是企业安全团队在努力跟上你的手机和智能手机的迅速扩散?五个专家提供建议帮助你保护从iPhone和黑莓Droid。
它曾经是一个奢侈的拥有智能手机。现在似乎每个人都有一个,没有它似乎无法完成他们的工作。随着应用程序数量的增多和市场的洪水与最新的黑莓的味道,iPhone, Droid,等等。,IT安全商店面临的新问题保持移动恶意软件的网络。
这是一组行为准则从五个专家保护手机。
乔·布朗信息系统安全工程师CISSP,迈克菲
对于大多数智能手机有AV包可用。电脑使用说明申请电话一样——如果你不认识发件人,或有一个可疑的附件,不要打开它。小心你冲浪的地方。一些Web代理做支持移动设备。
蓝牙是邪恶的!控制你的蓝牙足迹。与iPhone, Droid和BB现在产品添加应用程序可以控制能力(想想白清单或常见的操作环境)。
德里克·沙茨是公司高级安全架构师在奥兰治县,加利福尼亚州。
做的事:
1。只有部署的设备可以支持等主要功能加密、远程擦除和密码锁定。
2。为移动设备创建特定的安全策略和过程项目管理可接受使用,责任(例如做什么如果设备丢失或被盗),等等。
3所示。监控安全漏洞跟踪feed新攻击移动设备。
4所示。确保设备在野外可以快速更新来解决安全问题。
别:
1。认为智能手机应该只给高级管理层。许多普通员工的职位可以变得更加高效的使用这些工具。
2。部署为企业使用不适当的保护和控制设备。专有信息的损失可能非常昂贵的业务。
迈克尔·舒勒,芝加哥的系统管理员
做的事:
1。定义环境中拥有智能手机的目的。
2。定义环境中的最佳角色拥有智能手机。
一。人力资源在这应该有一个重要的作用。特别是受薪雇员。
3所示。评估产品的安全性和性能特性,适合你的市场。
某些产品/设备可能无法满足金融或政府机构的安全需求。
b。产品情况如何集成现有的基础设施。
4所示。实现安全策略基于决心从步骤3。
5。定义什么级别的支持你计划提供如果实施不同类型的智能手机。
6。征求类似的公司信息已经实现你想实现什么。
多久。询问他们已经使用的产品。
b。找出如果他们任何他们没有预见到的压力点。
7所示。建立一个测试组的不仅仅是测试你的POC的员工。把可用性信息和非IT人员。
不
1。假设所有设备治疗诸如加密,在设备上和在运输过程中,相同的。
2。给公司的每一个人一个智能手机。虽然有利于人们高管以下级别员工设备,涉及人力资源需要确保用户知道他们可能/不可能弥补不工作而与他们的智能手机。
3所示。部署设备不了解你有什么政策(或不)启用和你的数据丢失的风险是什么。
不只是限制你的评估“每个人使用黑莓手机我们也应该。”Good for Technology has a pretty decent application and supports a huge range of devices from Win Mo to certain palm devices (no pre yet) and even the iPhone. The Good for Enterprise application for the iPhone is far better than using ActiveSync, security wise. But, with how the iPhone 3.0 OS is built, the app doesn't really sync messages, contacts and calendar until it's launched. The db backend for the application is slow. But, they're promising an overhauled backend for the next revision. I'm hopeful the version after that will support the network back-grounding features of the iPhone 4 OS.
