的世界和10年前相比已經(jīng)大不相同，那時(shí)，只有擁有特定權(quán)限的人才能接觸到企業(yè)的數(shù)據(jù)。而如今，我們生活在一個(gè)到處都有數(shù)據(jù)的環(huán)境下，人們將數(shù)據(jù)放在Salesforce和Dropbox上，然后這些數(shù)據(jù)自己就會(huì)四處擴(kuò)散。因此，小型企業(yè)必須進(jìn)行數(shù)據(jù)管理和設(shè)備管理，以此來(lái)降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。”

自帶設(shè)備辦公的風(fēng)險(xiǎn)

BYOD的興起進(jìn)一步加重了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。對(duì)于企業(yè)來(lái)說(shuō)，BYOD戰(zhàn)略為他們帶來(lái)的好處十分明顯：思科的一份報(bào)道指出，接受BYOD戰(zhàn)略，允許員工將自己的智能手機(jī)和平板電腦等設(shè)備帶入辦公室的美國(guó)企業(yè)，每個(gè)員工每年能夠幫助企業(yè)節(jié)省3150美元的開銷。思科指出，這筆錢包括每年為員工配備硬件設(shè)備的開銷（965美元）和無(wú)線網(wǎng)絡(luò)開銷（734美元），而且員工使用自己已經(jīng)非常熟悉的設(shè)備，還能提高工作效率。

然而，由于員工掌握著這些設(shè)備的擁有權(quán)，他們可以按照自己喜歡的方式來(lái)使用這些設(shè)備，例如，從第三方商店下載惡意應(yīng)用，用自己的手機(jī)越獄，等等。而一些員工還不愿意讓企業(yè)接管自己設(shè)備的控制權(quán)。

MobileIron是一家來(lái)自加州Mountain View的企業(yè)移動(dòng)設(shè)備管理產(chǎn)品提供商，業(yè)務(wù)開發(fā)總監(jiān)Sean Ginevan表示：“在移動(dòng)設(shè)備安全方面，小型企業(yè)需要專注于建設(shè)企業(yè)和員工的信任度。讓設(shè)備終端用戶（即員工）融入企業(yè)的管理，讓他們相信企業(yè)的IT部門，是一件非常重要的工作。最近的研究顯示，員工通常會(huì)認(rèn)為在移動(dòng)設(shè)備安全管理方面，IT部門的態(tài)度有點(diǎn)兒‘野蠻粗暴’，從而導(dǎo)致他們出現(xiàn)了抵觸情緒。”

Ginevan認(rèn)為，對(duì)于那些BYOD員工，企業(yè)應(yīng)該清楚地向他們闡述公司的安全政策，讓他們知道公司這樣做是為了對(duì)抗黑客、網(wǎng)絡(luò)攻擊和設(shè)備丟失。并且公司要向員工保證IT部門不會(huì)獲取員工設(shè)備內(nèi)的個(gè)人信息。這意味著企業(yè)的安全政策只是為了保護(hù)企業(yè)的敏感信息，而不會(huì)監(jiān)視員工的個(gè)人生活。如果員工的設(shè)備被盜或是丟失以及員工跳槽到其他企業(yè)，企業(yè)也只會(huì)抹去設(shè)備中的企業(yè)數(shù)據(jù)、文件和企業(yè)郵件賬號(hào)。

Ginevan表示：“與終端用戶建立起信任關(guān)系是整個(gè)工作的核心。你必須向員工保證你不會(huì)偷看他們的家庭照片或是他們的音樂(lè)庫(kù)，你只是想要確保他們的設(shè)備以及設(shè)備中的企業(yè)信息非常安全。”

