网络安全深度探讨:什么是BYOD & 9大安全风险
自带设备(BYOD)政策允许员工在工作中或远程工作时使用自己的设备(手机、笔记本电脑等)。据《网络安全内部人士》报道,大约82%的组织实施了BYOD政策。
尽管这项政策能提高员工的效率,增强他们的士气,并为公司节省资金,但BYOD同时也带来了若干网络安全风险。
以下是风险快速总结:
- 设备感染恶意软件
- 个人与工作用途混合
- 设备丢失或被盗
- 使用不安全的Wi-Fi
- 网络安全意识不足及疏忽
- 未授权访问敏感数据
- 缺失的安全及软件补丁
- 影子IT
- 在遵守安全政策上的疏忽大意
如果允许BYOD而不进行定期检查,这9个主要安全风险可能会严重损害您的业务。
下面,我将更详细地讨论每一个安全风险并提出一些解决方案。继续阅读!
设备感染恶意软件
自带设备政策最大的风险是恶意软件感染。员工通常对个人设备的安全不够小心,对安装什么应用程序也不会太注意。
他们可能会下载PDF文件,安装游戏和其他个人使用的应用程序,而这些应用程序中的许多可能会被恶意软件感染。
由于设备中还包含公司数据,恶意软件将获得对其的访问权限,导致数据泄露。
更严重的是,当员工来到工作地点并将其设备连接到公司网络时,恶意软件将传播到整个网络,导致危机。
恶意软件有多种类型,包括:
- 病毒
- 特洛伊木马
- 钓鱼工具
- 键盘记录器
- 广告软件
- 蠕虫
- 间谍软件
- 勒索软件
- 无文件恶意软件
最糟糕的是,任何在线内容都可能被这些恶意软件中的任何一个感染。你只需在访问一个奇怪的网站或下载一个应用程序时犯一次判断失误,你的设备就可能被感染。
作为雇主,你几乎无法控制员工在家中如何使用他们的个人设备。
所以,你不知道他们的设备是否已被感染。
解决方案
- 强制在员工的设备上安装反恶意软件解决方案。这将提醒他们任何可疑的应用程序或网站,防止恶意软件感染
- 审核员工在其个人设备上安装的所有应用程序,在来工作时进行安全扫描,确保没有恶意软件感染的风险
- 实施严格的使用政策,阻止员工在忽视网络安全风险的情况下随意使用他们的个人设备(例如,禁止员工在设备上安装游戏或非工作应用程序)
- 定期对BYOD设备进行常规检查,确保没有安装意外的应用程序或它们没有被恶意软件感染
混合个人与职业使用
当你实施BYOD政策时,员工在他们的设备上混合使用个人和工作内容是在所难免的。
这会产生安全漏洞,因为公司数据会被存储在用于不安全活动(如在线购物)的设备上。
你几乎无法控制员工的设备,因为你不知道他们在家里是如何使用这些设备的。
以下是可能发生的情况:
- 员工将设备借给朋友,这将使敏感数据面临危险
- 设备连接到不安全的Wi-Fi网络
- 员工访问了一个感染了恶意软件的网站,这将使敏感数据面临风险
- 员工下载了一个被感染的文件,最终访问了设备上的私有公司数据
控制这些情况极其困难。BYOD带来了重大的网络安全风险,这不容易避免。
解决方案
- 个人和工作用途分离,确保用户在满足个人需求使用设备时不会影响工作数据。这可能通过数据加密、无信任安全系统以及最小权限原则来实现
- 强制使用VPN,以防止当设备连接到不安全的Wi-Fi网络时恶意截取通信
- 员工离开时切断对工作应用和数据的访问,以防止因员工疏忽导致的任何未授权访问或数据泄露
- 加强安全意识,以避免在家个人使用时的疏忽和粗心
丢失或被盗的设备
与工作设备相比,员工丢失个人设备的几率要高得多。
一项调查显示,68%的医疗保健数据泄露是由员工设备的丢失或盗窃造成的。
这是因为个人设备因使用方式、地点和时间的不同,更容易被盗或丢失。
工作设备只在工作时使用,而个人设备无论用户去哪里都会使用。
任何与用户接触的人都可能窃取或访问他们的设备,并获取敏感的公司数据。
解决方案
- 培训员工在他们的设备上使用密码和生物识别安全措施,以避免设备丢失或被盗时的未授权访问
- 培训员工在设备被盗/丢失后立即报告,以取消其访问凭证,避免数据泄露
- 加密员工设备上的工作数据,使其无法在工作环境外被访问