同时,RIM设备已经在最近的设备非常令人失望。他们在大部分地区真的信号不好。最新的设备操作系统,我的理解,不满足国防部的安全需求。虽然你可能没有国防部级别安全需要为您的设备。这是思考你的评价。
,我不想恨边缘,如果你真的上启用加密你的黑莓手机。预计大量的滞后处理你的设备。非常的强劲,如果你只是用它作为通讯设备。但是,当有人把microsd卡,需要一些公司的照片。它很快减慢它解密卡上的数据每次解锁,对它每次都是锁着的。
整体有特性BES管理界面,我觉得缺乏,但容易固定Zenprise或Boxtone通过购买第三方产品。但是很多功能是内置在有利于企业的产品。
我的一个建议是避免ActiveSync。总的来说我非常贫穷的结果与使用ActiveSync管理设备。授予我不管理他们2007年或以后交流环境。但是,我不觉得ActiveSync那样健壮或深思熟虑或喜神贝斯一样好。
玛雅Aggarwal,全球威胁中心研究工程师,SMobile系统
1。从SMobile系统威胁中心“中间人攻击”:MITM攻击被认为是一个合法的威胁或私人机密数据在PC信息安全。测试团队已经充分表明,移动笔记本无线网络,可以拦截智能手机之间的通信和wi - fi热点。测试团队能够执行成功MITM攻击四个不同的智能设备,说明保护提供SSL可以绕过和登录凭证可以截获。
这项研究强调了事实的使用公开可用的wi - fi热点应该走近应采取谨慎和小心,以确保充分机密或私人数据是加密的,当需要访问这些数据。在可能的情况下,智能手机用户应当寻找和识别应用程序提供足够的加密技术来保护机密或私人信息。在这一点上,这样的应用程序确实存在,但稀缺。在选择应用程序处理敏感通信,用户应该搜索的应用程序提供端到端加密客户机应用程序和服务器之间。此外,在处理应用程序提供金融机构或其他敏感信息,同样应采取的预防措施,以确保这些通信端到端加密。当这样的应用程序并不容易获得,用户必须确保他们采取必要的预防措施,以确保他们只访问敏感信息,,服务提供者的网络连接提供的数据或从一个可信的计划,安全的无线网络,可用。
此外,个人智能手机用户和企业提供(或让)智能手机进入环境的生产力,应确保安装安全软件,它提供了防火墙和杀毒能力,至少。用户和企业必须开始用同样的心思对待他们的智能手机,他们在使用个人电脑或笔记本电脑。的威胁,而不是广泛的在这一点上,是相当成功的攻击发生时类似的和昂贵的。此外,像往常一样,脆弱/对智能设备开发研究继续发生,所以将利用的数量转化为成功的攻击智能手机用户。
2。从SMobile系统论文基于短信的攻击:
还有一个突出的威胁脆弱,不是讨论每个移动用户即短信发送垃圾邮件。目前,无论是手机还是他们的运营商提供实质性的支持或者功能,可以调节流量的短信,开箱即用的。这可能是为什么短信继续收到攻击者作为一个可行的攻击向量的注意,仓服务这么多研究的关注。注:以上文章只提到垃圾邮件用户的一种方式。然而,我工作在一个新的文章将讨论垃圾邮件的过程可以通过使用自动化工具(我写POC)可以无限制的垃圾短信发送到用户数量。
首席架构师,Yinal Ozkan CISM,现如今已成为中钢协,CISSP, INTEGRALIS
做的事:
1。没有非托管移动设备——中央管理是一个使命。非托管的设备不应该对公司数据的访问。
2。管理设备管理应在空气中。通过网络远程政策推动承运人必须工作(无线编程(OTA))。最终用户概要文件应该加密没有选择本地修改。
3所示。中央日志应执行政策与下列事项(可以增加政策项目):移动数据加密,锁定超时设置(屏幕保护程序锁定);uthentication /密码策略;销(黑莓)短信和即时通讯、蓝牙政策(好不好);远程擦除;在线旅行社;允许应用程序;社交媒体政策(Facebook、Twitter、Foursquare、基于位置的服务;和相机的政策。
4所示。试图扩大你的端点安全策略,以移动终端(URL过滤/ AV /媒体处理/防火墙)但不要过于激动的,只部署工作的解决方案。这是一个好主意来实现这些解决方案在企业网关(代理所有网络连接),而不是资源有限的移动设备。云中的URL过滤是一个很好的例子。
5。试图扩大你的公司电话系统智能设备。有软客户无缝扩展到移动设备,使所有语音邮件/扩展/所做的工作在你的智能手机。不要过于激动的。这种扩张将在你现有的安全移动设备。
6。802.1 x智能手机上的无线网络客户。
7所示。管理认证和证书(最好是模拟人生)
不
1。不要屏蔽所有第三方应用程序。有一个过程批准的应用程序。批准的应用程序创建一个白名单。“阻止”不是关键字,关键字是“控制”。
2。不允许非托管设备访问和检索分类数据(如果你没有数据分类,请做)。非托管的设备上的数据应该被视为失去(会)。如果你允许非托管设备访问确保管理风险。
3所示。不要安装超过安全客户在移动设备上。如果有可能,不要安装一个客户端。他们已经缓慢也许在未来,专注于网络安全解决方案。
4所示。不要让这些设备更慢或更复杂的最终用户,您的项目将被终止,不管安全的优点。
5。不允许每一个载波。试图标准化终点设备类型和载体。
阅读更多关于数据保护CSOonline数据保护的部分。
这个故事,“手机安全注意事项”最初发表的方案 。