המונחים: a Risk Factor in IT Environments

"ביקור את המכשיר שלך" המשמש לטלפונים ומחשבים ניידים. ברוב הסביבות היום, זה גם אומר שעונים חכמים, עוקבי כושר, שומעות (נשני אוזניים חכמים), טבעות חכמות, משקפי מציאות מוגברת, משקפיים רפואיים, ורשימה הולכת וגוברת של מכשירים עשירי חיישן שמחברים בשקט זהויות תאגידיות, רשתות וזרימי נתונים. עבור צוותי IT, BYOD הוא בעיה אבטחה כי הוא מרחיב את פני השטח התקפה ללא הרחבת משטח הבקרה שלך. מכשירים אלה קלים להחמיץ בממציאים של נכסים, קשה לנהל עם כלי קצה מסורתי, ולעתים קרובות מחובר לטלפון אישי שהופך לגשר בין מערכות חברות ומערכות ענן צרכניות.

ללבוש משנה גם את האופי של "חשיפה לנתונים". זה כבר לא רק על קבצים לעזוב את הרשת. זה על תוכן הודעה גלוי על פרק כף יד, מיקרופון מופעל בחדר ישיבות, רדיו Bluetooth פסיבי שניתן לחקור במסדרון, בריאות או נתונים מיקום כי הוא רגיש מאוד תחת תקנות פרטיות. התוצאה היא קטגוריה של סיכון העומדת בצומת של אבטחה, זהות, אבטחה פיזית, פרטיות וממשל.

למה ללבוש הם שונים מ- BYOD קלאסית

בגדים מעוצבים בדרך כלל סביב נוחות, קישוריות תמיד על, ושילוב עמוק עם מערכות אקולוגיות צרכניות. גם כאשר לביש יש תכונות ידידותיות לארגון, פריסות רבות עדיין מסתמכות על טלפון לוויה וספק שירותי ענן. אדריכלות זו יוצרת מספר מאפיינים ביטחוניים ש-IT צריך להתייחס אליהם כ"נחות הגנה":

• ללבוש הם לעתים קרובות בלתי נראים לניהול נכסים וגילוי כי הם לא להצטרף לתחום, לא להפעיל סוכנים קונבנציונליים, ולא יכול להיות אותנטי ישירות לשירותים עסקיים.
• מכשיר המלווים חשוב ככל שניתן ללבוש. אם הטלפון נפגע, הבליש הופך להרחבה של פשרה זו באמצעות הודעות, אסימונים אפליקציה, וחיבורי תקשורת.
• ממשק המשתמש מוגבל. משתמשים מאשרים מהר, מסתכלים על התראות ומקבלים התאמות או הרשאות עם ההקשר המינימלי.
• מודל האבטחה הוא לעתים קרובות ספק ספציפי ועודכן על לוח הצרכנים, אשר לא יכול להתאים עם בקרת שינוי הארגון.
• חיישנים ורדיו הם "הניצחון", כלומר המכשיר בנוי בכוונה ללכוד, לשדר ולסנכרן מידע באופן קבוע.

לאנשי מקצוע בתחום ה- IT, המפלט המרכזי הוא שאין להעריך אותם כ"טלפונים קטנים". הם מכשירי מחשוב גמישים. הסיכונים שלהם מפוזרים על פני זהות, חשיפה לנתונים, מרחב פיזי ושרשרת האספקה.

סוגים נפוצים של לביבש נכנסים למרחבי הארגון

הקטגוריה המתלבשת רחבה יותר מאשר שעון חכם. בארגונים רבים, שיעורי המכשיר הבאים מופיעים במשרדים, במעבדה ובאזורי ייצור:

• שעונים חכמים ומעקבי כושר שמראות הודעות, תומכים עוזרי קול, ולפעמים מספקים קישוריות סלולרית.
• השומעים שמשלבים מיקרופון, עוזרי קול, מתקשרים לטיפול, ואודיו עוברים דרך מצבים שניתן להשתמש בהם בחללים רגישים.
• טבעות חכמות המשמשות לתכונות נוחות, הודעות, מדדי בריאות, או במקרים מסוימים גישה מבוססת קרבה.
• משקפי AR / VR המשמשים לסיוע מרחוק, הכשרה, שירות שדה, או לכידת מדיה אישית.
• ללבוש רפואי המשמש למעקב שיכול להציג נתונים אישיים מוסדרים לרשתות וללוגים עסקיים.

