Controle remoto para desktops virtualizados
Tivemos serviço de despertar o suficiente agora, certo? Chega momentos sibilante-bum.
Eventos durante o ano passado ter deixado claro que os hackers, seja patrocinado pela NSA, GCHQ ou um milionário torto, pode e vai quebrar as defesas de sistemas operacionais móveis de qualquer tipo.
Para a TI, tornou-se evidente que garantir a segurança de todos os sistemas operacionais inumeráveis em toda a sua base de clientes é quase impossível.
"Cada plataforma tem as suas próprias necessidades de segurança e, portanto, não é possível implementar uma política que poderia cobrir todos eles", diz Guillermo Lafuente, consultor de segurança no MWR InfoSecurity.
"As empresas têm de decidir quais sistemas operacionais e versões desses sistemas operacionais podem oferecer o nível de segurança que estão procurando
Falhas no sistema
Quando os tipos de segurança pensar insegurança móvel, muitos dedos de ponto no Android. A sua natureza fragmentada e seu código-fonte aberto deixá-la aberta para atacar. E tem havido alguns erros significativos nos últimos meses.
A surpreendente descoberta por falha de segurança Bluebox deste ano possibilitou que hackers para criar certificados de identidade fraudulentas que parecem vir de empresas legítimas, como o Adobe.
Ao assinar um aplicativo malicioso com esse certificado, que teria sido possível furtar uma boa quantidade de dados a partir de uma vítima inocente. Um certo tom de Android também era vulnerável a Heartbleed, o bug OpenSSL que deixou as chaves de criptografia aberto para biscoitos, enquanto outros sistemas operacionais móveis não eram.
Este ano também se mostrou iOS está longe de ser invulnerável. Pouco antes Heartbleed causou pânico em todos os negócios e as redações, a Apple revelou um bug SSL que causou um tumulto similar.
Conhecida como a falha "gotofail", que significava código da Apple pulado algumas verificações de segurança vitais para conexões criptografadas via SSL, o que fez man-in-the-middle ataques a aplicativos sentadas no iOS trivial.
À medida que mais sistemas operacionais chegou ao mercado, com o Windows Phone e Firefox recebendo aplausos, assim como críticas, ele terá um trabalho ainda mais duro em suas mãos decidir como lidar com as questões de segurança que vêm com cada um.
Cada versão vai trazer com ela vulnerabilidades frescos. E, como hackers, seja patrocinado pelos senhores do submundo do crime ou mandarins do governo, continuar para o jogo móvel de quebra, muito está em jogo.
Trouble in store
Tudo isso sugere que ter uma abordagem agnóstica de BYOD (traga seu próprio dispositivo) seria imprudente. Há muitas áreas do sistema operacional específico que as equipes de TI seriam aconselhados a explorar na elaboração das políticas móveis.
Para aqueles sem uma grande equipe de segurança (que é a maioria das empresas do mundo), uma abordagem sensata é a de considerar o quanto a comunidade de segurança tem sondado por vulnerabilidades em um sistema operacional.
Tome Android: que ele é considerado muito mais vulnerável do que o iOS, o número de pesquisadores haquear é alta, o que significa que as equipes irão aprender sobre os pontos fracos críticos no sistema operacional do Google, não muito tempo depois que eles são descobertos. Como os furores em torno de problemas tecnológicos recentes da Apple atestar, o mesmo vale para iOS.
"[Android] é uma plataforma que foi exaustivamente testado e tem uma superfície de ataque conhecido para o qual as empresas podem colocar controles de segurança adequados", diz Lafuente.
"Android pode ser tão seguro como qualquer outra plataforma, se o telefone está configurado adequadamente. No entanto, outras plataformas como o Firefox OS pode exigir mais pesquisas antes que possa ser estabelecido que eles são adequados para um ambiente corporativo. "
As equipes de TI também seria aconselhável verificar a segurança das lojas de aplicativos relacionados a plataformas específicas, acrescenta Lafuente.
"Por exemplo, o iOS tem controles rígidos sobre os aplicativos publicados em seu mercado, o que torna difícil para hackers para publicar aplicativos maliciosos. Outro bom exemplo é o Windows Phone. Microsoft recentemente passou por isso a remoção de milhares de aplicativos de sua loja, porque eles eram falsos ", diz ele.
