移動性和遠程訪問是企業 IT 組織的新主食。 各個部門的連續性運營突發事件、移動性更強的員工隊伍以及與其他實體安全共享信息的需求不斷增長,所有這些都需要重新關注移動數據。
本文是 StorageReview.com 上一系列客座社論的一部分,旨在為我們的讀者帶來業內人士的獨特視角。 要提出想法或參與,請 聯繫我們.
作者:John Jefferies,產品營銷副總裁 的IronKey
移動性和遠程訪問是企業 IT 組織的新主食。 各個部門的連續性運營突發事件、移動性更強的員工隊伍以及與其他實體安全共享信息的需求不斷增長,所有這些都需要重新關注移動數據。
智能手機、USB 閃存驅動器和其他移動設備通常攜帶敏感信息,而且它們體積小,很容易丟失或被盜。 最近的一項研究*發現,51% 的企業用戶將機密信息存儲在 USB 閃存驅動器上,39% 的企業用戶丟失了閃存驅動器或筆記本電腦。 也許同樣令人不安的是,其中 72% 的人未能及時報告損失。
由於這些高度便攜的設備現在有能力保存數百萬頁的數據,它們提供了一個易於隱藏的包,敵方代理人或勢力可以使用它來竊取機密的企業信息、IP 或其他敏感的商業機密。
丟失或被盜的閃存驅動器包含從多個客戶的私人數據到機密產品規劃再到即將到來的併購計劃的所有內容,有可能最終落入壞人之手。 無論是以企業安全還是法律成本和對受影響組織的補救措施來衡量,此類數據洩露都可能產生毀滅性的後果。 組織還可能因強制性數據洩露披露而對其品牌造成損害。
在不抵消移動設備的顯著生產力和效率優勢的情況下管理這些風險已成為 IT 部門面臨的微妙平衡行為。 與其禁止使用這些設備或回到過時的做法(例如禁用 USB 端口),IT 經理需要確保存儲在這些設備上的數據的安全性,同時最大限度地發揮它們提供從提高生產力到快速災難恢復的一切潛力。 以下最佳實踐為應對這一重要挑戰的組織提供了一個很好的路線圖。
加密移動數據:安全的最低限度
無論是哪個行業,組織都無法承受讓移動設備上的敏感數據不受保護的後果。 強加密是防止移動設備信息丟失或被盜的最佳第一步。 根據美國政府的一項研究,破解一個 149 位高級加密標準 (AES) 密鑰大約需要 128 萬億年。
儘管如此,在為員工部署加密設備時,確保它使用推薦的 AES 加密模式是值得的。 電子密碼本 (ECB) 是最容易實施的,但它不能為文件提供嚴格的保密性。 AES Cipher-Block Chaining (CBC) 提供了更高程度的安全性,但由於製造商很難在基於硬件的加密中實施,因此並不總是使用它。 企業設備還應通過 FIPS 140-2 認證,其中包括對整個系統的檢查,並確保設備設計和加密方法已得到正確實施和執行。
在硬件中存儲密碼和加密密鑰的加密解決方案可以防止這些類型的暴力攻擊,特別是因為基於軟件的解決方案允許黑客倒帶旨在限制輸入錯誤密碼次數的計數器。 它們還可以防止所謂的“冷啟動”攻擊,黑客可以從 RAM 存儲器訪問加密密鑰,因為密鑰可以在設備斷電後在計算機 RAM 中保留一段時間。
無論使用什麼類型的加密,它的強度都取決於其最薄弱的環節——用戶密碼。 許多現成的密碼猜測軟件和硬件工具使黑客能夠通過以每秒數百萬次的速度敲擊設備來快速猜出用戶的密碼。
用戶本身代表著很大的風險,因為有些人會寫下他們的各種密碼並將列表與移動設備放在同一個包中。 而其他用戶本身代表了惡意的內部威脅。 由於這些原因,僅僅加密是不夠的,組織應該在集中管理的解決方案框架內使用加密,包括遠程禁用或拒絕訪問受感染設備的能力,或者將它們清除乾淨。
一切都與控制有關:集中管理移動設備
據估計,全世界有 300 億個 USB 驅動器在使用。 用戶手中的設備如此之多,以至於在任何一天,大多數組織都不知道有大量設備連接到他們的網絡。 由於對設備的使用方式知之甚少,這些大量的移動設備代表著重大的安全風險。