גם כאשר ניתן ללבוש לעולם לא נוגע Wi-Fi, המכשיר עדיין יכול להיות רלוונטי לסיכון תאגידי באמצעות Bluetooth, NFC, או tethering באמצעות טלפון עם גישה לדואר אלקטרוני, הודעות וספקי זהות.

משטח ההתקפה: רדיו, יישומים, זהויות והנתונים המסוכנים

הסיכון לביש הוא הטוב ביותר מובן כמערך של משטחים חופפים. שעון חכם יחיד יכול בו זמנית להיות נקודת קצה Bluetooth, כלי נוחות זהות, מראה הודעה, מיקרופון, וחבילת חיישן מסונן בענן. כאשר אתה ממפה איומים, לטפל בכל אחד מהם כתחום הבקרה שלו.

חשיפה אלחוטית: שתיית אנרגיה נמוכה, מצבי גילוי וקווירקטים פרוטוקולים יכולים ליצור הזדמנויות להסתברות, מעקב או ניצול הקרבה. NFC יכול לאפשר אינטראקציות מהירות כי הם קשים לביקורת. אם המכשיר תומך ב-Wi-Fi או הסלולר, הוא עשוי לעקוף כמה רשתות חברות שולטות לחלוטין.

יישומים משותפים וסינכרון ענן: אפליקציית הטלפון המלווה לעתים קרובות מחזיק אסימונים, הרשאות, וכללי סינכרון. נתונים יכולים לזרום מההודעות הארגוניות לגיבויי ענן אישיים או תכונות סינכרון cross-device. הענן של המוכר הלובש הופך לחלק מגבול הנתונים היעיל שלך.

קיצורי דרך: ללבוש לעתים קרובות מאפשר "להשתפר עם ברז", סגור קרבה, או תשובות מהירות. תכונות קונווינס יכולות להפחית את החיכוך עבור משתמשים וגם להפחית את החיכוך עבור התוקפים אשר מקבלים קרבה פיזית או שליטה חלקית של מכשיר.

הדליפה השאפתנית: הודעות המוצגות על פרק כף יד יכולות לחשוף נושאים רגישים, שמות לקוחות, מזהה כרטיסים, פרטי אירוע או קישורי חד פעמי. מיקרופונים ומצלמות יוצרים שכבת סיכון נוספת בחדרי ישיבות, אזורי SOC, מעבדות ומתקנים עם IP מוגן.

תרחישי סיכון בעולם האמיתי צוותי IT צריכים לתכנן

הסיכון לביש הופך ברור יותר כאשר מתורגם לתרחישים כי פעולות אבטחה, ממשל ותמיכה IT יכולים לזהות ולהגיב. הנקודה היא לא להניח שכל עונד הוא עוין. הנקודה היא להימנע מלהיות מופתע על ידי מצבי כישלון צפויים.

חשיפה להודעה רגישה: עובד מקבל הזמנה של גשר אירוע, הסלמה של לקוחות, או הודעת דואר אלקטרוני של סיסמה. קו הנושא גלוי על שעון חכם במהלך פגישה, בתחבורה ציבורית, או במרחב עבודה משותף. גם ללא תוכן הודעה, metadata יכול להזיק.

חדר ישיבות: ניתן ללבוש עם מיקרופון, עוזר קולי או תכונת הקלטת אודיו נוכחים במהלך דיונים על תמחור, M&A, אירועי אבטחה או פרטי מוצר בלתי חוקיים. הסיכון אינו רק הקלטה זדונית; הוא כולל הפעלה מקרית וסינכרון בענן.

עייפות של זהות: אישורים מהירים הם שימושיים עבור MFA ו-SSO, אבל הם גם מאפשרים צורה של התנהגות "אט-להפצה". אם תוקף מפעיל הפניות חוזרות ונשנות, משתמש מוסחת עשוי לאשר את הבקשה הלא נכונה, במיוחד על UI קטן ללבוש.

