個人自備設備 ( BYOD) 的出現,讓企業因而敞開大門,各種威脅得以經由員工疏失所造成的網絡漏洞進入企業。所謂的 BYOD 就是員工攜帶個人設備進入公司網絡。這是 IT 消費化的潮流之一,在此潮流之下,將有更多新的消費性信息技術進入企業環境。
每家中小企業都應知道的五項移動設備威脅
1.即使是最小的設備也可能成為企業最大的安全 漏洞。
BYOD 的潮流銳不可擋。在這樣的情況之下,有哪些 BYOD 及移動化的風險是中小企業所必須知道的?還有,中小企業應如何盡力降低這類風險?
43%的中小企業對移動化抱持開放態度,并且認為支持移動設備和智能型手機是一項優先要務。BYOD對中小企業來說已無法逃避。
所謂的 IT 消費化,就是企業員工在公司內部使用消費性科技。而 BYOD則是 IT 消費化的一環,也就是員工攜帶自己的設備,如:手機、筆記本電腦、平板計算機到工作場所使用,而且通常會連上公司網絡。
2.中小企業的 BYOD 時代已經來臨,中小企業必須跟上時代的腳步以維持競爭力。
研究顯示,中小企業對移動化抱持開放的態度,有 43% 的中小企業認為支持移動設備和智能型手機是一項優先要務。3全世界都在移動化,中小企業老板也正利用移動 App 程序來節約時間、提高營收與生產力,并且降低成本。僅有 20%的 Android 設備安裝了防護軟件。
3.中小企業應預先了解 BYOD 所帶來的安全挑戰。
不論規模大小,所有移動化的企業都應了解自己已經暴露在某些風險當中。全球使用中的 Android 設備高達 4 億,這龐大的數字既是 Google 的商機,也是歹徒的機會。不僅如此,我們發現僅有 20% 的 Android設備安裝了防護軟件。
從最大的跨國企業到最小的新創公司,所有擁抱 BYOD 的企業都將面臨風險。正因如此,中小企業必須知道今日 BYOD 的時代將面對最新的威脅。今年第一季顯示,網絡犯罪者已將更多重心轉移至移動設備。
網絡犯罪者無時無刻不在尋找各種熱門平臺,因為,越是熱門的平臺,就會有越多受害者可利用。
4.移動設備上的重要數據正面臨危險。
根據 Ponemon Institute 的一項研究顯示,企業自身的員工是企業資料的最大威脅。員工的個人設備一旦遺失或做好防護措施以防范數據竊取程序,企業數據就可能遭到外泄。同一份調查也發現,員工疏失是許多資料外泄事件的根源。而且中小企業因員工疏失或內賊的惡意行為而造成數據外泄的比例也較高。
此外,移動設備還有很高的失竊風險。事實上,智能型手機與一般手機占了美國主要城市所有搶案的 30%至 40%,共 27,000 起。中小企業必須了解,移動設備需要與桌面計算機至少相同等級的防護。由于消費者傾向使用智能型手機來快速存取個人信息,商用智能型手機一旦遺失,將使得網絡犯罪者完全掌握企業的重要數據。
員工可能經由下列方式從其移動設備泄漏公司重要數據:
? 連上不安全的無線網絡
? 下載和安裝未經核準的 App程序
? 造訪可能惡意的網站
? 將手機隨意放置而未加留意
上述情況,再加上設備的意外遺失,將對中小企業數據帶來嚴重風險。
信息竊盜惡意軟件是最常見的 Android 惡意軟件類型之一。影響 BYOD 設備的惡意軟件確實存在。
網絡犯罪者已擴大了活動范圍。除了桌面計算機之外,他們同樣也會攻擊移動設備,因為其普及率和使用者數量正不斷攀升。設備一旦感染惡意軟件,受害的將不只是員工自己,還將波及員工所屬的企業。
移動惡意軟件可能對企業造成許多傷害。Android 最常見的惡意軟件之一就是信息竊盜程序,這類程序幾乎可記錄、竊取、公開員工在移動設備上的所有活動信息。其竊取的數據報括:來電和去電、簡訊、通訊簿、用戶的 GPS 定位信息等等。這類惡意軟件很可能導致后續的數據外泄事件。
Rooter (解機) 惡意軟件一旦進入 Android移動設備,即可控制設備并操作其功能,讓網絡犯罪者從遠程遙控被感染的設備。此外,一旦該設備連上中小企業網絡,此惡意軟件就能存取其網絡。
黑客非常熱愛 Android 操作系統,光是 2012 年第一季就出現 5,000個新的惡意 App 程序。
5. Android 是最常遭到攻擊的移動設備操作系統。
網絡犯罪者一向鎖定最熱門的操作系統以盡可能擄獲最多受害者。Android 高達 50.9%的市場占有率 (一般使用者和企業) 使該操作系統成為網絡犯罪者長期最愛的目標之一。11黑客非常熱愛 Android 操作系統,光是 2012 年第一季就出現了 5,000 個新的惡意 App 程序。而且 Android 是今日中小企業最常支持的第二大移動設備操作系統,讓它更令人垂涎。事實上,趨勢科技已發現 129,000 種專門針對 Android 用戶的惡意 App 程序。
這對中小企業的意義為何?雖然 Android 設備對中小企業來說仍是一個滿足移動化需求的不錯選擇,但中小企業也應將移動設備平臺的惡意軟件數量列入考慮,并適當調整安全政策來因應。
您要如何享受 IT 消費化所帶來的效益
您可利用下列技巧和最佳實務原則來防范 BYOD 風險,保護您的企業資產和數據:
擬定計劃
? 盡可能消除您企業全面實施 BYOD 政策所可能衍生的問題。
? 讓您的人員和各部門共同參與。
? 調查員工目前使用和未來可能采購的設備類型。
制定政策
? 決定采用何種設備為標準、哪些是可允許的設備、哪些則不提供支持和禁止使用網絡。
? 訂出可攜帶個人自備設備的條件,這些條件是以職務還是以場所為原則?
? 明訂設備遺失、失竊、或損壞的處理程序,鼓勵誠實通報。