一些組織已經採取措施為其台式機和筆記本電腦實施集中管理的端點數據保護解決方案。 這需要在具有跟踪使用情況和遠程執行安全策略功能的移動設備上實現,包括在多次嘗試猜測密碼錯誤後鎖定移動設備的能力,或者在設備丟失或被盜時銷毀數據的能力。
隨著病毒、特洛伊木馬、殭屍網絡和其他惡意軟件的威脅不斷演變,組織實施策略和最佳實踐來抵禦此類攻擊至關重要。 除了端口控制之外,其他一些預防措施還包括自動和定期的惡意軟件保護更新、安全製造流程、安全配置和質量保證流程,以及實時反惡意軟件掃描。
啟用您的訪問端口力場
除了管理設備外,組織還應考慮控制它們連接的端口。 由於員工需要訪問這些端口來完成他們的工作,IT 安全專業人員應該採用商業友好的方法,例如白名單,通過許多商用設備控制應用程序,可以像指定單個設備序列號一樣精細。
通過使用端口控制只允許使用強大的、基於硬件的加密和集中管理的授權設備連接到機器,組織幾乎可以消除通過移動設備丟失和洩露數據的風險。
安全遠程訪問:建立雙重身份驗證
對於許多不同的企業應用程序,IT 管理員需要定義遠程訪問策略,包括可接受的網絡連接方法和身份驗證策略,定義允許誰訪問什麼類型以及訪問什麼特定數據。 通過結合某種形式的雙因素身份驗證,遠程設備可以成為解決方案的一部分。
數字證書和安全的一次性密碼生成器(如 RSA SecurID 身份驗證器)將安全身份驗證擴展到密碼之外。 例如,通過將這種類型的雙因素身份驗證內置到加密的 USB 閃存驅動器中,消除了對物理令牌或其他附加設備的需求,可以提高安全性,因為用戶在安全登錄設備之前無法訪問憑據。 這種方法還可以降低成本,同時簡化管理和最終用戶體驗。
教育您的員工:移動數據安全的最後障礙
如果員工想方設法規避,為保護移動設備而實施的最強大的加密和身份驗證措施也無濟於事。 研究表明*,當面臨完成工作或遵守數據安全政策時,95% 的員工選擇了前者。 違反政策在這些設備上攜帶敏感數據,或在不安全的網絡上使用這些設備,機器人、鍵盤記錄器和域嫁接代碼可以秘密加載自身,從而允許訪問安全的企業網絡。
在最近的一項調查*中,超過 80% 的受訪者表示他們的公司沒有政策,或者他們不知道這樣的政策會限制更改工作場所計算機上的安全設置。 除非員工完全理解威脅的嚴重性和降低這些風險的重要性,否則他們只會將安全策略視為生產力的障礙。
安全意識活動對於幫助員工理解這些政策的原因並鼓勵他們成為安全方面的積極合作夥伴至關重要。 教育計劃應側重於政策旨在減輕的風險,展示適當的控制措施如何保護員工,並讓員工了解新的威脅、漏洞、政策和個人責任。
統一的機動性、靈活性和生存能力:所需的回報
確保操作的連續性和生存能力的好處包括各種場景。 例如,通過擁有安全管理的移動設備基礎設施,員工可以在加密的閃存驅動器上攜帶虛擬 PC 桌面。 如果發生火災、洪水、恐怖襲擊或其他災難,員工無法訪問設施內的計算機,他們可以立即在任何計算機上設置其工作環境的全功能副本,包括訪問所有數據和應用程序. 在設備中內置雙因素身份驗證將進一步確保員工可以快速輕鬆地訪問網絡。
如果流感大流行會使員工留在家中,同樣的方法也將使組織受益。 或者,在沒有發生此類災難性情況的情況下,提供一種簡單的方法來安全地傳輸一組完整的工作數據和應用程序可以滿足日益增長的遠程辦公需求,作為對飛漲的能源成本和員工對靈活性的渴望的回應。
通過遵循這些解決移動設備上的加密數據、控制設備對企業網絡的訪問以及集中管理移動設備的最佳實踐,組織可以保護自己免受數據丟失和洩漏的風險,從而實現更高水平的靈活性和移動性,從而確保企業運營的連續性和生存能力。
* 資料來源:Ponemon Institute 報告提供的調查數據:數據安全策略未強制執行,2007 年
鐵鑰匙公司., 成立於 2005 年,是提供安全託管便攜式存儲、身份驗證和可信虛擬計算的全球領導者。 其同類最佳的產品組合滿足最苛刻的財富 500 強、企業、政府和軍事客戶的最高安全性、性能和隱私標準。
