BYOD

解決工作場所 BYOD 安全防護風險的 IT 指南

堅持不採用 BYOD 政策已經成了一場在逆境中求勝的戰役。光是在過去五年間,技術和工作場所的習慣模式就出現了一些重大轉變。這些新的轉變暗藏著新的安全風險,我們該如何因應?

雲端運算技術興起後,連帶使得個人智慧型裝置及在家工作模式蔚為盛行,於是,BYOD 政策 (自備個人裝置) 成了相當受歡迎的做法。這類政策允許員工使用自己慣用的行動裝置 (筆記型電腦、智慧型手機等) 工作,不需受限於公司配發的裝置。這類政策當然有很多優點…能讓員工開心,再者,公司往往因為如此而不需要提供 (及採購) 新裝置,尤其是行動電話。但是,凡事都有一體兩面。BYOD 趨勢除了帶來優點,也衍生出一定程度的安全隱憂。以下探討最主要的安全隱憂,以及企業該如何擬定 BYOD 策略才能解決相關問題。

何謂 BYOD?其運作方式是什麼?

BYOD 是一種相當新穎的措施,企業組織透過這項措施允許員工使用自己的個人裝置處理工作。智慧型手機是最常見的例子,不過,BYOD 模式的範圍還包括筆記型電腦、平板電腦,甚至也適用於穿戴裝置。時下流行所謂的「IT 消費化」,也就是在企業環境中使用消費性軟體和硬體,而 BYOD 就是其中一種模式。在 BYOD 模式下,企業組織通常會同時管制員工自備的裝置及公司提供的裝置,不過,也有其他企業選擇採用「影子 IT」這樣的做法。「影子 IT」是指企業開放使用硬體和軟體,但組織的中央 IT 部門並不提供支援。

> 瞭解 MOVEit 何以能夠防範貴公司發生資料外洩事件。

BYOD 有何優點?

對 BYOD 使用者而言,能夠自由運用自己選擇的個人裝置、不分時間地點都能工作,這就是相當大的優勢。而從雇主的立場來看,公司既不需要提供行動裝置給員工,還能讓個人裝置與中央通訊系統保持連線,從而省下不少成本,這些也都是 BYOD 的優點。

BYOD 有何風險?企業該如何因應?

BYOD 政策既有其優點,難免也會導致一些相當棘手的問題。IT 團隊需要設法熟悉隨著 BYOD 而來的各種安全問題。以下舉例說明幾項最嚴重的 BYOD 相關隱憂,以及組織做好自我防護的方式。

管理遺失或遭竊的裝置

您是不是經常因為將手機遺忘在餐廳座位上而必須回頭去拿?假設您回到原地卻找不到手機,這才發現手機被偷了。此時此刻的心情真是焦躁難安,對吧?再想像一下,要是手機中存了機密的業務資料,風險豈不是馬上倍增?由於價值的緣故,行動裝置本來就是容易遭竊的物品,現在,為了盜用並轉售或利用個人資料而偷竊手機的情形更是越來越普遍。一台裝置同時存放了個人資料和非公開的公司資料,資訊外洩的風險真的很大。

為降低遺失 BYOD 裝置可能引發的風險,使用者最好登錄「尋找我的裝置」及遠端清除服務。這類服務不但能夠讓使用者追蹤不小心遺落在某處的裝置,不得已時還能將裝置中的資料清除得一乾二淨。話雖如此,所有企業使用者仍應養成定期備份資料的習慣。擬定備份與復原程序有助於大幅減輕裝置遺失或遭竊引發的餘波。

密碼保護

許多使用者並未運用基本常識保護智慧型裝置。無論是公司裝置或私人裝置,所有裝置都該採用強式密碼保護。許多人不使用密碼保護自己的裝置,但也有許多人用了密碼卻未奉行最佳實務,只為了方便而使用簡易密碼。試想:如果您是小偷,要猜到密碼數字組合是「1-2-3-4」一點也不難,不是嗎?事實上,小偷嘗試輸入的第一個密碼很可能就是這個組合。只要為裝置設定強式密碼/通行碼,組織就等於做好了遏止攻擊活動的第一道防線,這也是一道更重要的屏障。再者,若能運用指紋或臉孔識別之類的生物辨識出入控制技術,安全程度相對更有保障。

