"جلب الجهاز الخاص بك" يستخدم ليعني الهواتف وأجهزة الكمبيوتر المحمولة. في معظم البيئات اليوم ، يعني ذلك أيضًا الساعات الذكية ، وأجهزة تتبع اللياقة البدنية ، وأجهزة السمع (سماعات الأذن الذكية) ، والحلقات الذكية ، ونظارات الواقع المعزز ، والأجهزة الطبية القابلة للارتداء ، وقائمة متزايدة من الأجهزة الغنية بالمستشعرات التي تتصل بهدوء بهويات الشركات والشبكات وتدفقات البيانات. بالنسبة لفرق تكنولوجيا المعلومات ، تعد BYOD القابلة للارتداء مشكلة أمنية لأنها توسع سطح الهجوم دون توسيع سطح التحكم. من السهل تفويت هذه الأجهزة في مخزونات الأصول ، ومن الصعب إدارتها باستخدام أدوات نقاط النهاية التقليدية ، وغالبًا ما يتم ربطها بهاتف شخصي يصبح جسرًا بين أنظمة الشركات والنظم الإيكولوجية للسحابة الاستهلاكية.
كما أن الأجهزة القابلة للارتداء تغير طبيعة "التعرض للبيانات". لم يعد الأمر يتعلق فقط بالملفات التي تغادر الشبكة. يتعلق الأمر بمحتوى الإشعارات المرئي على المعصم ، والميكروفونات التي يتم تنشيطها في غرفة المؤتمرات ، وأجهزة راديو Bluetooth السلبية التي يمكن فحصها في الرواق ، وبيانات الصحة أو الموقع الحساسة للغاية بموجب لوائح الخصوصية. والنتيجة هي فئة المخاطر التي تقع عند تقاطع أمن نقطة النهاية والهوية والأمن المادي والخصوصية والحكم.
لماذا تختلف الأجهزة القابلة للارتداء عن BYOD الكلاسيكية
عادة ما يتم تصميم الأجهزة القابلة للارتداء حول الراحة ، والاتصال الدائم ، والتكامل العميق مع النظم الإيكولوجية الاستهلاكية. حتى عندما يحتوي الجهاز القابل للارتداء على ميزات صديقة للمؤسسات ، لا تزال العديد من عمليات النشر تعتمد على الهاتف المصاحب والخدمات السحابية للبائع. هذه البنية تخلق العديد من الخصائص الأمنية التي يجب أن تعاملها تكنولوجيا المعلومات على أنها "افتراضات افتراضية":
- غالبًا ما تكون الأجهزة القابلة للارتداء غير مرئية لإدارة الأصول واكتشافها لأنها لا تنضم إلى المجال ، ولا تدير وكلاء تقليديين ، وقد لا تصادق أبدًا مباشرة على خدمات الشركات.
- الجهاز المرافق يهم بقدر ما يمكن ارتداؤها. إذا تم اختراق الهاتف ، يصبح الجهاز القابل للارتداء امتدادًا لتلك التسوية من خلال الإشعارات ورموز التطبيق والاتصالات المقترنة.
- واجهة المستخدم مقيدة. يوافق المستخدمون على المطالبات بسرعة ، وينظرون إلى التنبيهات ، ويقبلون الإقران أو الأذونات بأقل سياق.
- غالبًا ما يكون نموذج الأمان محددًا للبائع ويتم تحديثه على إيقاع المستهلك ، والذي قد لا يتوافق مع التحكم في تغيير المؤسسة.
- أجهزة الاستشعار وأجهزة الراديو هي "ميزة"، وهذا يعني أن الجهاز بنيت لهذا الغرض لالتقاط ونقل ومزامنة المعلومات بشكل مستمر.
بالنسبة لمتخصصي تكنولوجيا المعلومات ، فإن الوجبات السريعة الرئيسية هي أنه لا ينبغي تقييم الأجهزة القابلة للارتداء على أنها "هواتف صغيرة". وهي أجهزة الحوسبة المحيطة. يتم توزيع مخاطرها عبر الهوية ، ورؤية البيانات ، والمساحة المادية ، وسلسلة التوريد.
