所有智能手機用戶都非常熟悉系統升級過程:每隔一段時間,你的設備都會收到升級推送,改變用戶界面或者更改控制方法。
很多人不知道的是,用戶界面外觀的變化通常也包含那些會清理安全漏洞的補丁。
在消費電子世界中,這并沒有問題。消費者可以決定設備的安全并對此負責任。如果他們不接受更新,這是他們自己的問題。
然而,在消費者及企業移動相交的渾濁世界中,責任歸屬的問題卻沒有這么清晰。
自帶設備(BYOD)環境尤其如此,員工可能會選擇不安裝重要與不可或缺的涉及安全問題的更新。如果員工使用未更新移動設備訪問企業信息,那么企業就已經面臨了安全風險。
最近的一份研究顯示了員工在設備更新方面的松懈表現。
安全訪問提供商Duo Security根據其100萬移動設備用戶數據分析得知,90%的安卓設備都運行舊版本的操作系統。
32%的設備還在運行安卓4.0或更早版本的系統,這意味著它們很容易受到去年開始就廣為人知的漏洞(Stagefright)攻擊。
僅有6%的安卓設備運行最新版本的操作系統,而iOS設備的數據則為20%。
這不僅僅發生在操作系統上。Duo Labs發現,32%的員工使用舊版本的IE瀏覽器,該瀏覽器最近3年發現了160個新漏洞。22%的設備運行擁有250個已知漏洞的舊版本Java。
HPE的2016年網絡風險報告解釋說:“盡管軟件供應商一直在提供安全措施,但如果終端用戶不安裝的話,這些措施無法帶來任何好處。在企業中,安裝補丁并不是一件小事,且可能很昂貴——尤其是補丁引起問題時。”
和大多數安全相關的事情一樣,蘋果設備在這方面也擁有優勢。
Qualys CTO Wolfgang Kandek表示,蘋果的用戶體驗及做法幫助普通用戶更熟悉并對軟件更新感到更舒適。
除此之外,蘋果還直接控制所有設備的更新,而由于碎片化,安卓設備則無法做到這點。
有跡象表明,安卓設備廠商正試圖對安全性更新加緊控制,過去手機制造商和服務運營商一直未能分清責任。舉個例子,三星正開始通過推送每月更新來集中控制設備更新。
解決企業面臨難題的一個顯而易見的解決方案是投資“企業所有,員工使用”模式,購買設備并對設備更新進行集中控制。這樣可以解決潛在頑固分子的更新問題。
然而,這也就意味著失去BYOD帶來的好處,包括成本以及員工的選擇自由。
一些更為專制的老板可能會試圖向員工強加安全策略,并簡單的命令員工及時更新設備。很遺憾,這種方法根本行不通且會激起員工怨恨。你也可以通過禁止某些類型設備來提升安全性,但這也會引起類似問題。
那么該如何解決這一問題?安全專家似乎一致認為,了解什么設備連接企業網絡是很好的第一步。
Lookout EMEA地區VPGert-Jan Schenk稱:“透明度是保護的關鍵。企業需要了解什么設備,什么操作系統,什么應用,什么版本的應用正訪問企業網絡。”
Duo Technologies推出的新款解決方案可以檢測設備是否更新并阻止那些未更新關鍵應用的設備訪問。
Baramundi也提供了一個專用的儀表板,幫助IT管理員自動列出設備清單,定義安全規則并進行合規性檢查。
容器解決方案也是一種方法,它們會分隔企業應用并配置必要的安全控制方法。
CounterPath公司市場營銷和產品部門執行副總裁Todd Carothers解釋說:“這意味著IT部門可以限制復制和粘貼等內容操作。”
更新問題并非企業IT部門可以解決的事情。移動行業,包括設備制造商也需要重新考慮未來幾年的設備更新方法,去年的補丁分發數量能否持續也尚不清楚。
當然,為確保設備更新或減少安全漏洞,企業能做的還有很多事情。
京公網安備 11010502049343號