網路監控與 BYOD

只要是在設想週到的前提下採行 BYOD,就能給予員工更大的自由。不過,要是實施方式不恰當,對 IT 團隊而言,除了必須努力追趕不斷變化的產能需求、應用程式及網路使用量之外,無疑又多了一層負擔。IT 團隊可以運用網路監控工具完整存取這類資訊,也能存取 BYOD 和位置之類的其他資訊。只要能掌握這類指標,IT 團隊就能實施更好的安全防護措施,還能規劃更完善的 Wi-Fi 及發揮其他功用。

透過管理行動裝置保護裝置安全

實施 BYOD 政策的企業組織應採行完善的行動裝置管理 (MDM) 解決方案,以利保護使用者的裝置。Enterprise Mobility 管理軟體能強制實行特定公司資安原則,保證只允許獲准的裝置存取公司網路。

MDM 軟體也能在裝置下載惡意行動應用程式時發揮防護作用。許多危險的行動應用程式只有一個目的:破壞裝置軟體並存取儲存在裝置中的非公開資訊。若企業組織在辦公室裡採行 BYOD 計畫,由於公司和個人資料全都儲存在同一台裝置中,這類應用程式確實是非常大的隱憂。MDM 解決方案可以保證只能將可信任的應用程式下載至裝置中,讓企業組織安心無虞。值得注意的是,即使是公司內部開發的應用程式,仍有可能出現易遭攻擊的漏洞。企業應確定自己的行動應用程式符合特定安全防護標準,以利防範資料外洩。

加密的重要性

加密絕對是裝置安全防護不可或缺的重要措施。未加密的資料很容易在傳輸中或閒置時遭到攔截。除了能防範攻擊者存取行動裝置上的非公開資訊之外,加密技術還能發揮其他功能。密碼確實能夠阻止攻擊者存取裝置,而加密技術還會將攻擊者仍有能力規避密碼的可能性列入考量。倘若能採行所謂「深度防禦」的多層次安全防護機制,企業組織就能進一步強化 BYOD 裝置的防禦功能。傳輸中的資料往往是最容易遭受攻擊的一環。企業組織若願意投資採購深度夠強的加密工具,就有能力保護自己的網路基礎架構,也能保護所有需經由公用 Wi-Fi 網路傳輸的公司資料。

行動裝置易有助長 DDoS 攻擊之虞

行動裝置 API 鮮少設定適度的速度限制,往往容易遭受 DDoS 攻擊。利用 DDoS 攻擊產生的要求源自網路內部,因此更難以偵測。未來的 DDoS 可能會利用行動裝置入侵特定的應用程式層資源瓶頸。這類攻擊往往採用典型的查詢,比「外來的 DDoS 攻擊」更難防,因此,資安團隊應留意這種手法。

此文章轉載自IPSWITCH中文官方部落格 https://blog.ipswitch.com/tw/the-it-guide-to-handling-byod-security-risks-in-the-workplace

什麼是網路探索軟體?

現代企業網路變得比以前更加複雜,這令系統管理員和網路管理員更難得知有甚麼連接到網路。

連接和斷開網路變得更頻繁,特別是在有自帶設備(BYOD)的公司,員工可以連接筆記本電腦和手機等個人設備。

設備的類型和品種也增加了。除電腦和工作站之外,典型的網路還包括印表機、複印機、路由器、交換機、VoIP盒和其他管理網路設備。

製作網路清單

有時候,網路管理員都需要對所有已連接的網路設備進行審計。記錄和追踪所有設備對配置管理、容量規劃和安全來說是非常重要的。所以,即使您在設備連接下了很多苦工,您也需要一個工具來執行此操作。網路的實際情況可能會令你震驚。

網路探索工具可以查找和識別連接到您網路的所有內容、製作一個關於如何互相連接的拓撲,並為訂劃的目標製作詳細報告。 對網路管理來說,這是必要的工具。

成千上萬的IT團隊信賴監控解決方案。立即試用網路管理工具 WhatsUp Gold 2018!

