探索中国CIO人才现状 | 第四季调研报告
全面防御以确保终端设备安全
2014-08-11  来源:techtarget

毫无疑问,在任何终端安全系统中,最重要的任务就是防止恶意软件。不过,随着黑客们不断使用越发新奇的方式来绕过设备安全,这些产品也越发无效了。

这几年,反恶意软件技术的精确度的确显著提高了,但是根本上,只有少数应用程序的行为可以被明确化,通常是那些最常用的软件 - Microsoft Office, Java, Adobe Acrobat, Flash 以及各种浏览器。

这些应用程序表现出的任何奇怪行为都会被软件发现, 为了处理这一威胁,软件将阻止这一未经授权的行为。不可否认,这涵盖了日常工作中所使用设备的很多方面,但它显然不是万能的 – 黑客可以选择攻击设备上那些不那么常用的应用程序。

终端安全不只是检测和消除恶意软件,它还要保证这些设备适时地打补丁,配置和控制,以尽可能的减少攻击面。终端保护软件需要与补丁管理系统合作,确保,一旦补丁由企业进行测试,它们可以在设备上进心运行,这应该根据IT部门定义的规则,在基础设施上进行配置使用。

这些规则应该在应用程序安装,服务运行,设备设置和其他防护产品在设备上进行安装时预先做好控制。它应该是IT部门政策的一部分,以辨认配置发生改变,因为这可能表明,恶意软件已经操纵这些规则来破坏这一设备。

设备控制是很重要的,因为这能够使IT部门对于谁可以使用USB接口,并如何使用执行相关政策。从USB设备或SD卡中复制了什么,或向其发送了什么都可以进行记录,以尽量减少风险。

自带设备和移动性对于终端安全的影响

传统的终端设备管理软件是无法管理个人计算机,笔记本电脑和平板电脑的,尤其是在自带设备(BYOD)的环境中,根据Ashley Leonard,,Verismic公司的首席执行官。

他说,传统的设备管理软件,需要“几天甚至几周的部署”,因为每个设备上都需要安装软件。 “频繁的移动,增加和变化导致数据的黑点,使得BYOD环境特别难以管理,有些终端管理软件甚至需要‘人工传递网络’来进行软件部署,这会影响用户,IT部门和成本。”

通过无认证和未打补丁软件应用程序,使得企业面对安全威胁,甚至可能存在合规风险。但是禁止BYOD对于很多企业并不是一个选择。 “员工们无论如何都会使用他们的个人设备,或将企业提供的设备用于个人需求,” Louise Bulman,ForeScout公司的欧洲副总裁说。 “传统的企业边界正随着移动和远程员工数量的增加而变得更加开放和广阔。”

Anand Sukumaran, ITC Infotech公司的管理服务副总裁表示,企业应该考虑以“选择你自己的设备”(CYOD)来替换BYOD。 “这种混合的方法意味着公司将提供一系列可供选择的设备,用于远程和灵活的工作,用户也可以在自己的个人生活中自由使用这些设备。”

更多的平台 – 更多攻击点或者更多保护?

BYOD项目使得有多种平台需要保护。IT经理不仅需要保护运行Windows的PC和笔记本电脑,还要保护运行Android和iOS的手机和平板电脑。以此类推,企业可能需要考虑保护互联网终端设备,如传感器和可穿戴技术。

一个想要入侵基础设施的罪犯可以任意使用很多工具。 如果他们无法通过台式机或笔记本电脑入侵,那么也许可以通过移动设备。

保护移动终端需要一个稍微不同的策略,移动操作系统趋向于使用沙盒模式的应用,使彼此间相互隔离,也同时和手机操作系统(OS)相隔离。即使杀毒应用程序也采用沙盒模式,虽然不是完全无效的,但是作用也有所减小。设备上的数据是最重要的,无论是存储在设备上的数据,或是在企业网络上进行来回发送的数据,都需要保护和加密。

然而,拥有多个平台上也能够提供一些防护,只运行特定平台的设备不会被恶意软件针对性攻击的另一设备所感染。一个雇员可能有一台通过网络被感染的计算机处于隔离中,但仍然可以从一台运行完全不同的平台的智能手机上访问数据,继续工作。

购买终端安全时,所需要考虑的

购买终端安全系统时,三个最重要的关注点是,它能做什么,它是如何管理的,它能保护什么平台/设备。位于终端的这一应用程序必须包含其最基本的功能:防病毒,防间谍软件,基于主机的入侵防御和防火墙。 更先进的系统还应该包括设备和应用程序控制,补丁管理评估,URL过滤,防数据丢失,网络接入控制和磁盘加密。

该应用程序还应该具有管理功能,允许系统管理员管理部分或全部基础设施。 该控制台应该包括一个控制面板,这样管理员就可以快速访问用户,用户组和设备,同时适用于这些对象的策略。这些政策应该能够随着需求的变化,方便获取,容易创建和更新。它应该易于迅速发现并保护新的终端。然后这些政策可以加入管理功能, 进行监测,并快速,安全地修复问题。

任何终端安全系统都应该能保护所有的终端。 如果无法做到,那该产品对于企业而言就毫无用处,更为糟糕的是,会使恶意攻击者获取企业资产的访问权限。