近日,国外一家研究机构Enterprise Mobility Exchange针对企业互联网安全进行了一项调查,结果显示,移动安全对企业存在着很大的威胁,由于设备缺乏可视性会使企业面临严重的数据泄露和网络钓鱼攻击风险。

在调查研究的所有企业、个人中,有近50%的公司员工在大部分工作时间中不会用移动设备连接企业的WIFI,而是以移动数据流量、第三方热点或是公共WIFI代替。这50%的人群中,连接并使用外部网络的时间大约占据了工作时间的76%。移动互联网的普及,可以说是很大程度上方便了人们日常的办公以及提高了不少效率,但是弊端也是显而易见的,大多数人在连接网络或使用数据流量时缺乏一定的判断能力,不会考虑网络环境是否安全或进行的操作是否存在风险。无独有偶,相当一部分的企业也不知道如何去精确的监控其员工的设备数据流量以及用户分别连接、访问了哪些服务器,这远超企业安全部门的工作范畴。

企业移动安全专家Dorene Rettas表示:“研究表明,从企业角度来说,如果不知道员工使用的设备大部分时间处于何种状态下,那么也无法制定有效的安全策略来减轻威胁。此外,第三方网络的广泛使用对信息安全形成了一个盲区,如何规范化企业员工移动设备的使用,有效地解决这个问题是部分企业的当务之急。”

除了频发的数据泄露和网络钓鱼事件外,其他方面的威胁(例如不安全的应用程序、间谍软件或网络社工)同样不能掉以轻心。虽然调查中部分受访者、受访企业表示会采取一定的安全策略来降低风险,但仍有三分之一的群体无动于衷。同样,在明知可能对企业信息安全造成危害的情况下,也还是存在大约36%企业不考虑对员工进行信息安全相关培训。这,大概就叫做头铁吧。

研究中还存在一个很有趣的现象,不论自身企业水平如何,在发现了威胁的时候,大多数企业都都有一股蜜汁自信认为自己有能力去解决这些问题。有趣的点在于,这些企业几乎不会关注任何安全动态,既不会关注企业安全的相关新闻,也不会对员工做任何安全培训,同样自身也不做任何安全规定。

现在越来越多与互联网相关的工作需要对网络或程序进行长时间、持续的访问,从安全层面来说,被攻击的风险也随之增加。作为企业,为保障自身数据安全,以及使用安全纯净的网络环境是理所应当。同样如何规范员工行为也是一大关键因素。对企业网络状态、流量进行实时的监控,对员工使用设备采取相应的规范措施,部署安全团队进行信息安全相关培训。

企业数据安全事件频发,如何降低安全风险仍是一个漫长的过程,但未雨绸缪好过亡羊补牢。更高的可见性和可操作性对于安全来说,有利无害。

*参考来源:helpnetsecurity,Karunesh91编译

声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。