أنواع قابلة للارتداء شائعة تدخل مساحات المؤسسة
الفئة القابلة للارتداء أوسع من الساعة الذكية. في العديد من المنظمات ، تظهر فئات الأجهزة التالية في المكاتب والمختبرات ومناطق الإنتاج:
- الساعات الذكية وأجهزة تتبع اللياقة البدنية التي تعكس الإشعارات ، وتدعم المساعدين الصوتيين ، وتوفر في بعض الأحيان الاتصال الخلوي.
- السماعات التي تدمج الميكروفونات والمساعدين الصوتيين ومعالجة المكالمات وأنماط مرور الصوت التي يمكن استخدامها في المساحات الحساسة.
- الحلقات الذكية المستخدمة لميزات الراحة ، والإشعارات ، والمقاييس الصحية ، أو في بعض الحالات الوصول القائم على القرب.
- نظارات AR / VR المستخدمة للمساعدة عن بعد أو التدريب أو الخدمة الميدانية أو التقاط الوسائط الشخصية.
- الأجهزة الطبية القابلة للارتداء المستخدمة للمراقبة التي يمكن أن تقدم بيانات شخصية منظمة في شبكات الشركات والسجلات.
حتى عندما لا يلمس الجهاز القابل للارتداء شبكة Wi-Fi أبدًا ، يمكن أن يظل الجهاز مناسبًا لمخاطر الشركات من خلال Bluetooth أو NFC أو الربط عبر هاتف مع إمكانية الوصول إلى البريد الإلكتروني للشركات والرسائل ومزودي الهوية.
سطح الهجوم: أجهزة الراديو والتطبيقات والهويات والبيانات المحيطة
من الأفضل فهم المخاطر القابلة للارتداء على أنها مجموعة من الأسطح المتداخلة. يمكن أن تكون ساعة ذكية واحدة في وقت واحد نقطة نهاية Bluetooth ، وأداة ملائمة للهوية ، ومرآة إعلام ، وميكروفون ، وحزمة مستشعر متزامنة مع السحابة. عند تعيين التهديدات ، تعامل مع كل منها كنطاق تحكم خاص به.
التعرض اللاسلكي: يمكن أن يؤدي إقران Bluetooth منخفض الطاقة وأوضاع الاكتشاف ومراوغات البروتوكول إلى خلق فرص للتحقيق أو التتبع أو الاستغلال في مكان قريب. يمكن لـ NFC تمكين التفاعلات السريعة التي يصعب تدقيقها. إذا كان الجهاز يدعم Wi-Fi أو الخلوي ، فقد يتجاوز بعض عناصر تحكم شبكة الشركات تمامًا.
التطبيقات المصاحبة والمزامنة السحابية: غالبًا ما يحمل تطبيق الهاتف المصاحب الرموز والأذونات وقواعد المزامنة. يمكن أن تتدفق البيانات من إشعارات الشركات إلى النسخ الاحتياطية السحابية الشخصية أو ميزات المزامنة عبر الأجهزة. تصبح سحابة البائع القابلة للارتداء جزءًا من حدود بياناتك الفعالة.
اختصارات الهوية: تتيح الأجهزة القابلة للارتداء في كثير من الأحيان "الموافقة بنقرة" أو فتح القرب أو الردود السريعة. يمكن أن تقلل ميزات الراحة من الاحتكاك للمستخدمين وتقلل أيضًا من الاحتكاك للمهاجمين الذين يحصلون على القرب المادي أو التحكم الجزئي في الجهاز.
تسرب المحيطة: يمكن أن تكشف الإشعارات المعروضة على المعصم عن الموضوعات الحساسة أو أسماء العملاء أو معرفات التذاكر أو تفاصيل الحوادث أو الروابط لمرة واحدة. تخلق الميكروفونات والكاميرات طبقة مخاطر إضافية في غرف الاجتماعات ومناطق SOC والمختبرات والمرافق ذات الملكية الفكرية المحمية.