A loja Google Play, no entanto, foi crivado de aplicativos maliciosos. E para qualquer esperança de fazer auditorias regulares de segurança do sistema operacional móvel, do GCHQ CESG corpo produz Usuário Final Dispositivos de Segurança de Orientação boletins, o que pode incluir dicas úteis das principais espiões do mundo.
Se o negócio está considerando uma política de BYOD, ou um CYOD (escolher o seu próprio dispositivo) abordagem em que os trabalhadores escolher entre uma gama de telefones pré-selecionados, sabendo o tipo eo estado de cada sistema operacional pode muito ajudar a proteger o negócio.
Qualquer organização que tem o orçamento certamente deve considerar a ficar como granular possível sobre a segurança do sistema operacional.
Correndo para ficar ainda
Mas aqui está o dilema enfrentando mais subfinanciados profissionais de TI hoje: enquanto uma política que abrange todo o sistema operacional único em detalhe pode fornecer a solução definitiva, é demorado e quase impossível para a média empresa.
Mesmo tentando se poderia ser o caminho errado para a segurança, de acordo com Lafuente.
"Se você quer aceitar todas as plataformas disponíveis, então você tem que ter certeza de que seu departamento de TI pode lidar com as preocupações de segurança em todas as plataformas. Não vai ser fácil de manter-se com as inúmeras novas plataformas que estão vindo para o mercado ", diz ele.
Pense na complexidade do Android ou qualquer outro sistema operacional aberto, multi-dispositivo: problemas não estão apenas no código do sistema operacional, eles estão do outro lado os aparelhos miríade produzidos por parceiros.
"O desafio com o Firefox OS é o mesmo com o Android ... Mozilla poderia fazer um excelente trabalho, mas o aparelho OEM potencialmente pode desfazer muito do seu trabalho de segurança", diz Ollie Whitehouse, diretor técnico da consultoria de segurança NCC Group.
Essa complexidade não contada que vem com BYOD, somado ao fato de que cada sistema operacional móvel é vulnerável, tem levado a alguns de chamada para uma mudança da abordagem focada no sistema operacional e no sentido de uma metodologia holística e flexível.
A política deve permitir TI para quarentena ou apagar dispositivos que representam uma ameaça
Nigel Stanley, diretor de prática para a segurança cibernética da consultoria OpenSky Reino Unido, diz que a política ideal seria instalar a tecnologia adequada para cobrir a maioria dos problemas em vários sistemas operacionais e de mudança muito mais responsabilidade para os usuários, sem ficar atolado nos detalhes de segurança de cada sistema operacional .
"Você tem que empurrar o ônus para o usuário. O controle mais importante é ter funcionários usam broches e senhas ", diz Stanley, observando que muitos ainda não cumprir esta regra básica de forma eficaz.
Toda organização deve realizar programas de educação aprofundados sobre as noções básicas de segurança móvel, acrescenta.
O argumento contra tal abordagem seria lido assim: o que ele faz quando um terras de vulnerabilidade específica do sistema operacional, como acontece a cada mês ou assim? Pode simplesmente ser ignorado?
Stanley, que tem ajudado clientes elaborar políticas BYOD por uma década, diz ressalvas no âmbito da política de TI deve permitir a quarentena ou totalmente limpe dispositivos que representam uma ameaça.
Quando uma grande falha ou um pedaço perniciosa de malware é relatado, ele pode simplesmente chamar os trabalhadores que executam sistemas vulneráveis e aplicar patches ou tomar medidas mais drásticas. Na elaboração dessas políticas, HR e departamentos jurídicos devem ser trazidos para ajudar, acrescenta. Quando os dispositivos empregados conter fotos de seus familiares ou quaisquer dados que considerem vital para a sua existência, as coisas poderiam ficar pegajoso.
"Na política, o usuário tem que cuidar dos apps. Se eles são suspeitos de terem malware em seu telefone, eles têm que entrar em contato com TI ", diz Stanley.
"Você precisa de um direito de remover o acesso ao dispositivo para sistemas da empresa se a organização acredita que há um aplicativo que apresenta um risco."
Este tipo de estratégia BYOD é susceptível de recurso mais para líderes de negócios também. Para eles, a fim de BYOD é melhorar a produtividade; segurança vem depois.
"A melhor estratégia é abraçar móvel como um meio para melhorar a produtividade e, paralelamente, adotar soluções de segurança que podem identificar e proteger contra ataques no celular", diz Amit Yair, CTO e co-fundador da Skycure, a segurança móvel baseada em Tel Aviv companhia.
