說(shuō)到企業(yè)內(nèi)部網(wǎng)絡(luò)的惡意網(wǎng)址過(guò)濾和上網(wǎng)行為管理,CIO和CTO們一定都不陌生,很多單位都有購(gòu)買(mǎi)的設(shè)備或自己搭建的服務(wù)器來(lái)執(zhí)行相關(guān)的工作。
通常帶有Web Filter功能的網(wǎng)絡(luò)會(huì)如圖所示。
圖1
這樣的架構(gòu)非常經(jīng)典,長(zhǎng)期以來(lái)也有效緩解了惡意代碼入侵內(nèi)網(wǎng)的問(wèn)題。但是隨著近年來(lái)智能手機(jī)、平板電腦等BYOD設(shè)備不斷的進(jìn)入企業(yè)網(wǎng)絡(luò),管理員們突然發(fā)現(xiàn)有點(diǎn)力不從心了。
有的單位推出了MDM的解決方案,但大多要在BYOD設(shè)備上安裝插件,如果是公司發(fā)的那還好說(shuō),裝了就裝了。但如果是員工自己買(mǎi)了自己用的,憑什么讓人安裝插件呢?
不讓裝插件,好。沒(méi)關(guān)系,我們的Web Filter是網(wǎng)關(guān)處的,只要你鏈接惡意網(wǎng)址或其他非法網(wǎng)站,我當(dāng)你是PC一樣的攔截即可。
可是有一天,管理員們突然發(fā)現(xiàn),雖然已經(jīng)在Web Filter上加入了過(guò)濾策略,很多員工的智能手機(jī)和平板依然飽受惡意代碼威脅,色情網(wǎng)站和非法網(wǎng)址等依然能夠在員工的手機(jī)和平板上訪問(wèn),還有那些不被允許的炒股軟件和聯(lián)網(wǎng)游戲……
難道是這些員工用了什么奇怪的方法?
一查之后,發(fā)現(xiàn)大家什么都沒(méi)改過(guò),都是很普通的用戶。
很多手機(jī)App等移動(dòng)互聯(lián)網(wǎng)開(kāi)發(fā)商為了讓智能設(shè)備享受更便捷的通道,往往給予了它們和PC不同的訪問(wèn)路徑和網(wǎng)址。我們拿最簡(jiǎn)單的新浪網(wǎng)為例子。
你在PC上訪問(wèn)www.sina.com.cn時(shí)。網(wǎng)址不會(huì)改變,但你在手機(jī)上訪問(wèn)時(shí),系統(tǒng)會(huì)自動(dòng)跳轉(zhuǎn)到sina.cn,如果你的Web Filter里只設(shè)定過(guò)濾www.sina.com.cn,而沒(méi)有設(shè)定sina.cn ,那使用手機(jī)的用戶便可以不受約束的突破攔截了。
圖2
當(dāng)然,以上的舉例子還都是危害比較小的,如果企業(yè)內(nèi)網(wǎng)用戶訪問(wèn)的是含有惡意代碼的網(wǎng)址和色情網(wǎng)站的話,網(wǎng)絡(luò)管理員估計(jì)就會(huì)頭疼了。
BlueCoat中國(guó)區(qū)產(chǎn)品市場(chǎng)經(jīng)理申強(qiáng)說(shuō)過(guò)這么一個(gè)事情:“我們?nèi)ツ?2012年)抓到一個(gè)假冒的skype的網(wǎng)站,本身他是透過(guò)一個(gè)合法的下載網(wǎng)絡(luò)去下載,但是這個(gè)合法的下載網(wǎng)站鏈接被動(dòng)了手腳,被黑客攻進(jìn)去了。以后你去下載的時(shí)候這個(gè)頁(yè)面上就有一個(gè)惡意代碼把你掃入一個(gè)俄羅斯網(wǎng)站里面去。
當(dāng)時(shí)BlueCoat發(fā)現(xiàn),一個(gè)用戶在合法的網(wǎng)站上下載skype的時(shí)候,界面跳轉(zhuǎn)到之前給PC注入過(guò)惡意代碼的俄羅斯服務(wù)器里面。
經(jīng)過(guò)我們的引擎分析后發(fā)現(xiàn),惡意代碼會(huì)隨著skype下載到你的系統(tǒng)里。然后這個(gè)系統(tǒng)一周之內(nèi)大概換了52個(gè)新的域名,不斷的改變,防止別人發(fā)現(xiàn)他們攻擊的行為,傳統(tǒng)的攔截方式根本就攔不住”。
