“دستگاه خود را بیاورید” به معنای تلفن و لپ تاپ است. در اکثر محیط های امروز، همچنین به معنای ساعت های هوشمند، ردیاب های تناسب اندام، شنیدن قابل شنیدن (گوش های هوشمند)، حلقه های هوشمند، عینک واقعیت افزوده، پوشیدنی های پزشکی، و یک لیست رو به رشد از دستگاه های غنی از سنسور است که به آرامی به هویت شرکت ها، شبکه ها و جریان داده ها متصل می شوند. برای تیم های IT، BYOD پوشیدنی یک مشکل امنیتی است زیرا سطح حمله را بدون گسترش سطح کنترل گسترش می دهد. این دستگاه ها به راحتی در مخترعان دارایی از دست می دهند، به سختی می توان با ابزار نقطه پایانی سنتی مدیریت کرد و اغلب به یک تلفن شخصی متصل می شود که به یک پل بین سیستم های شرکتی و اکوسیستم های ابر مصرف کننده تبدیل می شود.
مایزها همچنین طبیعت " قرار گرفتن در معرض داده" را تغییر می دهند. دیگر فقط در مورد فایل هایی که شبکه را ترک می کنند، نیست. این در مورد محتوای اطلاع رسانی قابل مشاهده در یک مچ دست، میکروفون فعال در یک اتاق کنفرانس، رادیوهای بلوتوث منفعل است که می تواند در یک راهرو و سلامت و یا داده های مکان که به شدت تحت قوانین حریم خصوصی حساس است، مورد بررسی قرار گیرد. نتیجه یک دسته ریسک است که در تقاطع امنیت نقطه پایانی، هویت، امنیت فیزیکی، حریم خصوصی و حکومت قرار دارد.
چرا پوشیدنی ها با BYOD کلاسیک متفاوت هستند
پوشیدنی ها به طور معمول در اطراف راحتی، اتصال همیشه و ادغام عمیق با اکوسیستم های مصرف کننده طراحی شده اند. حتی هنگامی که یک پوشیدنی دارای ویژگی های سازگار با شرکت است، بسیاری از استقرار ها هنوز به یک تلفن همراه و خدمات ابر فروشنده متکی هستند. این معماری چندین ویژگی امنیتی را ایجاد می کند که باید آن را به عنوان “ مفروضات شکست ناپذیر” توصیف کند:
- پوشیدنی ها اغلب برای مدیریت و کشف دارایی نامرئی هستند، زیرا آنها به دامنه نمی پیوندند، عوامل معمولی را اجرا نمی کنند و ممکن است هرگز به طور مستقیم به خدمات شرکت معتبر نباشند.
- دستگاه همراه به اندازه پوشیدنی مهم است. اگر تلفن به خطر افتاده باشد، پوشیدنی به گسترش این سازش از طریق اعلان ها، توکن های برنامه و ارتباطات جفت تبدیل می شود.
- رابط کاربری محدود شده است. کاربران سرعت را تایید می کنند، به هشدارها نگاه می کنند و جفت یا مجوز را با حداقل زمینه می پذیرند.
- مدل امنیتی اغلب مختص فروشنده و به روز شده در یک کادر مصرف کننده است که ممکن است با کنترل تغییر شرکت هماهنگ نباشد.
- سنسور ها و رادیوها "شکست" هستند، به این معنی که دستگاه برای ضبط، انتقال و همگام سازی اطلاعات به طور مداوم ساخته شده است.
برای متخصصان IT، نکته کلیدی این است که پوشیدنی ها نباید به عنوان “تلفن های کوچک” ارزیابی شوند. آنها دستگاه های محاسباتی محیطی هستند. خطرات آنها در سراسر هویت، دید داده ها، فضای فیزیکی و زنجیره تامین توزیع می شود.
