征文｜肖文棣：终端安全的企业实践

十年前，移动恶意软件被认为是一种新的、不太可能的威胁。许多移动设备用户甚至认为自己不会受到影响。但到了今天，移动办公已经成为了企业常态，BYOD设备已经成了企业安全的新的威胁，所以终端安全值得每个企业重视起来。

终端安全，在笔者的企业也称为移动设备安全。笔者的企业关注的移动设备包括笔记本电脑、MacBook、蓝莓、iPhone、iPad、安卓手机、安卓平板电脑、外置硬盘和USB等。

终端安全的实践，根据笔者的经验，和其他安全实践一样，也要分成流程、技术、人三个方面，其中流程是准则，技术是保障，人员是关键。

流程

现代社会是法制社会，讲究依法治国，所以企业的流程就相当于国家的法律。笔者公司奉行的是法无禁止则行的原则，所以笔者公司的流程制定得相当仔细。

首先，流程清楚地界定了终端安全包括什么设备，并且给了明确的举例（如笔记本电脑，Macbook，蓝莓，iPhone，iPad，安卓手机，安卓平板电脑，外置硬盘和USB等），而不会笼统地称呼为移动设备，但是又不知道移动设备具体包括什么内容。笔者觉得这个界定非常重要，很值得大家推广和学习。因为不同的设备在具体的流程执行过程中可能是不一样的，比如笔记本电脑和MacBook是不一样的，安装的软件和依赖的技术都不一样，这些都是细节。而且没有清楚的界定，就可能有遗漏，出现问题就可能产生分歧，所以这个要非常重视。

接着，流程清楚地界定管辖范围，笔者公司的终端安全范围包括所有员工、顾问、临时人员、其他公司内部人员，包括第三方人员的需要访问公司网络的设备。笔者公司的流程将笔者公司可能遇到的所有人员都清楚地列举出来。这样遇到情况就可以有的放矢，不会手忙脚乱。而且清晰的界定就带来清晰的责任，消灭模糊就可以减少侥幸心理。

最后，流程清楚地明确责任，非常清晰明了地指明用户对任何损坏、丢失、误用或者设备被盗用以及信息泄漏负全责，这样就避免后期互相扯皮。同时也提醒用户需要确保设备在任何时候都是安全的，不能被设备遗留在任何可能有隐患的地方，并且针对这些可能有隐患的地方进行了清晰的举例说明。

流程还应该清楚地给出事故指引，一旦发生安全问题，如设备丢失、损坏、数据泄漏等问题，用户需要第一时间根据指定的格式提交问题单通知安全部门进行处理。同时要运行安全部门远程擦除丢失的移动设备数据。笔者公司的流程还明确要求，移动设备不允许存放机密数据，机密数据应该放在笔者公司认证的服务器上。

所以好的流程要目标清晰，范围明确、责任清晰，以及要有简单可操作的问题指引。

技术

安全是实践活动，光有流程是不够的，所以要有相关的技术作为支撑。笔者的公司在保障终端安全方面涉及这些重要的技术。

塞门铁克SEP用于硬盘加密，每次开机都要输入密码进行解密，所以笔者公司的笔记本电脑开机都是需要输入用户名和密码的，而且这个用户名和密码是和笔者公司的Activity Directory账号绑定的，同样遵循AD账号的管理策略，每2个月需要更换一次密码。这个密码是BIOS密码，会将笔记本的磁盘进行加密。这样可以防止笔记本电脑丢失后硬盘数据的泄漏。赛门铁克SEP主要应用在笔者公司的笔记本电脑和MacBook上，其他设备并没有应用。根据赛门铁克的SEP描述，它的功能非常强大，不仅仅用于硬盘加密，而且还与Activity Directory深度集成。

