ארגונים כיום מאפשרים לעתים קרובות לעובדים להשתמש במכשירים האישיים שלהם למטרות עבודה, נוהג המכונה BYOD (הבא את המכשיר שלך). BYOD מציע גמישות ונוחות, אך גם מציג סיכוני אבטחה, מכיוון שלמכשירים אישיים חסרים אמצעי ההגנה המחמירים של חומרה ארגונית.
מהי אבטחת BYOD?
הגדרה והיקף של אבטחת BYOD
מדיניות אבטחת BYOD שואפת לקבוע הנחיות ומסגרות לניהול ובקרה של השימוש במכשירים אישיים של עובדים כמו מחשבים ניידים, סמארטפונים וטאבלטים. קיימים סיכוני אבטחה מזיקים במתן גישה למשאבים מוגנים למכשירים לא מנוהלים, כגון אובדן נתונים או הדבקות בתוכנות זדוניות.
מספר היבטים מרכזיים של תשתית ה-IT חייבים להיות מוגדרים בבירור בהיקף השימוש שלהם ב-BYOD. לדוגמה, ארגונים חייבים להחליט אילו סוגי מכשירים מותרים למטרות עסקיות, סוגי יישומים או גישה למשאבים פנימיים, כמו גם אנשי צוות הזכאים לשימוש במכשירים אישיים.
חשיבות אבטחת מכשירים בבעלות העובדים.
על פי נתונים סטטיסטיים עדכניים, ל-83% מהחברות יש מדיניות מסוימת של BYOD (השתמשו במכשירים אישיים) ו -75% מהעובדים משתמשים בטלפונים הסלולריים האישיים שלהם לעבודה. חברות עם עובדים מרוחקים והיברידיים חייבות לעתים קרובות להתאים את עצמן לשימוש במכשירים אישיים, במיוחד במצבים בהם אספקת חומרה בזמן מהווה אתגר.
מדיניות BYOD מוכיחה את עצמה כמועילה לארגונים, שכן היא מגבירה את הפרודוקטיביות של העובדים ואת שביעות הרצון שלהם בעבודה באמצעות גמישות בעבודה. חברות יכולות גם לקצץ בעלויות הקשורות להקצאת מחשבים ניידים או סמארטפונים לעבודה, שכן הן יכולות לאפשר לעובדים להשתמש במכשירים האישיים שלהם.
סיכוני אבטחה של BYOD
גישה מאובטחת
בזמן עבודה מרחוק, עובדים עשויים לחבר את המכשירים האישיים שלהם לרשתות Wi-Fi לא מאובטחות, אשר פגיעות ליירוט, במיוחד כאשר עובדים מסכימים לשתף קבצים ותיקיות אליהם ניתן לגשת בתוך רשתות ציבוריות.
Secure דִפדוּף
עובדים עשויים להשתמש במכשירים שלהם כדי לבקר ולקיים אינטראקציה עם אתרי אינטרנט זדוניים או פישינג בהיעדר כלים יעילים לחסימת גישה לאתרים מזיקים ולהבטיח שהחיבור מוצפן.
Secure הורדות קבצים
קבצים שלא נסרקו שהורדו מאתרי אינטרנט או מאפליקציות מסרים עלולים להכיל תוכנות זדוניות שעלולות להתפשט כאשר עובדים מחברים את המחשבים הניידים שלהם לרשת החברה. מתן אפשרות להורדת קבצים לא מאובטחים טומן בחובו סיכון עצום מכיוון שהוא עלול להוביל לדליפות נתונים קריטיות.
גישה בלתי מורשית
כאשר עובדים משתמשים במכשירים אישיים לצורך ביצוע עבודתם, אבטחה לא מספקת עלולה לחשוף את הרשתות והנתונים של החברות לגישה בלתי מורשית. הסיכון מחמיר עוד יותר כאשר בני משפחתם של העובדים משתמשים גם במכשירים אלה או... USB כוננים להעברת נתונים.
Software פגיעויות
ייתכן שמכשירים אישיים לא יהיו בעלי אותה רמת אבטחה ועדכוני תיקונים כמו מכשירים שהנפיקו על ידי החברה, מה שהופך אותם לפגיעים יותר לתוכנות זדוניות ווירוסים. משתמשים עם גישת BYOD (השתמשו באפליקציה) עלולים, מבלי דעת, ליצור פתח לניצול לרעה באמצעות מכשירים עם תוכנה פגועה הניגשת למשאבי החברה.
דליפת נתונים
תוצאה משמעותית נוספת של אובדן, גניבה או פגיעה במכשירים היא דליפת נתונים. כאשר אנשים לא מורשים מקבלים גישה למכשירי BYOD, ארגונים עומדים בפני סיכון של דליפת מידע ונתונים רגישים.
בעיות תאימות
מכשירים אישיים ללא הצפנה, בקרת גישה והגנה על נתונים עלולים להוביל לאתגרים בעמידה בתקנים כמו GDPR, HIPAA ו-PCI DSS. ההשלכות המשפטיות מזיקות במיוחד למוסדות פיננסיים ובריאותיים שחייבים להגן על נתונים רגישים.