انواع پوشیدنی رایج وارد فضاهای سازمانی می شوند
دسته پوشیدنی گسترده تر از یک ساعت هوشمند است. در بسیاری از سازمان ها، کلاس های دستگاه زیر در ادارات، آزمایشگاه ها و مناطق تولید ظاهر می شوند:
- Smartwatch ها و ردیاب های تناسب اندام که اعلان های آینه، پشتیبانی از دستیاران صوتی و گاهی اوقات اتصال سلولی را ارائه می دهند.
- پوشیدنی هایی که میکروفون، دستیار صوتی، تماس گرفتن و حالت های عبور صوتی را که می تواند در فضاهای حساس مورد استفاده قرار گیرد، ادغام می کنند.
- حلقه های هوشمند برای ویژگی های راحتی، اعلان ها، معیارهای بهداشتی یا در برخی موارد دسترسی مبتنی بر نزدیکی استفاده می شوند.
- عینک AR / VR برای کمک های از راه دور، آموزش، خدمات میدانی یا ضبط رسانه های شخصی استفاده می شود.
- پوشیدنی های پزشکی مورد استفاده برای نظارت که می تواند داده های شخصی تنظیم شده را به شبکه های شرکتی و logs معرفی کند.
حتی هنگامی که یک پوشیدنی هرگز Wi-Fi را لمس نمی کند، دستگاه هنوز هم می تواند با ریسک شرکت ها از طریق بلوتوث، NFC یا از طریق تلفن همراه با دسترسی به ایمیل، پیام رسانی و ارائه دهندگان هویت شرکت مرتبط باشد.
سطح حمله: رادیو، برنامه ها، هویت ها و داده های محیطی
خطر جدایی ناپذیر به عنوان مجموعه ای از سطوح همپوشانی شناخته شده است. یک ساعت هوشمند تنها می تواند به طور همزمان یک نقطه انتهایی بلوتوث، یک ابزار راحتی هویت، یک آینه اطلاع رسانی، یک میکروفون و یک بسته سنسور ابری باشد. هنگامی که شما تهدید می کنید، هر یک از آنها را به عنوان دامنه کنترل خود درمان کنید.
قرار گرفتن در معرض بی سیم: بلوتوث کم انرژی جفتینگ، حالت های کشف، و پروتکل quirks می تواند فرصت هایی برای آزمایش، ردیابی یا بهره برداری در نزدیکی ایجاد کند. NFC می تواند تعاملات سریع را که برای حسابرسی سخت است، فعال کند. اگر این دستگاه از Wi-Fi یا سلولی پشتیبانی کند، ممکن است برخی از کنترل های شبکه های شرکتی را به طور کامل دور بزند.
برنامه های همراه و همگام سازی ابری: برنامه تلفن همراه اغلب دارای نشانه ها، مجوز ها و قوانین همگام سازی است. داده ها می توانند از اعلان های شرکتی به پشتیبان گیری های ابر شخصی یا ویژگی های همگام سازی متقابل دستگاه جریان داشته باشند. ابر فروشنده پوشیدنی بخشی از مرز اطلاعات موثر شما می شود.
میانبر هویت: ما پوشیدنی ها اغلب "با یک ضربه" را فعال می کنند، یا پاسخ های سریع. ویژگی های Convenience می تواند اصطکاک را برای کاربران کاهش دهد و همچنین باعث کاهش اصطکاک برای مهاجمانی می شود که از نزدیکی فیزیکی یا کنترل جزئی یک دستگاه بهره مند می شوند.
آلودگی محیطی: اعلان های نمایش داده شده در مچ دست می توانند موضوعات حساس، نام مشتری، شناسه های بلیط، جزئیات حادثه یا لینک های یک بار را افشا کنند. میکروفون و دوربین ها یک لایه خطر اضافی در اتاق های جلسه، مناطق SOC، آزمایشگاه ها و امکانات با IP محافظت شده ایجاد می کنند.