適合小企業(yè)的安全產(chǎn)品

企業(yè)需要使用哪些安全產(chǎn)品來(lái)應(yīng)對(duì)數(shù)據(jù)丟失問(wèn)題？Marble的一個(gè)云端安全客戶端產(chǎn)品能夠?qū)崟r(shí)收集終端用戶的各種數(shù)據(jù)，調(diào)取設(shè)備的地理位置、所安裝應(yīng)用和網(wǎng)絡(luò)連接等數(shù)據(jù)，并且對(duì)每個(gè)設(shè)備的安全程度進(jìn)行評(píng)估和分析。這個(gè)軟件得出的分析結(jié)果，可以幫助IT人員和設(shè)備持有者隨時(shí)監(jiān)測(cè)到潛在危險(xiǎn)，并隨時(shí)進(jìn)行補(bǔ)救。這個(gè)服務(wù)的使用費(fèi)為每個(gè)用戶每月3美元，并且不限制用戶的設(shè)備數(shù)量。

Marble創(chuàng)始人兼CTO David Jevans表示：“我們擁有一個(gè)安全實(shí)驗(yàn)室，會(huì)不斷研究最新出現(xiàn)的威脅，并且隨時(shí)上傳這些動(dòng)態(tài)數(shù)據(jù)。在云端運(yùn)行安全產(chǎn)品的優(yōu)勢(shì)是讓我們可以隨時(shí)將動(dòng)態(tài)數(shù)據(jù)上傳到服務(wù)器上。”

另外，MobileIron的Anyware產(chǎn)品也能夠?yàn)橛脩籼峁┢髽I(yè)級(jí)別的隱私數(shù)據(jù)保護(hù)服務(wù)，企業(yè)可以使用這個(gè)工具來(lái)保護(hù)自己的電子郵件、應(yīng)用和其他內(nèi)容。Anyware也是一個(gè)基于云端的安全服務(wù)，這個(gè)產(chǎn)品設(shè)置十分簡(jiǎn)便，且擁有個(gè)性化的應(yīng)用與內(nèi)容類別。此外，還有應(yīng)用安全評(píng)級(jí)和向同事推薦安全應(yīng)用的功能。使用Salesforce平臺(tái)運(yùn)營(yíng)業(yè)務(wù)的企業(yè)，可以通過(guò)Anyware來(lái)阻止不受信任的設(shè)備，還可以在需要的時(shí)候來(lái)擦除企業(yè)應(yīng)用。企業(yè)用戶還可以在Salesforce的界面下，使用這項(xiàng)服務(wù)來(lái)配置WiFi、管理電子郵件和所有移動(dòng)設(shè)備。

MobileIron的Ginevan表示：“中小型企業(yè)只需每月付一杯咖啡的價(jià)錢——每部設(shè)備4美元，就可以使用Anyware來(lái)監(jiān)控設(shè)備的使用情況。”

盡管這些服務(wù)的使用價(jià)格對(duì)于中小型企業(yè)來(lái)說(shuō)，持續(xù)使用還是有些高，但至少它們能夠讓你的企業(yè)建立起一個(gè)真正的安全政策，而無(wú)需花大錢使用昂貴的安全保護(hù)產(chǎn)品。Jevans表示：“僅僅口頭告誡你的員工不要越獄手機(jī)或不要下載應(yīng)用，一點(diǎn)用都沒(méi)有。”盡管如此，他估計(jì)目前還是有75%～80%的公司連最基本的安全防護(hù)產(chǎn)品都沒(méi)有配備。

這些落伍的人早晚有一天會(huì)后悔。隨著移動(dòng)技術(shù)的不斷發(fā)展，智能手機(jī)和平板電腦等設(shè)備越來(lái)越多地進(jìn)入生活、財(cái)政和企業(yè)運(yùn)營(yíng)中，數(shù)據(jù)安全問(wèn)題將會(huì)越來(lái)越凸顯。這些設(shè)備中儲(chǔ)存著大量敏感和有意義的數(shù)據(jù)，任何一種形式的數(shù)據(jù)泄露，都將會(huì)演變成企業(yè)的災(zāi)難。 譯 | 魯行云