有關設備和網路連接的基礎知識

當一個設備加入網路時,動態主機配置協議(DHCP)伺服器會向其發出IP地址,這個地址在這網路上是獨一無二的,但世界上有機會會有其他設備擁有由其網路分配的相同地址。

實際上獨一無二的只有媒體訪問控制(MAC)地址,每個設備的網路適配器都有一個獨有的MAC地址。所以,雖然IP地址是由軟體決定的,並且可以改變,但MAC是由硬體決定的,無法更改。

這類似於密碼與指紋作為人的身份識別之間的區別,就像多重身份識別對人們來說最安全一樣,同時使用IP和MAC地址對網路安全來說是最好的。

網路探索、網路監控和資產管理

網路探索工具使用多個程序來調查和理解網路。

簡單的網路管理協議(SNMP)是非常重要的,大多數網路設備都支援SNMP,SNMP是互聯網標準協議,提供對IP網路上的節點或連接點(如伺服器、路由器、網橋和集線器)的監控。

Ping在網路管理中是普遍的工具,它會自動檢查每個設備的狀態包括是否已連線。

地址解析協議(ARP)使用SNMP來查看設備緩存從而建構MAC地址資料庫。當知道哪些設備是互相連接的,就能夠探索網路的拓撲結構。

WhatsUp Gold 的探索過程可生成所有聯網設備的完整清單,包括設備的類型、供應商、序列號、韌體 (Firmware)、硬體轉速以及設備上安裝的模塊。 客戶通常使用此功能製作安裝在伺服器或網路設備上的軟體報告,以完成庫存審計。

完成探索後,WhatsUp Gold 會自動分配設備的角色,來指定收集哪些數據和啟用補救措施。您可以使用設備角色編輯器輕鬆修改預設設備的角色和子角色,同時能夠建立新角色。探索過程還會標識地圖上的相依性 (dependencies)為方向箭頭,通過點擊滑鼠,就可以使用相依性的數據來減少不必要的警報,大大減少錯誤警報並節省排除故障的寶貴時間。

硬體拓撲探索

構建網路拓撲圖助您對自己的網路有更深入的了解,像 WhatsUp Gold 這樣的工具使用了結合 Layer2 /3的拓撲結構來確定設備連接到哪些設備。這些Layer來自用於設計和理解網路的OSI模型 (Open System Interconnection)。

在最基本的層面上,Layer 2協議探索數據鏈路和端對端的連通性,並使用MAC地址。Layer 3協議協助探索其他連線設備,並使用IP地址。 例如,使用 Layer 3,您可以查詢啟用了SNMP的設備,以便構建包含設備位置、屬性和角色的網路地圖。

儘管 Layer 3協議被廣泛使用,但 Layer 2協議往往更具專有性,因此使用鏈路層發現協議(LLDP)(如 WhatsUp Gold 所能做到的)對確保來自其他製造商的設備信息可用於其他鄰近設備來說是必要的。

使用集成的 Layer2 /3分析可以全面了解如何連接不同的網路設備,因此您可以製作精確反映網路功能的拓撲圖。

WhatsConnected 通過各種創新的 Layer2 /3探索技術(包括ARP、SNMP、SSH、虛擬基礎架構管理、IP尋址、CMP和LLDP以及供應商專有機制)構建了網路的完整圖像。

立即免費試用 WhatsConnected 的網路圖軟體來看看多有效率吧。

持續的網路監控和資產管理

現在大多數系統管理員都在管理異構網路,其中包括來自許多不同供應商各種類型和型號的設備。由於供應商有固定的命名標準,如果您不按自己的一致慣例將設備重命名,當您檢查它時,就會看到各種混亂不一的名稱。讓IT人員按常規執行此操作可能會非常困難。網路探索當然有幫助,但只能有助於您的網路管理流程。

而且,由於您網路上的設備應該有固定的命名標準,因此您應該嘗試保持標準化的拓撲結構。像 WhatsUp Gold 網路探索軟件這樣的軟體會提供可視化功能,為您提供圖像顯示的網路佈局。可預測的標準拓撲能使了解狀態和識別潛在問題變得更加容易。這在電子商務網站等商業應用中尤其重要。

尋找像 WhatsUp Gold 這樣具有強大報告功能的工具。根據需要,這個產品可以按照你的需要製作超過200種不同類型的報告。您可以輕鬆得到比其他人更多的訊息,更容易根據他們的需求量身定制報告,配合其他部門的計劃。

定期掃描您的網路,將其用作網路監控工具。你應成為網路管理員,而不是網路偵探。網路探索不是系統管理員面臨的唯一挑戰,通過《Ipswitch 的快速故障排除指南》(PDF)了解更多吧。

本文轉載自官方網站部落格

網路安全問題:印表機正在遭受網路攻擊?