سناریوهای خطر دنیای واقعی تیم های فناوری اطلاعات باید برنامه ریزی کنند
خطر جدایی ناپذیر BYOD زمانی روشن تر می شود که به سناریوهایی ترجمه می شود که عملیات امنیتی، حاکمیت و پشتیبانی فناوری اطلاعات می توانند آن را تشخیص داده و پاسخ دهند. نکته این است که فرض نکنید هر پوشیدنی خصمانه است. نکته این است که از شکست های قابل پیش بینی غافل نشوید.
قرار گرفتن در معرض اطلاع رسانی حساس: یک کارمند یک دعوت نامه پل حادثه، افزایش مشتری یا ایمیل تنظیم رمز عبور دریافت می کند. خط موضوع در یک ساعت هوشمند در طول جلسه، در حمل و نقل عمومی یا در یک فضای کاری مشترک قابل مشاهده است. حتی بدون محتوای پیام، متاداده می تواند مضر باشد.
ضبط اتاق کنفرانس: پوشیدنی با یک میکروفون، دستیار صوتی یا ویژگی ضبط صدا در طول بحث در مورد قیمت گذاری، M&A، حوادث امنیتی و یا جزئیات محصول منتشر نشده وجود دارد. خطر نه تنها ضبط مخرب است بلکه شامل فعال سازی تصادفی و همگام سازی ابر است.
خستگی تایید هویت: تصویب سریع برای MFA و SSO مفید است، اما آنها همچنین قادر به ایجاد یک نوع از رفتار " ضربه به گام" هستند. اگر یک مهاجم محرک های تکراری را تحریک کند، یک کاربر پریشان ممکن است درخواست اشتباه را به ویژه در یک UI پوشیدنی کوچک تایید کند.
عوارض دسترسی نزدیک و فیزیکی: برخی از محیط ها از باز کردن مبتنی بر مجاورت در لپ تاپ ها، درها یا برنامه های کاربردی استفاده می کنند. اگر یک پوشیدنی به عنوان یک سیگنال اعتماد مورد استفاده قرار گیرد و از دست رفته، به سرقت رفته یا قرض گرفته شود، سازمان می تواند یک خطر امنیتی فیزیکی را به عنوان یک ویژگی راحت به ارث ببرد.
اتصال سایه: پوشیدنی با قابلیت سلولی می تواند بدون پیوستن به Wi-Fi شرکت، داده ها را جابجا کند. یک تلفن به خطر افتاده می تواند از اکوسیستم پوشیدنی برای انعکاس اطلاع رسانی و مسیرهای نفوذ داده استفاده کند که از پروکسی های سنتی یا کنترل تقسیم بندی شبکه دور می شوند.
مخلوط کردن داده های تنظیم شده: پوشیدنی های پزشکی می توانند داده های بهداشتی را به طور غیرمستقیم از طریق بلیط های پشتیبانی، تصاویر، لاگ ها یا مکالمات عیب یابی معرفی کنند. این می تواند تعهداتی را ایجاد کند که قصد ندارید آن را انجام دهید.
مدیریت: تعریف آنچه "قابل قبول" در محیط زیست شما معنی می دهد
کنترل های فنی زمانی بهتر عمل می کنند که سازمان انتظارات واضح و قابل اجرا داشته باشد. بسیاری از سیاست های BYOD قبل از اینکه پوشیدنی ها به جریان اصلی تبدیل شوند نوشته شده و بر روی تلفن ها، لپ تاپ ها و رسانه های قابل جابجایی تمرکز می کنند. بالا بردن حکومت در مورد ممنوع کردن دستگاه های جهانی نیست. این در مورد ترکیب پوشیدنی با کراوات های خطر و کراوات های فضایی است.
برنامه های بالغ به طور معمول "قوانین حضور دستگاه" را برای مناطق مختلف تعریف می کنند:
- مناطق حساسیت بالا که در آن میکروفون، دوربین و پوشیدنی های قابل ضبط محدود هستند، با گزینه های ذخیره سازی روشن و امن.