使用不安全的 Wi-Fi
这个问题值得单独列出来,因为使用不安全的 Wi-Fi 对员工设备上的数据安全来说有多么危险。
公共 Wi-Fi 网络是网络安全的一大漏洞,因为它们很容易受到外部操控。
中间人攻击在渗透 Wi-Fi 连接和感染连接设备方面非常有效。
Wi-Fi 诱捕点比你想象的更常见,如果你无法区分恶意和合法的 Wi-Fi 网络,很容易就会上当。
另一种 Wi-Fi 攻击是窃听,黑客利用未加密或恶意接入点侵入连接到公共 Wi-Fi 网络的设备。由于大多数公共 Wi-Fi 网络未加密,风险实实在在存在。
解决方案
- 指导员工不要使用公共 Wi-Fi 网络,以直接避免重大的网络安全风险
- 强制所有员工使用 VPN,这可以抵御 Wi-Fi 攻击
- 推广网络安全意识,特别是在外出时使用公共 Wi-Fi
- 在设备上加密公司数据,即使设备在使用公共 Wi-Fi 网络后被侵入,也能防止未经授权的访问
网络安全意识不足和疏忽
根据威瑞森(Verizon)在其2023年数据泄露调查报告中的说法,74%的所有数据泄露事件涉及到了“人的因素”。
所谓的“人的因素”,指的是公司员工不小心犯错、疏忽大意或无知行事。简而言之,就是社会工程学。
疏忽和缺乏网络安全意识对于任何在网上运营的公司都可能是灾难性的。
很多网络攻击都是通过人的因素来促成的。恶意软件、钓鱼、蠕虫、勒索软件,你说一个,都能找到因疏忽而有过错的人。
可能的情况包括:
- 从假邮件中下载钓鱼附件
- 从Play商店安装了一个带毒的应用,最终发现设备上的敏感数据
- 访问了一个感染了病毒的网站,下载了勒索软件到你的设备上,最终感染了公司数据库
- 在没有VPN的情况下使用不安全的Wi-Fi网络,落入中间人攻击的陷阱
- 设备被盗,导致泄露敏感的公司数据
疏忽、不感兴趣、懒惰、粗心,对于那些能够接触敏感数据的员工来说,所有这些都是问题。
当他们把自己的设备带到办公室时,一系列的攻击途径就成了现实,你必须为此做好准备。
解决方案
- 教育员工关于网络攻击和威胁者。员工应该了解各种类型的网络攻击、上网风险、如何识别骗局、如何应对攻击,以及在线时不应做什么
- 进行定期检查并实施严格的安全规则。你不会希望你的员工对保护公司数据的安全不闻不问或疏忽大意。安全培训固然重要,但定期检查是保持员工警惕和意识的方法
未经授权访问敏感数据
在讨论BYOD(Bring Your Own Device,自带设备)时,最大的风险之一是未经授权访问敏感数据。
这可能意味着盗窃,但也可能意味着在员工不知情的情况下使用其设备。
由于员工会将设备带回家,有恶意意图的人可能会打开这些设备,访问敏感数据并泄露之。
还有设备被有恶意意图的人偷窃的风险。如果设备没有得到适当的保护,这可能会导致数据泄露。
考虑到79%的美国人每天24小时中有22小时带着智能手机,很明显,数据盗窃的风险值得关注。
设备丢失也是一种可能性。人为错误和疏忽是你在公司实行BYOD时应该考虑的因素。
解决方案
- 所有工作设备都要设置强密码。确保你的员工为他们的设备设置强密码。理想情况下,他们应该对公司文件和文件夹设置另外的密码
- 生物特征验证将进一步降低这种风险,确保得到设备的人无法使用它
- 实施双因素认证系统,这样即使有人得到了设备,没有正确的双因素认证代码(或实体钥匙)也无法访问敏感数据
- 立即报告丢失/被盗的设备,以便上级可以取消设备上可能被第三方用来访问公司数据库的任何访问代码
Missing Security and Software Patches
BYOD可能构成严重安全风险的另一个原因是,员工的安全和软件补丁可能不是最新的。
我们都知道,大多数人对待自己的个人设备往往有些疏忽。这完全是个舒适度的问题。
但是,当你不安装最新的安全补丁时,这种舒适性对个人(和公司)的安全造成了巨大的损害。
在这种情况下,可能会发生以下情况:
- 一个新发现的零日漏洞(你不知道的)将使黑客能够渗透你的手机并窃取敏感数据
- 一次最近对你的操作系统类型肆虐的网络攻击可能会影响你,因为你没有安装最新的安全补丁