سيناريوهات المخاطر في العالم الحقيقي يجب أن تخطط فرق تكنولوجيا المعلومات ل
تصبح مخاطر BYOD القابلة للارتداء أكثر وضوحًا عند ترجمتها إلى سيناريوهات يمكن للعمليات الأمنية والحوكمة ودعم تكنولوجيا المعلومات التعرف عليها والاستجابة لها. النقطة هي عدم افتراض أن كل يمكن ارتداؤها معادية. النقطة هي تجنب أن يفاجأ من قبل وسائط الفشل يمكن التنبؤ بها.
التعرض للإخطار الحساس: يتلقى الموظف دعوة جسر حادثة أو تصعيد عميل أو بريد إلكتروني لإعادة تعيين كلمة المرور. يمكن رؤية سطر الموضوع على ساعة ذكية أثناء الاجتماع أو في وسائل النقل العام أو في مساحة عمل مشتركة. حتى بدون محتوى الرسالة ، يمكن أن تكون البيانات الوصفية ضارة.
التقاط غرفة المؤتمرات: يوجد جهاز قابل للارتداء مزود بميكروفون أو مساعد صوتي أو ميزة تسجيل صوتي أثناء المناقشات حول التسعير أو عمليات الدمج والاستحواذ أو الحوادث الأمنية أو تفاصيل المنتج التي لم يتم إصدارها. الخطر ليس فقط التسجيل الخبيث ؛ ويشمل التنشيط العرضي والمزامنة السحابية.
تعب الموافقة على الهوية: تعتبر الموافقات السريعة مفيدة لـ MFA و SSO ، ولكنها تمكن أيضًا من شكل من أشكال سلوك "الضغط للموافقة". إذا أطلق المهاجم مطالبات متكررة ، فقد يوافق المستخدم المشتت على الطلب الخطأ ، خاصة على واجهة مستخدم صغيرة يمكن ارتداؤها.
مضاعفات القرب والوصول المادي: تستخدم بعض البيئات إلغاء القفل المستند إلى القرب على أجهزة الكمبيوتر المحمولة أو الأبواب أو التطبيقات. إذا تم استخدام جهاز قابل للارتداء كإشارة ثقة وتم فقده أو سرقته أو استعارته ، يمكن للمؤسسة أن ترث مخاطر أمنية مادية متنكرة كميزة راحة.
اتصال الظل: يمكن للقابل للارتداء مع القدرة الخلوية نقل البيانات دون الانضمام إلى شبكة Wi-Fi للشركات. يمكن للهاتف المخترق استخدام النظام البيئي القابل للارتداء لنسخ الإشعارات ومسارات استخراج البيانات التي تتجاوز الوكلاء التقليديين أو ضوابط تجزئة الشبكة.
خلط البيانات المنظم: يمكن للأجهزة الطبية القابلة للارتداء إدخال البيانات الصحية في أنظمة تكنولوجيا المعلومات بشكل غير مباشر عبر تذاكر الدعم أو لقطات الشاشة أو السجلات أو محادثات استكشاف الأخطاء وإصلاحها. هذا يمكن أن يخلق التزامات الامتثال التي لم تكن تنوي اتخاذها.
الحكم: حدد ما تعنيه كلمة "مقبول" في بيئتك
تعمل الضوابط الفنية بشكل أفضل عندما يكون لدى المنظمة توقعات واضحة وقابلة للتنفيذ. تمت كتابة العديد من سياسات BYOD قبل أن تصبح الأجهزة القابلة للارتداء سائدة وتركز على الهواتف وأجهزة الكمبيوتر المحمولة والوسائط القابلة للإزالة. تحديث الحوكمة لا يتعلق بحظر الأجهزة عالميا. يتعلق الأمر بمحاذاة الأجهزة القابلة للارتداء مع مستويات المخاطر ومستويات المساحة.
عادة ما تحدد البرامج الناضجة "قواعد وجود الجهاز" لمناطق مختلفة:
- مناطق عالية الحساسية حيث يتم تقييد الميكروفونات والكاميرات والأجهزة القابلة للارتداء القابلة للتسجيل ، مع وجود لافتات واضحة وخيارات تخزين آمنة.