סיבוכים של גישה פיזית וגישה פיזית: סביבות מסוימות משתמשות בפתיחה של מחשבים ניידים, דלתות או יישומים. אם ניתן ללבוש משמש כאות אמון והוא אבוד, נגנב, או לווה, הארגון יכול לרשת סיכון אבטחה פיזי מחווות כתכונה נוחות.

קישוריות הצללים: עם יכולת סלולרית יכול להעביר נתונים מבלי להצטרף ל-Wi-Fi. טלפון פגום יכול להשתמש במערכת האקולוגית לבישת הודעות מראות ונתיבי סינון נתונים כי לעקוף פרוקסדיות מסורתיות או בקרת פלח רשת.

איסוף נתונים: ללבוש רפואי יכול להציג נתונים לבריאות במערכות IT באופן עקיף באמצעות כרטיסי תמיכה, צילומי מסך, יומני או בעיות לפתרון שיחות. זה יכול ליצור התחייבויות תאימות שלא התכוונת לקחת.

ממשל: תגדירו מה "מקובל" בסביבתכם

בקרה טכנית עובדת בצורה הטובה ביותר כאשר לארגון יש ציפיות ברורות ואכיפה. מדיניות BYOD רבות נכתבה לפני לבישים הפכה למיינסטרים ומתמקדת בטלפונים, במחשבים ניידים ובאמצעי תקשורת הניתנים להחלפה. העלאת הממשל אינה על איסור מכשירים באופן אוניברסלי. זה קשור להתאמה של עונדים עם מסכי סיכון וקצבי חלל.

תוכניות בוגרות בדרך כלל מגדירות "כללי נוכחות ניתוק" לאזורים שונים:

• אזורי רגישות גבוהים שבהם מיקרופון, מצלמות, ורכיבים ניתנים להקלטה מוגבלים, עם סימנים ברורים ואפשרויות אחסון מאובטחות.
• אזורי משרדים סטנדרטיים שבהם ניתן ללבוש אך הודעות טיפול וצירוף כללים מאוחסנות באמצעות זהות ובקרת התנוחה של נקודות קצה.
• כללי מבקרים וקבלן המתייחסים לבישים באופן מפורש, לא באופן בלתי נמנע.

מדיניות צריכה גם להבהיר את עמדתו של הארגון על חשיפה לתוכן ועיבוד נתונים, כגון אם הודעות דוא"ל תאגידיות מותרות ללבוש, בין אם הודעות תצוגה מקדימה צריכות להיות מוגבלות, וכיצד יש לדווח על אובדן לביש. כאשר הכללים מעורפלים, האכיפה הופכת לבלתי עקבית ותגובה לאירוע הופכת לאט יותר.

בקרה טכנית שמפחיתה סיכון לביש

ללבוש לעתים רחוקות לתמוך באותן מערכות ניהול כמו מחשבים ניידים או טלפונים, ולכן אסטרטגיית הבקרה הטובה ביותר מתמקדת במערכות שבהן אתה יכול לשלוט: זהות, יציבה של הטלפון המלווה, גישה לרשת והגנה על נתונים. המטרה היא להפחית את ההשפעה, להפחית את הסבירות ולשפר את הגילוי מבלי להפוך עבודה יומית לעומס חיכוך.

אכיפה ראשונה: השתמש בגישה מותנית כדי לדרוש אימות חזק ותנוחות מכשיר עבור יישומים עסקיים. במידת האפשר, לקשור גישה למכשירים מנוהלים ולהגבלת פעולות בסיכון גבוה כאשר הפגישה מתפתחת מנקודות קצה לא ידועות או לא ידועות. זה עוזר גם אם ללבוש הוא רק מעורב בעקיפין.

ניהול יציבה של הטלפון כבקרת פרוקסי: אם עונדים מסונכרנים בטלפון, לטפל בטלפון כנקודת האכיפה. ניהול מכשירים ניידים או ניהול נקודות קצה מאוחדת יכול לאכוף הצפנה, מנעול מסך, הגדרות בסיס של גרסת OS, ו- app ממשל עבור מערכת האקולוגית המלווה.

