غالبًا ما تسمح المؤسسات في الوقت الحاضر للموظفين باستخدام أجهزتهم الشخصية لأغراض العمل، وهي ممارسة تُعرف باسم BYOD (أحضر جهازك الخاص). يوفر BYOD المرونة والراحة، ولكنه ينطوي أيضًا على مخاطر أمنية، حيث تفتقر الأجهزة الشخصية إلى تدابير الحماية الصارمة التي توفرها أجهزة الشركة.
ما هو أمن BYOD؟
تعريف ونطاق أمن BYOD
تهدف سياسة أمان BYOD إلى وضع مبادئ توجيهية وأطر عمل لإدارة ومراقبة استخدام الأجهزة الشخصية للموظفين مثل أجهزة الكمبيوتر المحمولة والهواتف الذكية والأجهزة اللوحية. هناك مخاطر أمنية ضارة في السماح للأجهزة غير المُدارة بالوصول إلى الموارد المحمية، مثل فقدان البيانات أو الإصابة بالبرمجيات الخبيثة.
يجب تحديد العديد من الجوانب الرئيسية للبنية التحتية لتكنولوجيا المعلومات بشكل واضح في نطاق استخدام BYOD. فعلى سبيل المثال، يجب على المؤسسات أن تحدد أنواع الأجهزة المسموح بها لأغراض العمل أو أنواع التطبيقات أو الوصول إلى الموارد الداخلية، وكذلك الموظفين المؤهلين لاستخدام الأجهزة الشخصية.
أهمية تأمين الأجهزة المملوكة للموظفين.
وفقًا لإحصائيات حديثة، فإن 83% من الشركات لديها سياسات معينة لاستخدام الأجهزة الشخصية الخاصة (BYOD) و75% من الموظفين يستخدمون هواتفهم المحمولة الشخصية في العمل. وغالباً ما يتعين على الشركات التي لديها موظفين يعملون عن بُعد وموظفين مختلطين أن تستوعب استخدام الأجهزة الشخصية، خاصةً في الحالات التي يمثل فيها توفير الأجهزة في الوقت المناسب تحدياً.
تثبت سياسة BYOD أنها مفيدة للمؤسسات، حيث إنها تعزز إنتاجية الموظفين ورضاهم عن العمل من خلال توفير أماكن عمل مرنة. كما يمكن للشركات أيضاً خفض التكاليف المتعلقة بتوفير أجهزة الكمبيوتر المحمول أو الهواتف الذكية الخاصة بالعمل، حيث يمكنها السماح للموظفين باستخدام أجهزتهم الشخصية.
المخاطر الأمنية لـ BYOD
الوصول الآمن
أثناء العمل عن بُعد، قد يقوم الموظفون بتوصيل أجهزتهم الشخصية بشبكات واي فاي غير آمنة، والتي تكون عرضة للاعتراض، خاصةً عندما يقبل الموظفون مشاركة الملفات والمجلدات التي يتم الوصول إليها ضمن الشبكات العامة.
Secure التصفح
قد يستخدم الموظفون أجهزتهم الخاصة لزيارة مواقع الويب الضارة أو مواقع التصيّد الاحتيالي والتفاعل معها في غياب أدوات فعالة لحظر الوصول إلى المواقع الضارة وضمان تشفير الاتصال.
Secure تنزيل الملفات
قد تتضمن الملفات غير المؤمنة التي يتم تنزيلها من مواقع الويب أو تطبيقات المراسلة برمجيات خبيثة قد تنتشر عندما يقوم الموظفون بتوصيل حواسيبهم المحمولة بشبكة الشركة. إن السماح بتنزيل الملفات غير الآمنة ينطوي على مخاطر كبيرة لأنه قد يؤدي إلى تسرب بيانات مهمة.
دخول غير مصرح به
عندما يستخدم الموظفون الأجهزة الشخصية لتسيير أعمالهم، يمكن أن يؤدي عدم كفاية الأمن إلى تعريض شبكات الشركات وبياناتها للوصول غير المصرح به. ويزداد الخطر تفاقماً عندما يستخدم أفراد أسر الموظفين أيضاً هذه الأجهزة أو محركات الأقراص USB لنقل البيانات.