- مناطق المكاتب القياسية حيث يُسمح بارتداء الأجهزة القابلة للارتداء ولكن يتم تطبيق قواعد التعامل مع الإشعارات والاقتران من خلال ضوابط تحديد الهوية ووضع نقطة النهاية.
- قواعد الزوار والمقاولين التي تعالج الأجهزة القابلة للارتداء بشكل صريح ، وليس ضمنيًا.
يجب أن توضح السياسات أيضًا موقف المؤسسة من رؤية المحتوى ومعالجة البيانات ، مثل ما إذا كان يُسمح بإشعارات البريد الإلكتروني للشركات على الأجهزة القابلة للارتداء ، وما إذا كان يجب تعطيل معاينات الرسائل ، وكيفية الإبلاغ عن فقدان الأجهزة القابلة للارتداء. عندما تكون القواعد غامضة، يصبح الإنفاذ غير متناسق والاستجابة للحوادث أبطأ.
الضوابط التقنية التي تقلل من خطر BYOD يمكن ارتداؤها
نادراً ما تدعم الأجهزة القابلة للارتداء نفس خطافات الإدارة مثل أجهزة الكمبيوتر المحمولة أو الهواتف ، لذلك تركز أفضل استراتيجية تحكم على الأنظمة التي يمكنك التحكم فيها: الهوية ، وضع الهاتف المصاحب ، الوصول إلى الشبكة ، وحماية البيانات. والهدف من ذلك هو الحد من التأثير، والحد من احتمال، وتحسين الكشف دون تحويل العمل اليومي إلى الاحتكاك الزائد.
إنفاذ الهوية أولا: استخدام الوصول المشروط إلى تتطلب مصادقة قوية وموقف الجهاز لتطبيقات الشركات. ربط الوصول إلى الأجهزة المدارة وتقييد الإجراءات عالية المخاطر عند بدء الجلسة من نقاط نهاية غير معروفة أو غير مدارة. هذا يساعد حتى لو كان يمكن ارتداؤها فقط تشارك بشكل غير مباشر.
وضع الهاتف المدار كتحكم وكيل: إذا كانت الأجهزة القابلة للارتداء متزامنة عبر الهاتف ، فتعامل مع الهاتف كنقطة إنفاذ. يمكن لإدارة الأجهزة المحمولة أو إدارة نقاط النهاية الموحدة فرض التشفير ، وقفل الشاشة ، وخطوط أساس إصدار نظام التشغيل ، وإدارة التطبيقات للنظام البيئي المصاحب.
إشعار النظافة: تقليل قيمة التعرض للإخطار القابل للارتداء عن طريق الحد من ما يظهر في الإشعارات لتطبيقات الشركات. فكر في تعطيل معاينات الرسائل ، وفرض "محتوى حساس مخفي" ، وتقييد الإشعارات القابلة للتنفيذ التي تسمح بالموافقات أو الردود من جهاز قابل للارتداء مقفل.
تجزئة الشبكة وسياسة الوصول: تأكد من عدم وصول نقاط النهاية اللاسلكية غير المعروفة إلى الخدمات الداخلية الحساسة. NAC ، عزل شبكة الضيوف ، وجدران الحماية الصارمة تقلل من الضرر إذا كان يمكن ارتداؤها أو رفيقها يحاول الحركة الجانبية أو الاكتشاف.
منع فقدان البيانات والضوابط السحابية: تعامل مع مزامنة السحابة الاستهلاكية كقناة خروج محتملة. يمكن أن تقلل سياسات DLP وضوابط CASB والقيود المفروضة على المستأجر من المزامنة العرضية لبيانات الشركات في الحسابات الشخصية ، خاصة من خلال الهاتف الذي يقترن بالأجهزة القابلة للارتداء.
تسجيل والكشف مع توقعات واقعية: قد لا ترى الجهاز القابل للارتداء مباشرة، ولكن يمكنك اكتشاف أنماط مثل سلوك الموافقة غير العادي، أو تسجيل الدخول الشاذ، أو المسامير التحديثية الرمزية المفاجئة، أو الوصول من أنواع الأجهزة غير المتوقعة. محاذاة الكشف عن SIEM لأحداث الهوية ، وليس فقط وكلاء نقطة النهاية.