在今天的數位世界中,沒有什麼是安全的。駭客攻擊網路印表機的事件也有所聞,要知道您的網路印表機遭受攻擊並不是一件容易的事,但這種類型的攻擊如何影響您的網路?更重要的是如何監控它?

這一切都來自德國波鴻魯爾大學(Ruhr-UniversitätBochum)的一項研究,他們分析了來自幾家供應商的20台印表機和多功能印表機(MFP)。他們發現每個單元都受到至少一個漏洞的影響。這包括可用於使設備崩潰或獲取提供對組織網路的訪問的敏感訊息的缺陷

該研究還提到,駭客還可以存取所存儲的傳真號碼,電子郵件聯繫人和本地用戶的PIN以及SNMP community strings等訊息。由於可以使用電子郵件到印表或掃描到FTP將它們整合到網路中,所以MFP的情況會變得更暗。從這一點來看,攻擊者可以獲取LDAP,POP3,SMTP,outbound HTTP Proxy,FTP,SMB和WebDAV的密碼。他們還可以獲取IPSec pre-shared密鑰。

研究人員發現,這些攻擊會通過惡意網站使用跨站點印表(XSP)和跨網域資源共享通過網路或網際網路遠端啟動。

接下來的問題是如何監控?

印表機攻擊的一種工具是CORS欺騙和跨站點印表(XPS)的組合,它允許攻擊者通過基於Web的攻擊訪問印表機,使用隱藏的IFrame將HTTP POST請求發送到 Port9100 / tcp受害者內部網路中的印表機。使用Scrutinizer之類的工具可以監控和警告這種類型的網路流量。

細分資源

第一件事是建立一個名為“印表機”的IP組。這為我們提供了一個可過濾的元素,可以在構建報告時使用。為此,請點擊Admin Tab > Definitions > IP Groups。在此,您可以建立新群組並添加各種IP。請注意,您有很多方法可以定義IP範圍。也許您的印表機在某個IP範圍或子網中?

過濾該流量

下一步是過濾到IP組的9100 TCP流量,到“Status Tab”選項中選擇這些印表機所在的路由器。然後點擊Filter / Details按鈕並選擇“filters”。增加剛剛建立的印表機組,選擇“Well Wellown Port”,然後輸入9100會將時間範圍更改為每五分鐘一次。這會強制Scrutinizer在顯示數據後持續回報最後五分鐘的報告。

添加閾值

現在我們需要添加一個監視器。點擊 filter/thresholds 按鈕,然後點擊“thresholds”。首先,我將閾值設置為低,以便您可以看到網路上已存在哪種類型的9100 TCP流量。隨後您可以將IP排除利用過濾器或群組。基本上建立一個允許流量的白名單。如果想看建立此類監視器的另一個例子,請務必查看Plixer的Adam Howarth在使用網路流量智能監控POS時寫的網誌

還有更多…

在此只展示了一種監控網路上此類流量的方法。但過濾和監控NetFlow / IPFIX流量中發送的任何元素的能力有很多可能性。如果您需要改善安全狀況並獲得更深入的可見性,歡迎下載評估Scrutinizer來為您的網路流量提供更深入的報告。

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

使用NetFlow監控BYOD設備

由於增加的網路負載以及它們可能帶來的新安全風險,使用Netflow監控BYOD正成為大多數人的網路的一個大問題。在這篇中,希望能夠闡明思科最近推出的一些新功能,以幫助跟踪網路上的行為。

思科無線NetFlow:

由於大多數進入網路的BYOD都可能連接到您的無線網路,因此思科採用AVC指標導出NetFlow。這允許我們使用Cisco ISE 或Active目錄通過MAC地址,SSID,接入點甚至用戶名稱追踪用戶的設備。以及查看有多少主機連接到每個SSID或AP。這使其在性能和安全空間都有益。

應用程式感知NetFlow:

獲取用戶/主機連接的用戶名和IP非常好,但應用程式訊息更好。截至2014年11月,NetFlix消耗了35%的互聯網流量(來源)。這導致企業網路的強力推動來監控網路,尤其是在頻寬非常昂貴的遠距辦公室。使用我們的思科WLC中的NetFlow以及從ISE給我們的指標,我們可以輕鬆地深入研究這個並抓住罪魁禍首!