Cybereaso安装在笔者公司所有的笔记本电脑和MacBook上，主要用于端点检测和响应，主要防御本地的恶意脚本以及可能通过钓鱼邮件攻击下载的恶意样本，包括现在非常猖狂的勒索软件。Cybereason支持Windows、Mac&iOS、Android和Linux等多种系统，但是笔者公司只在Windows和Mac的机器上部署该系统，Linux系统在计划中，未来会很快试试，但是笔者公司并没有考虑在Android和iOS等设备上部署。因为笔者公司认为Android和iOS这些设备是不可靠的，这个观点和现在很多公司的观点是一致的。笔者公司的笔记本和MacBook可以通过VPN接入的公司的内部网络，而其他移动设备是不允许接入内网的，这也是Cybereason需要安装在笔记本和MacBook上而不需要安装在Android和iOS设备上的原因。

Windows Security是Windows 10内置的安全中心。笔者公司已经使用了Windows Security替换了原来的赛门铁克企业杀毒方案。讲过实践证明，Windows Security是一款很值得信赖的产品，关键是与Windows集成。笔者认为，在Windows 10的机器上，不需要额外安装别的杀毒产品了。

Office 365 ATA是微软Office 365提供的高级威胁分析，主要用于操作的行为分析，这个不仅仅是用于终端安全。ATA的原理是给每个员工的行为定义了基线，比如一个员工每天会访问什么服务器，并且访问多少次这些服务器都是有规律，一旦发现某个员工的某台机器访问了意外的服务器，ATA就会告警。这样ATA就比较容易发现入侵事件和零日漏洞。实践表明，ATA还是比较有用的，但是ATA前期磨合会出现比较多的误报，但经过一段时间的运营后，就会趋于稳定。

OKTA Verify是用于双因素认证的。原来笔者公司使用RSA Token，现在已经被OKTA Verify替换。根据笔者的经验，OKTA Verify比RSA Token更加易用，更加安全，值得推荐。但是由于国内环境的影响，OKTA Verify注册要使用手工Token注册，不能直接扫描二维码，这个是需要注意的地方。

还有一些其他技术我就不一一例举，希望笔者的经验对于读者的企业的终端安全建设有所帮助。

人

去年RSA2020大会上将人的因素作为主题。人是网络安全中最薄弱的一环。很多安全问题都是与人的因素相关的。比如说，一个人为的疏忽或者一个错误的配置可能导致所有的安全措施失效，或者由于一个人的安全意识薄弱被网络钓鱼。安全防御被突破往往都是人为原因引起的。同时人也是保护网络安全的重要因素。网络安全到最后不是程序和程序的对抗，而是人和人的对抗。

笔者公司的实践是重视员工的培训以及日常演练，让每个员工心里都要有安全意识，都对安全负责任。

首先员工的入职培训要包括常规的安全培训，员工从进入公司的第一刻起就要意识到自己的安全责任和使命，知道公司的安全不仅仅是安全部门的事情，而且是自己的事情。同时公司还要和员工每年都要签安全协议，强化员工的责任。

接着安全部门定期还要进行专题的安全培训，笔者公司主要是用proofpoint的securityeducation.com的平台，这个平台里面的培训图文并茂，而且提供音频、视频和动画等多种形式，而且每个主题多数少于30分钟，每次主题完成后还要求完成测试，并且通过测试后还会颁发电子证书，非常专业。

最后安全部门定期进行钓鱼测试。笔者的安全部门定期都会模拟对全员发钓鱼邮件。这个钓鱼测试效果很明显，现在笔者公司的员工看到来自任何不认识来源的邮件，特别是带有链接和附件的邮件，都会第一时间向安全部门反馈，这也给笔者的安全部门增加了不少负担。同时笔者公司会使用proofpoint对垃圾邮件进行拦截，这个也会造成一定误杀，特别是来自一些技术公司的广告邮件，也被作为垃圾邮件拦截。这个也给笔者带来一点困扰，但瑕不掩瑜，proofpoint还是很有作用，同时定时的安全测试也是很有效果的。

总的来说，终端安全对于企业来说非常重要，不重视终端安全，企业可能会蒙受重大损失。重视终端安全，就要从流程、技术和人三个方面出发，每个都要重视起来，这样就可以构建出比较好的终端安全防御，为企业的业务发展保驾护航。

四月主题：《一个人的安全》

十一~十二月主题：《零信任》