الأمن المادي و "الأماكن الآمنة" أكثر أهمية من أي وقت مضى
تطمس الأجهزة القابلة للارتداء الخط الفاصل بين الأمن السيبراني والأمن المادي. إذا كان لدى مؤسستك مساحات تمثل فيها الميكروفونات / الكاميرات مشكلة ، فإن التعامل مع الأجهزة القابلة للارتداء على أنها "ملحقات شخصية فقط" هو فجوة. النهج الأكثر عملية هو تفعيل المساحات الآمنة بدلاً من محاولة مراقبة الناس بشكل غير رسمي.
النظر في الضوابط التي هي محترمة وقابلة للتطبيق:
- علامات منطقة واضحة تشير صراحة إلى الأجهزة القابلة للارتداء والأجهزة القابلة للالتقاط.
- خزائن أو أكياس آمنة للموظفين والزوار الذين يدخلون المناطق الحساسة.
- ممارسات الاجتماع للمواضيع الحساسة التي تشمل توقعات الجهاز مقدما.
- الاستثناءات والموافقات الموثقة لحالات الاستخدام المشروع مثل احتياجات الوصول.
يجب أن يتعاون برنامج أمن تكنولوجيا المعلومات مع المرافق والموارد البشرية لتجنب إنشاء قواعد "المسرح الأمني" غير القابلة للتنفيذ. وعادة ما تؤدي مجموعة صغيرة من المناطق المحددة جيدا مع إنفاذ متسق أداء أفضل من القواعد العامة التي لا يتبعها أحد.
الخصوصية والامتثال والتكلفة الخفية للبيانات القابلة للارتداء
تقوم الأجهزة القابلة للارتداء بتوليد وتخزين المعلومات الشخصية الحساسة ، بما في ذلك أنماط الموقع ومعدل ضربات القلب وبيانات النوم والمؤشرات الطبية في بعض الأحيان. حتى إذا كانت المؤسسة لا تنوي معالجة هذه البيانات ، فيمكنها الدخول إلى بيئة الشركة بشكل غير مباشر من خلال قنوات الدعم أو أدوات التعاون أو لقطات الشاشة أو تحقيقات الحوادث.
يجب على المتخصصين في تكنولوجيا المعلومات العمل مع أصحاب المصلحة القانونيين والخصوصية لتوضيح:
- ما إذا كانت أي بيانات ذات صلة يمكن ارتداؤها تعتبر ضمن نطاق مراقبة الشركات.
- كيف يجب أن تتعامل الاستجابة للحوادث مع الأجهزة التي تحتوي على بيانات صحية شخصية.
- ما هي قواعد الاحتفاظ والوصول التي تنطبق إذا أصبحت البيانات القابلة للارتداء جزءًا من سجل التذاكر أو التحقيق.
وهذا ليس مجرد شاغل قانوني. يؤثر على الثقة. يمكن للرصد العدواني المفرط أن يخلق حلولاً بديلة للموظفين. البرامج الأكثر صحة شفافة حول ما يتم مراقبته ولماذا وكيف يتم حمايته.
الاستعداد التشغيلي: التعامل مع الأجهزة القابلة للارتداء المفقودة وسوء الاستخدام المشتبه فيه
غالبًا ما تكون الحوادث التي يمكن ارتداؤها "صغيرة" حتى لا تكون كذلك. قد تحتوي الساعة الذكية المفقودة على إشعارات حديثة وتفاصيل التقويم وخريطة ليوم المستخدم. يمكن للهاتف المصاحب المخترق تحويل الأجهزة القابلة للارتداء إلى إشارة موجودة دائمًا. يجب أن تتضمن سجلات تشغيل الاستجابة للحوادث بشكل صريح الأجهزة القابلة للارتداء حتى لا ترتجل مكاتب الخدمة وفرق SOC.