除了捕捉非工作行為之外,您還可以幫助阻止一些辦公室盜版者在網路上下載受版權保護的資料。現在,我們可以輕鬆快速輕鬆地捕獲Bit Torrent流量或任何可疑流量,並輕鬆降低您的MTTK(平均知曉時間)並幫助解決您可能遇到的任何網路問題。

正如您從上圖中看到的那樣,列出了可疑IP以及登錄用戶,現在允許我們使用Cisco ISE integration在NetFlow收集器的GUI內從無線IP中踢出它們。

正如您所看到的,監控BYOD已經發生了相當大的變化,從跟踪網路中的MAC地址和將多維數據集轉移到多維數據集的過程中,試圖讓某人下載大文件。由於身份服務並使用戶意識到他們的流量正在被監控和看到,現在它變得更加容易。如果您在網路上設置監控BYOD有任何疑問或需要任何幫助,請隨時與我們聯繫!

從NetFlow報告查看監控的BYOD流量

大多數公司都認為BYOD(自帶設備)可以讓企業從員工中獲得更高的生產力。正因為如此,移動工作者正在崛起,它正在創造一個新的IT挑戰。IDC Health Insights項目主管Lynne Dunbrack表示,“某些自帶設備策略會帶來一定的安全風險:例如,將移動惡意軟體引入醫院網路”。一些擁有BYOD的醫院正在限制BYOD設備僅限互聯網接入。為什麼?

“在過去一年裡,BYOD確實成為我們日益增長的問題,”北卡羅來納州Rex Healthcare的高級網路架構師Bryan Safrit在一份聲明中表示。“我們看到的更多流量來自iPhone,iPad和Android設備。如果沒有區分用戶和執行政策的能力,我們的BYOD流量可能會超過我們的頻寬。“雇主如何確保流量的增加實際上與工作相關?而且,公司如何保護自己免受工作場所BYOD爆炸流量帶來的固有風險?這是一個棘手的問題。首先讓我們了解問題。

儘管生產力有所提高,但一些員工喜歡在Scrabble上回應他們,或者回應個人Skype消息等。在過去,公司可以查看電話費,以查看員工當天是否正在撥打或接聽過多的個人電話。今天,這並不是那麼容易,尤其是當像Facebook.com這樣的網站通過SSL連接輕易連接angrybirds遊戲時:https://apps.facebook.com/angrybirds/。

我到目前為止追踪BYOD設備的一些最佳方法是使用NetFlow,sFlow或IPFIX數據:

  • 過濾MAC地址。具體而言,可以使用供應商ID。
  • 過濾專門為無線設備預留的子網
  • 與Cisco ISE或Enterasys Mobile IAM整合

過濾MAC或IP地址:

在使用無線網路時,我們當然可以要求員工管理自己的行為。但是,我們仍然需要使用網路流量報告工具檢查流量,例如NetFlow Analyzer,它可以過濾MAC地址的供應商ID(例如iPhone):

上面報告中的更改以查看過濾後的MAC地址訪問的主要網域可能會生成BYOD流量報告解決方案,其中包含以下信息:

當發現違規者時,對不當行為施加後果,並且在員工之間傳播消息。如果管理員想要查看用戶已在網路上驗證了多少設備,則許多防火牆(例如Cisco ASA,Palo Alto Networks,SonicWALL)支持NetFlow或IPFIX並在其導出中提供用戶名。如果不這樣做,這些流量出口可以與Microsoft Active Directory服務器,Cisco ISE或Extreme Mobile IAM相關聯,以收集用戶名稱與詳細信息。

與Cisco ISE或Enterasys Mobile IAM整合

Extreme Mobile IAM解決方案還可用於跟踪BYOD。這些系統確定設備的類型(例如iPhone,Android,筆記本電腦等),並考慮在網路上進行身份驗證的用戶名,然後將策略下推到將處理設備通信的網路上的交換機。這種類型的BYOD流量監控允許管理員跟踪BYOD設備甚至對它們進行分組:

深入了解上面的操作系統,找到誰在驗證這些設備以及他們產生了多少流量。