"Os funcionários empurrar para ser capaz de usar seus dispositivos amados. Em alguns casos, a luta contra esta tendência é fútil, especialmente em empresas orientadas para o empregado. Portanto, o papel de TI é encontrar uma solução de segurança que lhes permite suportar o negócio e ainda ser capaz de dormir à noite.
"As regras mudaram ea perspectiva sobre a segurança é que deve permitir negócio, e não bloqueá-lo. Os funcionários querem usar seus aparelhos favoritos para atividades pessoais e de negócios. Eles realmente não gostam de ser ditada nos dispositivos e aplicativos que eles usam. "
No nível técnico, há uma variedade de produtos que podem apoiar uma política ampla que abrange todos os sistemas operacionais. Na verdade, alguns são essenciais, tais como suporte para criptografia total do dispositivo e limpeza remota em caso de um dispositivo perdido ou roubado.
Outra confusão fina
Gerenciamento de dispositivos móveis e software que pode fazer contentorização e permitir a "personas duplas" para dividir o trabalho e uso de vida, como visto em telefones BlackBerry e em tecnologia de Knox com Android da Samsung, ativar a segurança a ser aplicada, dependendo de onde os dados residem e que produziu ou possui.
"Com este tipo de tecnologia que eu como um usuário pode instalar meus apps e fazer o que eu quero os meus dados. No entanto, como um administrador de um dispositivo de dupla utilização que posso aplicar as minhas políticas sobre os dados da organização, seja ela requisitos de senha, limitando quais aplicativos são usados e assim por diante ", diz Whitehouse
"As modernas plataformas de gerenciamento de dispositivos móveis normalmente fazem uma gestão simples nos dias de hoje."
Apesar de todas estas soluções, para muitas organizações BYOD tornou-se uma das questões mais preocupantes de TI de memória recente. Stanley acredita que é o maior problema de segurança da informação desde o início do stick USB (que pode-se considerar parte da mesma edição).
"A maioria das pessoas não têm clue.They estão realmente lutando para obter as suas cabeças em torno BYOD", diz ele.
"O smartphone é a forma mais íntima de computação que já had.Think sobre os dados pessoais e corporativos que tem sobre você. Portanto proteção desses ativos é vital. "
Amit acha que a maioria das empresas simplesmente não entendem a natureza da ameaça.
"As organizações de hoje não são apenas expostas a uma variedade de redes e de nível de aplicativo ataques. A realidade chocante é que a maioria nem sequer sabem quando seus funcionários são atacados e quais são a natureza eo impacto dos ataques ", diz ele.
"Como resultado, eles não estão cientes da exposição de segurança móvel em sua organização. Esta é uma clara preocupação crescente entre os CIOs e CISOs de organizações que estão interagindo com ele. "
Em suma, o estado de BYOD em todo o mundo está em uma espécie de bagunça. Que bagunça é um produto de um clima ameaça que é cheio de complexidade e as múltiplas questões que afetam os diversos sistemas operacionais.
Com orçamentos em mente, as empresas têm vindo a fazer escolhas críticas quando se trata de BYOD e do afluxo de vários sistemas operacionais. Eles poderiam investir pesadamente em segurança móvel, ir tão granular quanto puderem e aplicar regras para para cada sistema operacional.
Nada é perfeito
Alternativamente, eles poderiam optar por um conjunto de políticas que podem cobrir todas as bases de uma só vez sem focar em software específico. Este parece ser o caminho mais sensato, embora a primeira abordagem, sem dúvida, melhor proteger a empresa. Como com qualquer coisa na terra de segurança, todos os caminhos são repletos de despesa e vulnerabilidade.
Mas aqui está a cabeça: mobiles trazer mais segurança do que desktops (especialmente em um mundo cheio de máquinas com Windows XP sem suporte) e maior produtividade.
"A segurança móvel é cabeça e ombros à frente da área de trabalho. Se você ainda estiver executando o Windows XP em sua organização nós recomendamos que você se concentrar nisso ", diz Whitehouse.
"Vocês são mais propensos a ter um empregado de phishing e ser cortado dessa maneira do que ter alguém como alvo um dispositivo móvel.
"Embora as organizações devem estar cientes dos riscos e tomar medidas, não deve impedi-los de perceber os benefícios de ter uma força de trabalho móvel e funcional." ®
Nenhum comentário:
Postar um comentário