היגיינה: להפחית את הערך של חשיפה הודעה לבישה על ידי הגבלת מה שמופיע בהודעה עבור יישומים עסקיים. שקול להשבית הודעות תצוגה מקדימה, לאכוף "תוכן רגיש חבוי", והגבלת הודעות ניתנות לפעולה המאפשרות אישורים או תשובות מלבוש נעול.

חלוקת רשת ומדיניות גישה: ודא כי נקודות קצה אלחוטיות לא ידועות אינן יכולות להגיע לשירותים פנימיים רגישים. NAC, בידוד רשת אורח, ו חומת אש קפדנית להפחית את הנזק אם יש ללבוש או מלווה שלה ניסיונות מאוחר יותר תנועה או גילוי.

מניעת אובדן נתונים ובקרת ענן: לטפל בענן הצרכנים מסונכרן כערוץ תוקפנות פוטנציאלי. מדיניות DLP, CASB בקרות, והגבלות על דיירים יכולים להפחית סינכרון מקרי של נתונים עסקיים לחשבונות אישיים, במיוחד באמצעות הטלפון שזוגות עם ללבוש.

שילוב וגילוי עם ציפיות מציאותיות: אתה לא יכול לראות את הבליש ישירות, אבל אתה יכול לזהות דפוסים כגון התנהגות אישור יוצא דופן, חתימות אטום, ספיגות רענון פתאומי, או גישה מסוגים בלתי צפויים. Align SIEM מזהה את אירועי הזהות, לא רק סוכני קצה.

ביטחון גופני ו"מרחבי ביטחון" חשובים יותר מאי פעם

לבישים מטשטשים את הקו בין אבטחת סייבר וביטחון גופני. אם הארגון שלך יש חללים שבהם מיקרופון/הפך הוא בעיה, ולאחר מכן טיפול בישולים כ"אביזרים אישיים בלבד" הוא פער. הגישה המעשית ביותר היא הפעלת מרחבים מאובטחים ולא לנסות את אנשי המשטרה באופן לא רשמי.

קחו בחשבון את הפקדים מכובדים ומכובדים:

• שלט אזור בהיר אשר מזכיר במפורש כיבשים ומכשירים ניתנים ללכידת.
• לוקים או סמנים מאובטחים לעובדים ולמבקרים נכנסים לאזורים רגישים.
• שיטות מפגש עבור נושאים רגישים הכוללים ציפיות המכשיר מלפנים.
• חריגים ואישורים המתועדים למקרי שימוש לגיטימיים כגון צרכי נגישות.

תוכנית אבטחת המידע צריכה לשתף פעולה עם מתקנים ו-HR כדי למנוע יצירת כללים "תיאטרון אבטחה" שאינם ניתנים לאכיפתם. קבוצה קטנה של אזורים מוגדרים היטב עם אכיפה עקבית בדרך כלל מתבצעת טוב יותר מאשר כללים רחבים שאף אחד לא עוקב אחריהם.

פרטיות, ציות, והעלות הנסתרת של נתונים לבישים

ללבוש לייצר ולאחסן מידע אישי רגיש, כולל תבניות מיקום, קצב לב, נתוני שינה, ולפעמים אינדיקטורים רפואיים. גם אם הארגון אינו מתכוון לעבד נתונים אלה, הוא יכול להיכנס לסביבה הארגונית בעקיפין באמצעות ערוצי תמיכה, כלי שיתוף פעולה, צילומי מסך או חקירות אירועים.

אנשי IT צריכים לעבוד עם בעלי עניין משפטיים ופרטיות כדי להבהיר:

• בין אם כל מידע הקשור לביש נחשב בתוך היקף ניטור החברה.
• כיצד התגובה לאירוע צריכה להתמודד עם מכשירים המכילים נתונים אישיים לבריאות.
• אילו כללי שמירה וגישה חלים אם נתונים לבישים הופכים לחלק מכרטיס או תיעוד חקירה.

זו לא רק דאגה משפטית. זה משפיע על האמון. פיקוח אגרסיבי יתר על המידה יכול ליצור דחיפה של עובדים ועבודות צל. התוכניות הכי בריאותיות שקופות על מה שנמדד, מדוע וכיצד הוא מוגן.