- مناطق اداری استاندارد که در آن پوشیدنی ها مجاز هستند اما مدیریت اطلاع رسانی و قوانین جفت سازی از طریق کنترل حالت هویت و نقطه پایانی اجرا می شود.
- قوانین بازدید کننده و پیمانکار که به طور ضمنی به پوشیدنی ها رسیدگی می کنند، نه به طور ضمنی.
سیاست ها همچنین باید موضع سازمان در مورد دید محتوا و مدیریت داده ها را روشن کنند، مانند اینکه آیا اطلاعیه های ایمیل شرکت ها در پوشیدنی ها مجاز هستند، چه پیش نمایش پیام باید غیرفعال باشد و چگونه از دست دادن پوشیدنی باید گزارش شود. هنگامی که قوانین مبهم هستند، اجرا متناقض می شود و پاسخ حادثه کندتر می شود.
کنترل های فنی که ریسک پوشیدنی را کاهش می دهند
پوشیدنی ها به ندرت از همان قلاب های مدیریتی به عنوان لپ تاپ یا تلفن پشتیبانی می کنند، بنابراین بهترین استراتژی کنترل بر سیستم هایی که می توانید کنترل کنید تمرکز دارد: هویت، حالت تلفن همراه، دسترسی به شبکه و حفاظت از داده ها. هدف کاهش تاثیر، کاهش احتمال و بهبود تشخیص بدون تبدیل کار روزانه به اضافه بار اصطکاک است.
اجرای اول هویت: استفاده از دسترسی مشروط به نیاز به احراز هویت قوی و وضعیت دستگاه برای برنامه های شرکت. در صورت امکان، دسترسی به دستگاه های مدیریت شده را محدود کنید و اقدامات پرخطر بالا را زمانی که یک جلسه از نقاط پایانی ناشناخته یا مدیریت نشده آغاز می شود، محدود کنید. این کمک می کند حتی اگر پوشیدنی تنها به طور غیر مستقیم درگیر باشد.
حالت تلفن مدیریت شده به عنوان یک کنترل پروکسی: اگر پوشیدنی ها از طریق تلفن همگام شوند، تلفن را به عنوان نقطه اجرا درمان کنید. مدیریت دستگاه موبایل یا مدیریت یکپارچه endpoint می تواند رمزگذاری، قفل صفحه، پایه های نسخه سیستم عامل و مدیریت برنامه برای اکوسیستم همراه را اجرا کند.
بهداشت اطلاع رسانی: کاهش ارزش قرار گرفتن در معرض اطلاع پوشیدنی با محدود کردن آنچه که در اعلان برای برنامه های شرکت ظاهر می شود. پیش نمایش پیام را نادیده بگیرید، اجرای “محتوای حساس پنهان” و محدود کردن اعلان های عملی که اجازه می دهد تایید یا پاسخ از یک پوشیدنی قفل شده است.
تقسیم بندی شبکه و سیاست دسترسی: اطمینان حاصل کنید که نقاط انتهایی بی سیم ناشناخته نمی توانند به خدمات داخلی حساس برسند. NAC، انزوای شبکه مهمان و آتش سوزی شدید، آسیب را کاهش می دهد اگر یک پوشیدنی یا همراه آن تلاش برای حرکت بعدی یا کشف.
پیشگیری از دست دادن داده ها و کنترل های ابری: همگام سازی ابر مصرف کننده را به عنوان یک کانال بالقوه egress درمان کنید. سیاست های DLP، کنترل های CASB و محدودیت های مستاجر می تواند همگام سازی تصادفی از داده های شرکت را به حساب های شخصی، به ویژه از طریق تلفن که جفت با پوشیدنی.