ثغرات Software
قد لا تتمتع الأجهزة الشخصية بنفس مستوى الأمان وتحديثات التصحيح التي تتمتع بها الأجهزة التي تصدرها الشركة، مما يجعلها أكثر عرضة للبرمجيات الخبيثة والفيروسات. قد يوفر المستخدمون الذين لديهم إمكانية الوصول إلى أجهزة BYOD دون علمهم ثغرة للجهات الفاعلة السيئة لاستغلالها من خلال الأجهزة ذات البرامج المخترقة التي تصل إلى موارد الشركة.
تسرب البيانات
من النتائج المهمة الأخرى لفقدان الأجهزة أو سرقتها أو اختراقها تسرب البيانات. عندما يتمكن أفراد غير مصرح لهم بالوصول إلى أجهزة BYOD، تواجه المؤسسات خطر تسرب معلومات وبيانات حساسة.
قضايا الامتثال
يمكن أن تؤدي الأجهزة الشخصية التي تفتقر إلى التشفير والتحكم في الوصول وحماية البيانات إلى تحديات في الامتثال لمعايير مثل اللائحة العامة لحماية البيانات (GDPR) وقانون HIPAA و PCI DSS. العواقب القانونية ضارة بشكل خاص للمؤسسات المالية والصحية التي يجب عليها حماية البيانات الحساسة.
دراسات حالة وأمثلة
الوصول غير المصرح به إلى مستودعات التعليمات البرمجية الخاصة في Slack
لوحظت أنشطة مشبوهة في بعض مستودعات GitHub التابعة لشركة Slack في ديسمبر 2022. وعند التحقيق، اكتُشف أن شخصاً مجهول الهوية كان لديه إمكانية الوصول إلى رموز الوصول الخاصة بالموظفين، والتي كانت تُستخدم للوصول إلى مستودعات الأكواد الخاصة. وبعد تحليل البيانات، تبين أن المستخدم غير المصرح له قام بتنزيل عدد من مستودعات منصة التعاون الخاصة.
تسريب بيانات منصة تبادل العملات المشفرة
في عام 2017، سرّبت شركة Bithumb الكورية الجنوبية لتبادل العملات الرقمية معلومات شخصية لـ 30,000 عميل عن غير قصد عندما تم اختراق جهاز كمبيوتر منزلي لأحد الموظفين. وقد حصل المهاجم على بيانات مثل أسماء العملاء وأرقام هواتف mobile وعناوين البريد الإلكتروني، والتي تم الاستفادة منها لاحقًا في إجراء مكالمات هاتفية تصيدية. واضطرت بورصة العملات الرقمية فيما بعد إلى دفع غرامات وتعويض جميع العملاء الذين انكشفت معلوماتهم الشخصية وتعرضوا لخسائر مالية.
برمجيات طروادة الخبيثة المتخفية في شكل تطبيقات Mobile شرعية
في عام 2016، تم اكتشاف برمجية طروادة الخبيثة DressCode في الألعاب والسمات ومعززات أداء الهواتف الذكية على متجر Google Play. وبمجرد تثبيت تطبيق خبيث يحمل برمجية DressCode الخبيثة، فإنه يتواصل مع خادم الأوامر الذي يمكنه إرسال تعليمات لاختراق الشبكة التي يتصل بها الجهاز المصاب. وقد تعرّف الباحثون على أكثر من 400 حالة من التطبيقات الخبيثة التي تحمل برمجية DressCode المضمّنة في تطبيقات متوفرة على Google Play. يمكن أن تشكل التهديدات الأخرى المعروفة أو غير المعروفة المضمنة في التطبيقات خطراً كبيراً على المؤسسات التي تتبع سياسات BYOD.
كيفية Secure كيف BYOD
وضع سياسات "احضر جهازك الخاص بك
الخطوة الأولى الحاسمة الأولى لبيئة آمنة لـ BYOD هي وضع العناصر الأساسية لسياسة أمان BYOD بشكل رسمي:
- اتفاقية المستخدم: تحدد كل ما هو متوقع من الموظفين فيما يتعلق بتأمين أجهزتهم الشخصية. وتشمل عناصر اتفاقية المستخدم النموذجية سياسة الاستخدام المقبول، ومتطلبات الامتثال الأمني، والمسؤولية والتبعات والمسؤولية، خاصة في حالات إنهاء الخدمة وإزالة الجهاز.