- 各种系统漏洞可能会使你的设备暴露给有恶意意图的第三方攻击
在办公室外,员工可能不那么倾向于遵循安全预防措施,不像在办公室里那样小心。
然而,为了保护设备上的公司数据,这同样重要,如果不是更重要的话。
解决方案
- 定期检查员工设备的最新操作系统版本,确保他们运行的是最新的软件和安全补丁
- 强调安装安全和软件补丁的重要性给你的员工,这样他们可以尽早改变心态。忽略这一点可能对你的业务造成严重后果
影子 IT
当员工使用未授权的设备或在工作设备上安装未授权的软件而不告知 IT 团队时,就发生了所谓的影子 IT。
大约80%的员工承认他们使用了 IT 部门不知道的 SaaS 应用程序。
原因可能多种多样,但在大多数情况下,员工声称向 IT 部门报告一切会拖慢工作流程。
虽然这可能是真的,但也不应忽视影子 IT 所带来的安全风险。
员工不是安全专家,因此他们使用未经批准的软件或硬件可能引入新的安全漏洞。
这些应用程序中的一些可能具有低安全标准、没有加密,甚至存在安全漏洞。
解决方案
- 强调未经授权的硬件或软件是不允许的,这样员工就不会参与影子 IT。从一开始就清楚地说明安全风险,并严格遵守规定
- 尽量让所有工作相关的工具对员工可用,这样他们就不必参与影子 IT。通常,这种情况发生是因为 IT 部门在批准员工需要用于工作的工具上耽误了时间
- 执行更好的未经批准的硬件或软件的安全检测,这样你就可以提前发现它们
忽视安全政策的粗心大意
一些员工可能会对你制定的安全政策表现出漠不关心、疏忽和粗心大意。
这可能由多种原因引起,例如:
- 个人问题
- 对避免安全风险的过度自信,而不遵守严格的规定
- 缺乏兴趣
这些原因中的任何一个都是对你企业安全的重大威胁。你应该尽快处理这个问题。
解决方案
- 了解员工粗心大意的原因并尝试解决这个问题。向他们解释数据泄露的潜在影响以及如果是他们的过错可能会有的后果
- 解雇一再粗心大意的员工。放弃一个一再粗心大意且不能遵守规则的员工会更好
最终 BYOD 是否值得?
BYOD(自带设备上班)政策有几个明显的好处,你应该了解:
- 为员工提供硬件的前期成本大大降低。由于他们将自己的设备带到工作场所,你将在这些费用上省钱
- 因为熟悉自己的设备,员工的生产力提高了
- 增加了员工满意度,因为他们把熟悉的元素带到了工作中,不必同时处理个人和工作设备
- 由于员工即使在官方休息时间也总是可用,从而提高了流动性。这应该增强响应性和参与度
- 可以从任何地方更灵活地访问公司资源,这提高了员工的士气、参与度和忠诚度
这些是公司及其员工实行自带设备政策的主要好处。
但我也描述了上述的安全风险。如果滥用和操纵 BYOD 政策,可能会发生潜在的灾难性安全漏洞。
在实施 BYOD 时,你需要建立一些基本规则。安全检查、网络安全意识、积极阻止安全疏忽和影子 IT,这些都是朝着健康的 BYOD 生态系统迈进的必要步骤。
虽然这不是不可能实现的。通过正确的工具和规划,BYOD 可以大幅提升你的业务表现。
请继续关注 PrivacyAffairs 更多的网络安全内容!
来源
BitGlass – 2021年BYOD安全报告
Privacy Affairs – 为什么网络钓鱼如此普遍 & 如何防范?
Perception Point – BYOD安全:威胁、安全措施和最佳实践
Privacy Affairs – 网络安全深度解析:什么是最小权限原则?
Kiteworks – 丢失和被盗移动设备是医疗数据泄露的主要原因
Forbes – 公共Wi-Fi的真正风险:关键统计数据和使用数据
Verizon – 2023数据泄露调查报告
Privacy Affairs – 网络欺骗的艺术:网络安全中的社会工程学
Privacy Affairs – 网络安全深度探究:18种网络攻击类型及预防方法
Leftronic – 2023年全球29+智能手机使用统计数据
Track – 你需要知道的21个影子IT管理统计数据
Jumpcloud – BYOD商业利益