ورود و تشخیص با انتظارات واقعی: شما ممکن است به طور مستقیم پوشیدنی را نبینید، اما شما می توانید الگوهایی مانند رفتار تایید غیر معمول، نشانه های غیرعادی، جهش های ناگهانی توکن یا دسترسی از انواع دستگاه های غیر منتظره را شناسایی کنید. تشخیص آلign SIEM به رویدادهای هویتی، نه تنها عوامل نهایی.
امنیت فیزیکی و "فضای امن" بیش از هر زمان دیگری مهم است
جدایی طلبان خط بین امنیت سایبری و امنیت فیزیکی را محو می کنند. اگر سازمان شما دارای فضایی است که در آن میکروفون ها یا دوربین ها مشکل هستند، سپس با پوشیدنی ها به عنوان “فقط لوازم جانبی شخصی” یک شکاف است. عملی ترین روش این است که فضاهای امن را به جای تلاش برای پلیس به طور غیر رسمی اداره کنید.
کنترل هایی را در نظر بگیرید که قابل احترام و کارآمد هستند:
- علامت منطقه روشن است که به صراحت به پوشیدنی ها و دستگاه های ناتوان کننده اشاره می کند.
- قفسه ها یا کیسه های امن برای کارکنان و بازدید کنندگان وارد مناطق حساس.
- شیوه های جلسه برای موضوعات حساس که شامل انتظارات دستگاه در جلو است.
- استثناها و تاییدهایی که برای موارد استفاده قانونی مانند نیازهای دسترسی مستند شده اند.
برنامه امنیتی IT باید با امکانات و منابع انسانی همکاری کند تا از ایجاد قوانین "عملیات امنیتی" که قابل اجرا نیستند جلوگیری کند. مجموعه کوچکی از مناطق به خوبی تعریف شده با اجرای ثابت معمولا بهتر از قوانین گسترده ای است که هیچ کس به دنبال آن نیست.
حریم خصوصی، انطباق و هزینه پنهان داده های پوشیدنی
دانش آموزان تولید و ذخیره اطلاعات شخصی حساس، از جمله الگوهای مکان، ضربان قلب، داده های خواب و گاهی شاخص های پزشکی. حتی اگر سازمان قصد پردازش این داده ها را نداشته باشد، می تواند به طور غیرمستقیم از طریق کانال های پشتیبانی، ابزار همکاری، تصاویر یا تحقیقات مربوط به حوادث وارد محیط شرکت شود.
متخصصان IT باید با ذینفعان قانونی و حریم خصوصی کار کنند تا روشن کنند:
- آیا هر گونه اطلاعات مربوط به پوشیدنی در محدوده نظارت شرکت در نظر گرفته می شود.
- چگونه پاسخ حادثه باید دستگاه هایی را که حاوی داده های سلامت شخصی هستند، اداره کند.
- چه قوانین حفظ و دسترسی اعمال می شود اگر داده های پوشیدنی بخشی از یک بلیط یا سوابق تحقیقاتی باشد.
این فقط یک نگرانی قانونی نیست. بر اعتماد تأثیر می گذارد. نظارت بیش از حد تهاجمی می تواند فشار کارکنان و راه حل های سایه را ایجاد کند. سالم ترین برنامه ها در مورد آنچه که نظارت می شود شفاف هستند، چرا و چگونه محافظت می شود.
آمادگی عملیاتی: کنترل پوشیدنی های از دست رفته و مظنون به سوء استفاده
حوادث جدایی ناپذیر اغلب "کوچک" هستند تا زمانی که آنها نیستند. یک ساعت هوشمند از دست رفته ممکن است حاوی اعلان های اخیر، جزئیات تقویم و نقشه ای از روز کاربر باشد. یک تلفن همراه به خطر افتاده می تواند پوشیدنی ها را به یک سیگنال همیشه در حال حاضر تبدیل کند. کتاب های پاسخ به حوادث باید به طور واضح شامل پوشیدنی ها باشند، بنابراین میز خدمات و تیم های SOC پیش بینی نمی شوند.