מקרי בוחן ודוגמאות
גישה בלתי מורשית למאגרי הקוד הפרטיים של Slack
פעילות חשודה אותרה בכמה ממאגרי GitHub של Slack בדצמבר 2022. בחקירה התגלה כי אדם לא מזוהה קיבל גישה לאסימוני גישה של עובדים, אשר שימשו לגישה למאגרי קוד פרטיים. לאחר ניתוח הנתונים, נמצא כי המשתמש הלא מורשה הוריד מספר מאגרים פרטיים של פלטפורמת שיתוף הפעולה.
דליפת נתונים מפלטפורמת בורסת מטבעות קריפטוגרפיים
בשנת 2017, בורסת המטבעות הקריפטוגרפיים הדרום קוריאנית Bithumb הדליפה בטעות מידע אישי של 30,000 לקוחות כאשר מחשב ביתי של עובד נפרץ. התוקף אסף נתונים כגון שמות לקוחות, mobile מספרי טלפון וכתובות דוא"ל, אשר נוצלו מאוחר יותר לשיחות טלפון באמצעות פישינג. בורסת המטבעות הקריפטוגרפיים נאלצה מאוחר יותר לשלם קנסות ולפצות את כל הלקוחות שמידע אישי נחשף וסבלו מהפסד כספי.
סוס טרויאני זדוני במסווה של לגיטימי Mobile אפליקציות
בשנת 2016 התגלתה אפליקציה זדונית מסוג DressCode במשחקים, ערכות נושא ומשפרי ביצועים של סמארטפונים בחנות Google Play. לאחר התקנת אפליקציה זדונית הנושאת DressCode, היא הייתה מתקשרת עם שרת הפקודות, אשר יכול היה לשלוח הוראות לחדור לרשת שאליה היה מחובר המכשיר הנגוע. חוקרים זיהו למעלה מ-400 מקרים של אפליקציות זדוניות של DressCode המוטמעות ב-Google Play. איומים ידועים או לא ידועים אחרים המוטמעים באפליקציות עלולים להוות סיכון משמעותי לארגונים עם מדיניות BYOD.
איך לעשות Secure BYOD
קביעת מדיניות BYOD
הצעד הקריטי הראשון לסביבת BYOD מאובטחת הוא קביעה רשמית של אלמנטים חיוניים של מדיניות אבטחת BYOD:
- הסכם משתמש: מתאר את כל מה שמצופה מעובדים מבחינת אבטחת המכשירים האישיים שלהם. רכיבים אופייניים בהסכם משתמש כוללים מדיניות שימוש מקובל, דרישות תאימות אבטחה, וחבות ואחריות, במיוחד במקרים של פיטורים והסרת מכשירים.
- פעילויות מותרות ואסורות: מגדיר משימות הקשורות לעבודה שעובדים יכולים לבצע במכשירים האישיים שלהם, כגון אפליקציות מותרות, גישה לדוא"ל או גישה למסמכים פנימיים. יש לאסור פעילויות שעלולות להוות סיכונים לחברה, כגון אחסון נתונים רגישים במכשירים אישיים או הורדת קבצים לא מורשים.
- מכשירים מותרים: מציין אילו מכשירים אישיים מותרים, כגון סמארטפונים, טאבלטים, מחשבים ניידים, כולל דגמים, מותגים ומערכות הפעלה ספציפיות (למשל, iOS, Android, macOS, Windows) כדי להבטיח שהמכשירים תואמים לתצורת האבטחה של החברה.
Mobile ניהול מכשירים (MDM)
טכנולוגיית MDM מספקת, מנהלת ושולטת במכשירים המשמשים לעבודה בארגונים. בנוסף לשליטה במכשירים ארגוניים, תוכנית MDM יכולה גם לרשום את המכשירים האישיים של העובדים. תוכנת MDM משלבת במכשירים נתוני פרופיל, רשתות VPN, יישומים ומשאבים נחוצים, כמו גם כלים לניטור פעילות מכשירים.
הקמת מערכת נשלף Media מְדִינִיוּת
שימוש במדיה נשלפת, כגון USB וכוננים קשיחים חיצוניים, להעברת נתונים מהווים סיכוני אבטחה משמעותיים. מכשירים כאלה עלולים להכניס תוכנות זדוניות לרשת, מה שעלול להוביל לפריצות נתונים או שיבושים במערכת. פתרון פיזי, כמו MetaDefender Kiosk™ , יכול לסרוק מדיה נשלפת באמצעות מנועי אנטי-תוכנות זדוניות מרובים כדי להבטיח את בטיחותם.
יישום פתרונות אבטחה
ניתן להגן על התקני BYOD באמצעות פתרונות אבטחת נקודות קצה כמו MetaDefender Endpoint™ . תוכנית אבטחת נקודות קצה זו אוכפת אמצעי אבטחה חיוניים על המכשירים כדי להדוף איומים.
שומר על סודיות על ידי דרישה ממשתמשים לספק שכבות מרובות של אימות כמו סיסמה, קוד OTP של מכשיר שני או נתונים ביומטריים.
