移动安全:BYOD时代的系统升级管理
所有智能手机用户都非常熟悉系统升级过程:每隔一段时间,你的设备都会收到升级推送,改变用户界面或者更改控制方法。
很多人不知道的是,用户界面外观的变化通常也包含那些会清理安全漏洞的补丁。
在消费电子世界中,这并没有问题。消费者可以决定设备的安全并对此负责任。如果他们不接受更新,这是他们自己的问题。
然而,在消费者及企业移动相交的浑浊世界中,责任归属的问题却没有这么清晰。
自带设备(BYOD)环境尤其如此,员工可能会选择不安装重要与不可或缺的涉及安全问题的更新。如果员工使用未更新移动设备访问企业信息,那么企业就已经面临了安全风险。
最近的一份研究显示了员工在设备更新方面的松懈表现。
安全访问提供商Duo Security根据其100万移动设备用户数据分析得知,90%的安卓设备都运行旧版本的操作系统。
32%的设备还在运行安卓4.0或更早版本的系统,这意味着它们很容易受到去年开始就广为人知的漏洞(Stagefright)攻击。
仅有6%的安卓设备运行最新版本的操作系统,而iOS设备的数据则为20%。
这不仅仅发生在操作系统上。Duo Labs发现,32%的员工使用旧版本的IE浏览器,该浏览器最近3年发现了160个新漏洞。22%的设备运行拥有250个已知漏洞的旧版本Java。
HPE的2016年网络风险报告解释说:“尽管软件供应商一直在提供安全措施,但如果终端用户不安装的话,这些措施无法带来任何好处。在企业中,安装补丁并不是一件小事,且可能很昂贵——尤其是补丁引起问题时。”
和大多数安全相关的事情一样,苹果设备在这方面也拥有优势。
Qualys CTO Wolfgang Kandek表示,苹果的用户体验及做法帮助普通用户更熟悉并对软件更新感到更舒适。
除此之外,苹果还直接控制所有设备的更新,而由于碎片化,安卓设备则无法做到这点。
有迹象表明,安卓设备厂商正试图对安全性更新加紧控制,过去手机制造商和服务运营商一直未能分清责任。举个例子,三星正开始通过推送每月更新来集中控制设备更新。
解决企业面临难题的一个显而易见的解决方案是投资“企业所有,员工使用”模式,购买设备并对设备更新进行集中控制。这样可以解决潜在顽固分子的更新问题。
然而,这也就意味着失去BYOD带来的好处,包括成本以及员工的选择自由。
一些更为专制的老板可能会试图向员工强加安全策略,并简单的命令员工及时更新设备。很遗憾,这种方法根本行不通且会激起员工怨恨。你也可以通过禁止某些类型设备来提升安全性,但这也会引起类似问题。
那么该如何解决这一问题?安全专家似乎一致认为,了解什么设备连接企业网络是很好的第一步。
Lookout EMEA地区VPGert-Jan Schenk称:“透明度是保护的关键。企业需要了解什么设备,什么操作系统,什么应用,什么版本的应用正访问企业网络。”
Duo Technologies推出的新款解决方案可以检测设备是否更新并阻止那些未更新关键应用的设备访问。
Baramundi也提供了一个专用的仪表板,帮助IT管理员自动列出设备清单,定义安全规则并进行合规性检查。
容器解决方案也是一种方法,它们会分隔企业应用并配置必要的安全控制方法。
CounterPath公司市场营销和产品部门执行副总裁Todd Carothers解释说:“这意味着IT部门可以限制复制和粘贴等内容操作。”
更新问题并非企业IT部门可以解决的事情。移动行业,包括设备制造商也需要重新考虑未来几年的设备更新方法,去年的补丁分发数量能否持续也尚不清楚。
当然,为确保设备更新或减少安全漏洞,企业能做的还有很多事情。