إعداد مفيد يشمل:
- مسار واضح للإبلاغ عن الأجهزة القابلة للارتداء المفقودة أو المسروقة ، على غرار الهواتف والشارات المفقودة.
- إرشادات لإلغاء الجلسات ، وتناوب أوراق الاعتماد ، وإبطال الرموز عندما تكون الحسابات المرتبطة القابلة للارتداء في خطر.
- قائمة مرجعية موحدة لتقييم ما إذا كانت الإخطارات أو الموافقات الحساسة قد تعرضت.
- الوثائق التي تسمح بها تطبيقات الشركات بالإشعارات القابلة للارتداء وما تتضمنه هذه الإشعارات.
تأكد من أن العملية بسيطة بما فيه الكفاية بحيث يستخدمها الموظفون بالفعل. إذا كان الإبلاغ يبدو عقابيًا أو معقدًا ، فإن الناس ينتظرون ، والانتظار هو ما يحول الحوادث التي يمكن التحكم فيها إلى تعرضات كبيرة.
خط أساس أمني عملي "يمكن ارتداؤه" لفرق تكنولوجيا المعلومات
إذا كانت مؤسستك تبدأ من الصفر ، فلا يزال بإمكانك إحراز تقدم ذي مغزى بسرعة من خلال التركيز على خط الأساس الذي يقلل من المخاطر الأكثر شيوعًا. الممارسات التالية قابلة للتطبيق على نطاق واسع ولا تتطلب التحكم في الأجهزة الغازية:
- فرض الوصول المشروط والمصادقة القوية ، مع ضمانات سهلة الاستخدام ضد الموافقات العرضية.
- تتطلب الموقف المدارة للهاتف رفيق عندما يتم استخدامه للوصول إلى البريد الإلكتروني للشركات، والدردشة، أو تدفقات الهوية.
- تقليل تعرض بيانات الإشعار عن طريق الحد من المعاينات والمحتوى الحساس في تنبيهات نمط قفل الشاشة.
- تحديد مناطق آمنة حيث يتم تقييد الأجهزة القابلة للارتداء القابلة للالتقاط وتوفير خيارات تخزين عملية.
- قم بتقسيم الشبكات والحد من نقاط النهاية اللاسلكية غير المعروفة ، حتى لو ظهرت لفترة وجيزة.
- تحديث لغة سياسة BYOD لتشمل صراحة الأجهزة القابلة للارتداء ، مع توقعات واضحة وإنفاذ محترم.
- أضف سيناريوهات قابلة للارتداء إلى كتب اللعب للاستجابة للحوادث ، مع التركيز على إلغاء الجلسة ، ونظافة بيانات الاعتماد ، والإبلاغ السريع.
خط الأساس ليس خط النهاية. إنها نقطة انطلاق تقلل من الاحتمالية والتأثير بينما تنضج مؤسستك نهجها بناءً على حالات الاستخدام الفعلية القابلة للارتداء وتحمل المخاطر.
الاستنتاج: تعامل مع الأجهزة القابلة للارتداء كنطاق أمان ، وليس حاشية
يمكن ارتداؤها BYOD ليس اتجاها مؤقتا. وهو جزء من التحول الأوسع نحو الحوسبة المحيطة ، حيث تتبع الهوية المستخدم عبر الأجهزة وأجهزة الاستشعار والمساحات. بالنسبة لمحترفي تكنولوجيا المعلومات ، فإن النهج الصحيح ليس الذعر أو الإنكار. وهي إدارة منضبطة للمخاطر: تحديد الأماكن التي تكون فيها الأجهزة القابلة للارتداء مقبولة ، والحد من تعرض البيانات حسب التصميم ، وفرض الوصول من خلال ضوابط الهوية ، وتفعيل المساحات الآمنة والاستجابة للحوادث.
عندما تتعامل المؤسسات مع الأجهزة القابلة للارتداء كجزء من الدرجة الأولى من BYOD - إلى جانب الهواتف وأجهزة الكمبيوتر المحمولة - فإنها تحصل على رؤية أوضح ، ومفاجآت أقل ، وموقف أمني يطابق واقع العمل الحديث.
10835 
IT Pro 