מגן על נתונים רגישים הן במצב מנוחה והן במעבר. על ידי הצפנת נתונים קריאים לאורך כל מחזור חייהם, ארגונים יכולים להבטיח שהמידע יישאר בלתי מובן למשתמשים לא מורשים במקרה של אובדן, גניבה או פגיעה במכשירים.
אוכפת מדיניות, ומוודאת שהמכשירים תואמים לתקנות לפני גישה למשאבי החברה. מדיניות זו כוללת לעתים קרובות לוחות זמנים לסריקות נגד תוכנות זדוניות, ניהול פגיעויות ותיקונים, חוסמי רישום מקשים ומניעת לכידת מסך.
חלק מחויבות התאימות אינן מתירות התקנת תוכנה על גבי התקנים זמניים של צד שלישי, מה שאוסר על התקנת פתרונות נקודת קצה. כדי להבטיח עמידה בחובות כאלה, ניתן לפרוס פתרון כמו MetaDefender Drive™ לביצוע סריקות Bare Metal מבלי לאתחל ממערכות ההפעלה של התקנים זמניים.
אמצעי אבטחת רשת
אבטחת רשת מאפשרת ניהול ובקרת גישה מנקודות קצה ועד לרשתות ארגוניות, ומבטיחה שרק מכשירים מורשים ותואמים יוכלו להתחבר.
גישה מאובטחת
אוכף מדיניות המגנה על החיבור מנקודות קצה לרשת כגון חומות אש, רשתות VPN מאובטחות לגישה מרחוק והרשאות מבוססות תפקידים לגישה לקבצים ונתונים.
פילוח רשת
מפריד בין מכשירי BYOD לבין מקטעי רשת קריטיים של החברה. על ידי בידוד תעבורת BYOD, במקרה של פגיעה במכשירים, לתוקפים לא תהיה גישה לחלקים רגישים אחרים ברשת.
ביקורות ומעקב שוטפים
יוצר נראות לכל המכשירים המחוברים, ומאפשר ניטור רציף של פעילות הרשת. על ידי ביצוע הערכת פגיעויות סדירה, ארגונים יכולים לזהות באופן יזום אנומליות ופערי אבטחה.
שיטות עבודה מומלצות לאבטחת BYOD
הכשרת עובדים ומודעות
אימונים סדירים
הדרכו את העובדים בנוגע לשיטות עבודה מומלצות לאבטחת BYOD, כגון היגיינת סיסמאות, הגדרות אבטחת מכשירים, הרגלי גלישה בטוחים והפחתת איומי הסייבר האחרונים.
סימולציות פישינג
בצעו התקפות פישינג מדומות כדי לבחון את מודעות המשתמשים, ולסייע לעובדים לזהות ולהגיב לניסיונות פישינג.
תכנון תגובה לאירועים
פיתוח תוכנית תגובה לאירוע
מגדיר תפקידים ואחריות, מזהה השלכות אפשריות וקובע צעדי פעולה לפני, במהלך ואחרי אירוע אבטחה מסוג BYOD. תוכנית תגובה מקיפה כוללת שרשרת פיקוד ברורה, מצוות האבטחה ועד לבעלי עניין אחרים, ופרוטוקולי תקשורת כדי למתן את ההשלכות של אירוע אבטחה.
שמירה על גישה הוליסטית
מדיניות BYOD מציעה יתרונות משמעותיים לארגונים, כגון שביעות רצון רבה יותר של העובדים באמצעות גמישות ואיזון בין עבודה לחיים פרטיים, כמו גם חיסכון בעלויות כתוצאה מרכישת מכשירים מופחתת. אין לזלזל באתגרים הנלווים, כגון גישה בלתי מורשית, תאימות לתקנות ונקודות כניסה פגיעות עבור גורמי איום.
ארגונים המאמצים BYOD חייבים לנקוט בגישה הוליסטית, תוך התייחסות לסיכונים בכל היבט, החל מקביעת מדיניות פורמלית והסכמי משתמש, דרך אכיפת אבטחת נקודות קצה ומתן הדרכה להגברת מודעות העובדים. באמצעות ביצוע מקיף ושיפור מתמיד, ארגונים יכולים לקצור את מלוא היתרונות של BYOD תוך שמירה על צעד אחד קדימה מול איומים על התשתית הארגונית שלהם.
אבטחת BYOD עם OPSWAT MetaDefender IT Access ™
MetaDefender IT Access , המתמודדת עם אתגרי BYOD, היא פלטפורמה מאוחדת לניהול אבטחת נקודות קצה, המבטיחה תאימות אבטחה, נראות ובקרה עבור משתמשי BYOD הניגשים למשאבי ארגון. SDP בטכנולוגיית (היקפי מוגדר תוכנה), היא מבצעת בדיקות מקיפות של יציבות המכשיר, כולל הערכות סיכונים ופגיעויות, ויכולה לזהות כמעט 10,000 אפליקציות של צד שלישי. MetaDefender IT Access , הבנויה על פילוסופיית ZTNA (גישה לרשת ללא אמון), מבטיחה שרק זהויות מורשות יוכלו לגשת לרשת, ומספקת סביבת עבודה מאובטחת מבלי להפריע לזרימות עבודה.
