Cybersec Wednesday|自攜裝置安全指南:制定有效的BYOD政策以保護企業數據
在疫情過後,自攜裝置(BYOD)已變得日趨普及,除了員工能夠隨時隨地存取工作資源,更降低企業硬件成本,讓員工使用熟悉的設備可減少培訓時間和成本,適合部分資源不多的中小企。BYOD政策允許員工使用自己的手機、平板電腦或手提電腦等裝置進行工作,能有效提高了工作的靈活性,但同樣也對企業的網絡安全帶來了相對的挑戰。本地亦曾發生一宗因遺失裝置而導致嚴重個人資料外洩事件,可見實施實施BYOD政策的必要性,機構應加強對裝置的安全管理和保護措施,以及制定嚴格的數據保護政策以保障敏感信息。
BYOD政策旨在為員工使用個人設備處理工作任務提供指導和規範,同時保護企業的數據安全。該政策應涵蓋設備的安全要求、數據存儲和傳輸的加密措施、以及如何安全地存取企業資源等關鍵領域。在實施BYOD政策時,企業需要考慮如何平衡安全性與便利性、如何處理設備遺失或被盜的情況、員工離職時的數據處理機制,以及如何監控和執行政策。
BYOD政策面臨的風險:
-惡意軟件感染
個人裝置可能較少受到與企業級裝置相同程度的管理和監控,或使得它們更容易受到惡意軟件的攻擊。一旦員工的個人裝置受到感染,惡意軟件便可以透過這途徑輕易傳播到企業網絡,危及更廣泛的企業資源。
-遺失裝置導致的數據泄露
當員工的個人裝置遺失或被盜,並且該裝置存有公司的敏感數據時,可能會導致數據泄露。不僅涉及公司的內部資訊,還可能包括客戶的個人資料,對公司的聲譽和財務狀況都可能造成毀滅性的影響。
-缺乏足夠的安全措施
如果個人裝置未加密且沒有強制執行密碼保護,未經授權的人員可能很容易訪問存儲在裝置上的數據。
-無法迅速應對
在裝置遺失的初期階段,可能無法立即確定裝置的去向。這延遲了采取措施如遠程抹除裝置中數據的時間,增加了數據被非法訪問的機會。
-員工疏忽
員工可能未及時報告裝置的遺失,或在使用裝置時未遵守安全最佳實踐,如定期更新密碼等。同時,員工也可能沒有定期備份其裝置上的工作數據,導致重要信息的永久丟失。
如何緩解BYOD安全風險的實際例子:
多因素認證(MFA):要求所有使用個人設備訪問公司系統的員工,必須通過MFA。這增加了一層安全防護,即使密碼被泄露,未經授權的用戶也難以存取公司資源。
加密處理:將數據轉換成密碼或代碼的過程,以防止未經授權的訪問。通過對存儲有敏感資料的裝置進行加密處理,即使裝置被盜或遺失,數據也無法被未經授權的人員讀取。能有效保護存儲在提電腦、手機和平板電腦等移動裝置上的敏感資訊的一個基本而有效的方法。
流動裝置管理(MDM):管理和保護企業內所有移動裝置,包括智能手機、平板電腦和筆記本電腦。無論裝置是企業提供還是員工的自攜裝置,均可遠程監控、配置和保護這些裝置。
主要功能包括:
· 裝置配置和設定:自動部署Wi-Fi設定、電子郵件賬戶、VPN配置等。
· 安全管理:實施密碼政策、加密存儲的數據、安裝或卸載安全軟件。
· 監控和報告:追踪裝置使用情況、監控合規性、生成安全報告。
· 遠程操作:如遠程鎖定或抹除遺失或被盜的裝置上的數據。
流動應用程序管理(MAM):管理企業移動應用程序的分發、更新和安全。與流動裝置管理(MDM)不同的是,MAM更加關注於應用程序層面的控制,而不是整個裝置。
MAM允許企業控制哪些應用程序可以被安裝,以及這些應用程序如何與企業數據交互。
主要功能包括:
· 應用程序設定和管理:配置應用程序設定(如API鍵、服務器地址)並管理應用程序的使用權限。
· 應用程序分發:企業可以通過自己的應用商店分發內部開發或購買的應用程序。
· 數據隔離和加密:保證企業應用程序和數據與個人應用程序和數據分開,並對企業數據進行加密。
· 遠程管理應用程序:包括更新應用程序、刪除不再使用的應用程序和防止敏感數據洩露。
採用資料外洩防護(DLP):用來防止敏感資訊無意或有意洩露至企業外部的安全措施。DLP系統通過預定義的政策來識別、監控和保護敏感數據,防止這些數據通過電子郵件、即時消息或網絡傳輸等渠道外泄。主要功能包括對敏感數據進行自動識別、對資訊流進行實時監控,以及在數據嘗試非授權傳輸時自動干預阻止。
虛擬桌面基礎設施(VDI):允許員工通過任何裝置安全地遠程訪問他們的工作環境,所有的處理和數據存儲都發生在中央伺服器上。這意味著重要數據絕不離開伺服器範圍,即使員工使用個人裝置進行遠程工作,數據泄露的風險也大大降低。VDI還提供了一個一致的工作環境,無論員工從何處訪問,都能獲得相同的桌面體驗。
為制定適用於 BYOD的政策,組織可參考ISO 27001、美國國家標準暨技術研究院NIST SP 1800-22或其他相關指引,以下是與BYOD有關的ISO 27001控制措施:
A.6.2.1 移動裝置政策
制定專門的BYOD政策:明確哪些類型的個人裝置可用於工作目的,包括安全配置要求、裝置加密措施、以及如何安全連接到企業網絡(例如,使用虛擬私人網絡VPN)。
A.6.2.2 遠程工作
遠程工作安全措施:為使用個人裝置的員工制定遠程工作的安全指導原則,覆蓋如何安全存取、處理和儲存企業數據。包括對使用公共Wi-Fi的限制和推薦使用安全的網路連接。
A.13.2.1 資訊傳輸政策和程序
加強資訊傳輸安全:確保通過個人裝置傳輸的所有敏感數據都進行加密,並通過安全的傳輸管道進行。制定政策和程序來管理和保護資訊的傳輸,預防資料在傳輸過程中被攔截或洩露。
A.13.2.3 電子訊息
電子郵件和訊息加密:確保所有包含敏感資訊的電子郵件和即時訊息在透過個人裝置發送時進行加密。可能需要使用端對端加密的通訊應用和電子郵件加密解決方案。
A.8.1.1 資產清單
維護個人裝置清單:對允許訪問企業網路和數據的個人裝置進行清單化管理,並定期審查這些裝置的安全狀態。
A.8.2.1 資訊分類
對數據進行分類:對通過個人裝置存取或處理的數據進行分類,確保對所有敏感和機密資訊實施更高級別的保護。
A.9.4.1 資訊訪問限制
訪問控制:實施強大的訪問控制措施,確保員工僅能訪問其工作所需的最少數據和資源,減少萬一裝置遺失時被未經授權的人員訪問存儲在裝置上的機密數據的風險 。
A.12.3.1 資訊備份
定期備份數據:確保通過個人裝置處理的所有工作相關數據都有備份,並且備份數據同樣受到保護,以防因裝置遺失而導致數據丟失或損壞。
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為你解決,如果你懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
關於 Cybersec Wednesday
每逢星期三,HKIRC網絡安全團隊都會挑選一個網絡安全主題,以文章、貼士或最佳實踐的形式與大家分享。 請留意每週三的更新,定時掌握最新鮮的網絡安全資訊。