آماده سازی مفید شامل:
- یک مسیر گزارش واضح برای پوشیدنی های از دست رفته یا به سرقت رفته، مانند تلفن های گم شده و نشان ها.
- راهنمایی برای جلسات بازسازی، اعتبارات چرخش و توکن های نامعتبر زمانی که حساب های متصل به پوشیدنی در معرض خطر هستند.
- یک چک لیست استاندارد برای ارزیابی اینکه آیا اعلان های حساس یا تاییدات ممکن است در معرض قرار گرفته باشند.
- مستنداتی که برنامه های شرکت اجازه اعلان های پوشیدنی و آنچه که این اعلان ها شامل می شوند.
اطمینان حاصل کنید که روند به اندازه کافی ساده است که کارکنان در واقع از آن استفاده می کنند. اگر گزارش احساس تنبیه یا پیچیده بودن می کند، مردم صبر می کنند و انتظار می رود که حوادث قابل کنترل در معرض اصلی قرار بگیرند.
یک پایه امنیتی عملی “ پوشیدنی BYOD” برای تیم های IT
اگر سازمان شما از ابتدا شروع به کار کند، هنوز هم می توانید با تمرکز بر پایه ای که رایج ترین ریسک ها را کاهش می دهد، به سرعت پیشرفت کنید. شیوه های زیر به طور گسترده ای قابل اجرا هستند و نیازی به کنترل دستگاه تهاجمی ندارند:
- دسترسی مشروط و احراز هویت قوی، با حفاظت کاربر پسند در برابر تصویب تصادفی.
- وضعیت مدیریت شده برای تلفن همراه زمانی که برای دسترسی به ایمیل، چت یا جریان هویت شرکت استفاده می شود.
- قرار گرفتن در معرض اطلاعات اطلاع رسانی را با محدود کردن پیش نمایش ها و محتوای حساس در هشدارهای سبک قفل صفحه.
- تعریف مناطق امن که در آن پوشیدنی های قابل کنترل محدود هستند و گزینه های ذخیره سازی عملی را ارائه می دهند.
- شبکه های بخش بندی و محدود کردن آنچه نقاط انتهایی بی سیم ناشناخته می توانند به آن دست یابند، حتی اگر به طور خلاصه ظاهر شوند.
- به روز رسانی BYOD زبان سیاست به صراحت شامل پوشیدنی ها، با انتظارات روشن و اجرای احترام.
- سناریوهای پوشیدنی را به کتاب های پاسخ حادثه اضافه کنید، با تمرکز بر تمرین جلسه، بهداشت معتبر و گزارش سریع.
پایه خط پایان نیست. این یک نقطه شروع است که احتمال و تاثیر را کاهش می دهد در حالی که سازمان شما رویکرد خود را بر اساس موارد استفاده واقعی پوشیدنی و تحمل ریسک بالغ می کند.
نتیجه گیری: درمان پوشیدنی ها به عنوان یک دامنه امنیتی، نه یک یادداشت
Wearable BYOD یک روند موقت نیست. این بخشی از تغییر گسترده تر نسبت به محاسبات محیطی است که در آن هویت کاربر را در سراسر دستگاه ها، سنسورها و فضاها دنبال می کند. برای متخصصان IT، رویکرد درست نه وحشت و نه انکار است. مدیریت ریسک منظم است: تعریف کنید که پوشیدنی ها قابل قبول هستند، قرار گرفتن در معرض داده ها را با طراحی کاهش می دهند، دسترسی را از طریق کنترل هویت اجرا می کنند و فضاهای امن و پاسخ حادثه را عملیاتی می کنند.
هنگامی که سازمان ها پوشیدنی ها را به عنوان بخش کلاس اول BYOD - در کنار تلفن ها و لپ تاپ ها - درمان می کنند، دید واضح تر، غافلگیری های کمتر و وضعیت امنیتی که با واقعیت کار مدرن مطابقت دارد، به دست می آورند.
10548 
IT Pro 
