所有智能手機(jī)用戶都非常熟悉系統(tǒng)升級過程:每隔一段時間,你的設(shè)備都會收到升級推送,改變用戶界面或者更改控制方法。很多人不知道的是,用戶界面外觀的變化通常也包含那些會清理安全漏洞的補(bǔ)丁。在消費(fèi)電子世界中,這并沒有問題。消費(fèi)者可以決定設(shè)備的安全并對此負(fù)責(zé)任。如果他們不接受更新,這是他們自己的問題。然而,在消費(fèi)者及企業(yè)移動相交的渾濁世界中,責(zé)任歸屬的問題卻沒有這么清晰。

自帶設(shè)備(BYOD)環(huán)境尤其如此,員工可能會選擇不安裝重要與不可或缺的涉及安全問題的更新。如果員工使用未更新移動設(shè)備訪問企業(yè)信息,那么企業(yè)就已經(jīng)面臨了安全風(fēng)險。最近的一份研究顯示了員工在設(shè)備更新方面的松懈表現(xiàn)。安全訪問提供商Duo Security根據(jù)其100萬移動設(shè)備用戶數(shù)據(jù)分析得知,90%的安卓設(shè)備都運(yùn)行舊版本的操作系統(tǒng)。32%的設(shè)備還在運(yùn)行安卓4.0或更早版本的系統(tǒng),這意味著它們很容易受到去年開始就廣為人知的漏洞(Stagefright)攻擊。僅有6%的安卓設(shè)備運(yùn)行最新版本的操作系統(tǒng),而iOS設(shè)備的數(shù)據(jù)則為20%。這不僅僅發(fā)生在操作系統(tǒng)上。Duo Labs發(fā)現(xiàn),32%的員工使用舊版本的IE瀏覽器,該瀏覽器最近3年發(fā)現(xiàn)了160個新漏洞。22%的設(shè)備運(yùn)行擁有250個已知漏洞的舊版本Java。
HPE的2016年網(wǎng)絡(luò)風(fēng)險報(bào)告解釋說:“盡管軟件供應(yīng)商一直在提供安全措施,但如果終端用戶不安裝的話,這些措施無法帶來任何好處。在企業(yè)中,安裝補(bǔ)丁并不是一件小事,且可能很昂貴——尤其是補(bǔ)丁引起問題時。”和大多數(shù)安全相關(guān)的事情一樣,蘋果設(shè)備在這方面也擁有優(yōu)勢。Qualys CTO Wolfgang Kandek表示,蘋果的用戶體驗(yàn)及做法幫助普通用戶更熟悉并對軟件更新感到更舒適。除此之外,蘋果還直接控制所有設(shè)備的更新,而由于碎片化,安卓設(shè)備則無法做到這點(diǎn)。
有跡象表明,安卓設(shè)備廠商正試圖對安全性更新加緊控制,過去手機(jī)制造商和服務(wù)運(yùn)營商一直未能分清責(zé)任。舉個例子,三星正開始通過推送每月更新來集中控制設(shè)備更新。解決企業(yè)面臨難題的一個顯而易見的解決方案是投資“企業(yè)所有,員工使用”模式,購買設(shè)備并對設(shè)備更新進(jìn)行集中控制。這樣可以解決潛在頑固分子的更新問題。然而,這也就意味著失去BYOD帶來的好處,包括成本以及員工的選擇自由。
一些更為專制的老板可能會試圖向員工強(qiáng)加安全策略,并簡單的命令員工及時更新設(shè)備。很遺憾,這種方法根本行不通且會激起員工怨恨。你也可以通過禁止某些類型設(shè)備來提升安全性,但這也會引起類似問題。那么該如何解決這一問題?安全專家似乎一致認(rèn)為,了解什么設(shè)備連接企業(yè)網(wǎng)絡(luò)是很好的第一步。
Lookout EMEA地區(qū)VPGert-Jan Schenk稱:“透明度是保護(hù)的關(guān)鍵。企業(yè)需要了解什么設(shè)備,什么操作系統(tǒng),什么應(yīng)用,什么版本的應(yīng)用正訪問企業(yè)網(wǎng)絡(luò)。”Duo Technologies推出的新款解決方案可以檢測設(shè)備是否更新并阻止那些未更新關(guān)鍵應(yīng)用的設(shè)備訪問。Baramundi也提供了一個專用的儀表板,幫助IT管理員自動列出設(shè)備清單,定義安全規(guī)則并進(jìn)行合規(guī)性檢查。
容器解決方案也是一種方法,它們會分隔企業(yè)應(yīng)用并配置必要的安全控制方法。CounterPath公司市場營銷和產(chǎn)品部門執(zhí)行副總裁Todd Carothers解釋說:“這意味著IT部門可以限制復(fù)制和粘貼等內(nèi)容操作。”
更新問題并非企業(yè)IT部門可以解決的事情。移動行業(yè),包括設(shè)備制造商也需要重新考慮未來幾年的設(shè)備更新方法,去年的補(bǔ)丁分發(fā)數(shù)量能否持續(xù)也尚不清楚。當(dāng)然,為確保設(shè)備更新或減少安全漏洞,企業(yè)能做的還有很多事情。
本文圖文來源于網(wǎng)絡(luò),版權(quán)屬于原作者或網(wǎng)站。如有版權(quán)問題,請與管理員郵箱聯(lián)系,將立刻進(jìn)行相應(yīng)處理。
專注數(shù)字化方案建設(shè),推動智慧企業(yè)生態(tài)圈的升級發(fā)展