מוכנות תפעולית: טיפול בלבושים אבודים וחשד שימוש לרעה

לעתים קרובות מדובר ב"קטן" עד שלא. שעון חכם אבוד עשוי להכיל הודעות אחרונות, פרטי לוח שנה ומפה של יום המשתמש. טלפון לוויה נפגע יכול להפוך לבישים לסימן תמידי. חוברות משחק של אירועים צריך לכלול באופן מפורש ללבוש כל כך שולחנות שירות וצוותי SOC אינם אישור.

הכנה יעילה כוללת:

• מסלול דיווח ברור לחבושות שאבדו או נגנבו, בדומה לטלפונים אבודים ולתגים.
• עידוד לפגישות מעוררות, לרקב את האישורים, ולבטל אסימונים כאשר חשבונות לבושים מקושרים נמצאים בסיכון.
• בדיקה סטנדרטית להערכת אם הודעות או אישורים רגישים נחשפו.
• תיעוד של אילו יישומים עסקיים מאפשרים הודעות ללבוש ומה הודעות אלה כוללים.

ודא שהתהליך הוא פשוט מספיק שהעובדים ישתמשו בו. אם הדיווח מרגיש ענישה או מסובך, אנשים מחכים, והמתנה היא מה שהופך את האירועים הניתנים לניהול לחשיפה גדולה.

בסיס אבטחה "נשגב BYOD" עבור צוותי IT

אם הארגון שלך מתחיל מאפס, אתה עדיין יכול להתקדם משמעותית במהירות על ידי התמקדות על בסיס המפחית את הסיכונים הנפוצים ביותר. השיטות הבאות חלות באופן נרחב ולא דורשות בקרת מכשירים פולשנית:

• גישה מותנית ואימות חזק, עם אמצעי הגנה ידידותיים למשתמש כנגד אישורים מקריים.
• נדרשת יציבה מנוהלת עבור הטלפון המלווה כאשר הוא משמש כדי לגשת לדואר אלקטרוני, צ'אט, או זרימת זהות.
• צמצום החשיפה של נתונים על ידי הגבלת תצוגה מקדימה ותכנים רגישים באזהרות בסגנון מנעול-מסך.
• אזורי הגנה מאובטחים שבהם ניתן לחבושות לוכדות מוגבלות ומספקים אפשרויות אחסון מעשיות.
• רשתות סגמנט והגבלת נקודות קצה אלחוטיות לא ידועות יכולות להגיע, גם אם הן מופיעות בקצרה.
• עדכון שפה מדיניות BYOD לכלול באופן מפורש ללבוש, עם ציפיות ברורות ואכיפה מכובדת.
• הוסף תרחישים שניתן ללבוש כדי לתעתת חוברות משחק, להתמקד בביטול ישיבה, היגיינה לקויה ודיווח מהיר.

קו הבסיס אינו קו הסיום. זוהי נקודת התחלה המפחיתה את הסבירות וההשפעה, בעוד הארגון שלך מתבגר את הגישה שלו בהתבסס על מקרים של שימוש בלבוש בפועל וסובלנות סיכון.

מסקנה: טיפול בישולים כתחום אבטחה, לא הערה

עפיפון הוא לא מגמה זמנית. זה חלק מהשינוי הרחב יותר לקראת מחשוב הסביבה, שבו הזהות עוקבת אחר המשתמש על פני מכשירים, חיישנים ומרחבים. עבור אנשי IT, הגישה הנכונה היא לא פאניקה ולא הכחשה. היא ממושמעת ניהול סיכונים: להגדיר איפה ניתן ללבוש מקובל, להפחית את החשיפה של נתונים על ידי עיצוב, לאכוף גישה באמצעות בקרת זהות, ומבצעת מרחבים מאובטחים ותגובה לאירוע.

כאשר ארגונים מתייחסים לבישים כחלק ממדרגה ראשונה של BYOD - לצד טלפונים ומחשבים ניידים - הם מקבלים חשיפה ברורה יותר, פחות הפתעות ונוחות אבטחה שמתאימה למציאות העבודה המודרנית.