以下這張圖可以給大家做個(gè)參考,圖中顯示,在社交網(wǎng)絡(luò)、新聞/媒體、休閑方面,移動(dòng)使用已經(jīng)全面超過(guò)了桌面使用。我們之前在桌面端設(shè)定的靜態(tài)過(guò)濾、攔截策略,很可能在這個(gè)移動(dòng)的時(shí)代毫無(wú)用處。
圖3
IBM 的預(yù)測(cè)報(bào)告顯示,鑒于智能手機(jī)和平板電腦在企業(yè)中的廣泛使用,預(yù)計(jì) 2011 年與 2010年相比,將有多達(dá)兩倍的移動(dòng)設(shè)備受到攻擊,其中包括“要求員工使用自己的移動(dòng)設(shè)備”(BYOD) 的做法,因其允許個(gè)人設(shè)備訪問(wèn)公司網(wǎng)絡(luò)。除了惡意攻擊的威脅,公司還面臨著盜竊和用戶疏忽造成數(shù)據(jù)遺失的巨大風(fēng)險(xiǎn)。近期一項(xiàng)針對(duì)移動(dòng)設(shè)備安全的調(diào)查顯示,超過(guò) 70 % 專(zhuān)業(yè)人員表示使用網(wǎng)絡(luò)不謹(jǐn)慎的員工對(duì)安全的威脅性比黑客的更大。
在不了解用戶最容易遭受何種內(nèi)容類(lèi)別攻擊的情況下,保護(hù)最容易受操縱或遭受行為攻擊的用戶是一件極具挑戰(zhàn)的事情。
BYOD時(shí)代,人們需要怎樣的內(nèi)網(wǎng)安全過(guò)濾方案
移動(dòng)用戶代表了目前企業(yè)內(nèi)復(fù)雜且不斷成長(zhǎng)的群體。那些能夠以更安全的方式來(lái)管理移動(dòng)設(shè)備的企業(yè)可以幫助員工提高工作效率,從而使他們獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。
將企業(yè)級(jí)網(wǎng)絡(luò)安全解決方案擴(kuò)展到移動(dòng)設(shè)備是企業(yè)朝著保護(hù)其員工安全性邁出的良好第一步。通過(guò)消除移動(dòng)安全漏洞和對(duì)企業(yè)資產(chǎn)訪問(wèn)權(quán)限實(shí)施相關(guān)的策略控制,企業(yè)可以主動(dòng)保護(hù)其資產(chǎn)免受移動(dòng)環(huán)境中各種層出不窮的威脅的侵?jǐn)_,同時(shí)充分利用移動(dòng)員工的創(chuàng)新提高工作效率。
以BlueCoat的移動(dòng)設(shè)備安全 (MDS) 服務(wù)為例,該方案可將 Blue Coat設(shè)備上的威脅保護(hù)和策略控制擴(kuò)展至位于任何位置的移動(dòng)設(shè)備用戶。MDS服務(wù)是Blue Coat云服務(wù)的一部分,后者是無(wú)縫保護(hù)員工從任意設(shè)備或網(wǎng)絡(luò)訪問(wèn) Web 或企業(yè)內(nèi)容,并提供一種基于網(wǎng)絡(luò)的方法以保護(hù)和控制企業(yè)網(wǎng)絡(luò)內(nèi)外的移動(dòng)設(shè)備的全局基礎(chǔ)設(shè)施。
與只阻止個(gè)人設(shè)備上的全部應(yīng)用程序的設(shè)備級(jí)解決方案不同,MDS 服務(wù)使您能夠通過(guò)跨本地移動(dòng)和移動(dòng)瀏覽器 (m.) 應(yīng)用程序應(yīng)用應(yīng)用程序和操作控制啟用移動(dòng)設(shè)備。借助基于網(wǎng)絡(luò)的細(xì)化應(yīng)用程序控制和 Web 過(guò)濾,MDS 服務(wù)使您能夠?yàn)橛脩籼峁┧璧脑L問(wèn)并確保企業(yè)所需的安全。因此,采用一種更加靈活、低接觸的方法確保移動(dòng)設(shè)備安全。
MDS 服務(wù)可將全局威脅保護(hù)、通用策略和統(tǒng)一報(bào)告擴(kuò)展至具有以下功能的移動(dòng)設(shè)備,如:
- 準(zhǔn)確的 Web 過(guò)濾和惡意軟件保護(hù)
- 內(nèi)聯(lián)反病毒掃描
- 細(xì)化的應(yīng)用程序和操作控制
- 實(shí)時(shí)統(tǒng)一報(bào)告
- 企業(yè)級(jí)加密連接方法