- الأنشطة المسموح بها والمحظورة: يحدد المهام المتعلقة بالعمل التي يمكن للموظفين القيام بها على أجهزتهم الشخصية، مثل التطبيقات المسموح بها أو الوصول إلى رسائل البريد الإلكتروني أو الوصول إلى المستندات الداخلية. يجب حظر الأنشطة التي يمكن أن تشكل مخاطر على الشركة، مثل تخزين البيانات الحساسة على الأجهزة الشخصية أو تنزيل ملفات غير مصرح بها.
- الأجهزة المسموح بها: يحدد الأجهزة الشخصية المسموح بها، مثل الهواتف الذكية والأجهزة اللوحية وأجهزة الكمبيوتر المحمولة، بما في ذلك الطرازات والعلامات التجارية وأنظمة التشغيل (على سبيل المثال، iOS وAndroid وMacOS وWindows) لضمان توافق الأجهزة مع تكوين أمان الشركة.
Mobile إدارة الأجهزة (MDM)
تعمل تقنية MDM على توفير الأجهزة المستخدمة للعمل في الشركات وإدارتها والتحكم فيها. إلى جانب التحكم في أجهزة الشركات، يمكن لبرنامج MDM أيضًا تسجيل الأجهزة الشخصية للموظفين. يقوم برنامج MDM بتزويد الأجهزة ببيانات الملف الشخصي، والشبكات الافتراضية الخاصة، والتطبيقات والموارد اللازمة، بالإضافة إلى أدوات لمراقبة نشاط الجهاز.
إنشاء سياسة Media القابلة للإزالة
يشكل استخدام الوسائط القابلة للإزالة، مثل USB والأقراص الصلبة الخارجية، لنقل البيانات مخاطر أمنية كبيرة. حيث يمكن لهذه الأجهزة إدخال برمجيات خبيثة إلى الشبكة، مما قد يؤدي إلى اختراق البيانات أو تعطيل النظام. يمكن للحل المادي، مثل MetaDefender Kiosk™، فحص الوسائط القابلة للإزالة باستخدام محركات متعددة لمكافحة البرامج الضارة لضمان سلامتها.
تنفيذ الحلول الأمنية
BYOD devices can be protected by endpoint security solutions like MetaDefender Endpoint™. يفرض برنامج أمان نقطة النهاية هذا تدابير أمنية حاسمة على الأجهزة لدرء التهديدات.
يحمي السرية من خلال مطالبة المستخدمين بتقديم طبقات متعددة من التحقق مثل كلمة المرور، أو رمز OTP للجهاز الثاني، أو البيانات البيومترية.
يحمي البيانات الحساسة سواء في حالة السكون أو أثناء النقل. من خلال تشفير البيانات القابلة للقراءة طوال دورة حياتها، يمكن للمؤسسات ضمان بقاء المعلومات غير مفهومة للمستخدمين غير المصرح لهم في حالة فقدان الأجهزة أو سرقتها أو اختراقها.
فرض السياسات، وضمان امتثال الأجهزة قبل الوصول إلى موارد الشركة. وغالباً ما تتضمن هذه السياسات جداول فحص البرامج الضارة، وإدارة الثغرات الأمنية والتصحيح، وحاصرات تسجيل المفاتيح، ومنع التقاط الشاشة.
لا تسمح بعض تفويضات الامتثال بتثبيت البرامج على الأجهزة العابرة التابعة لجهات خارجية، مما يحظر تثبيت حلول نقطة النهاية. To ensure compliance with such mandates, a solution like MetaDefender Drive™ can be deployed to perform bare-metal scans without booting from transient devices’ operating systems.
تدابير أمان الشبكة
يسمح أمان الشبكة بالإدارة والتحكم في الوصول من نقاط النهاية إلى شبكات الشركة، مما يضمن اتصال الأجهزة المصرح بها والمتوافقة فقط.
الوصول الآمن
يفرض النُهج التي تحمي الاتصال من نقاط النهاية إلى الشبكة مثل جدران الحماية والشبكات الافتراضية الخاصة الآمنة للوصول عن بُعد والامتيازات المستندة إلى الأدوار للوصول إلى الملفات والبيانات.
تجزئة الشبكة
فصل أجهزة BYOD عن قطاعات شبكة الشركة الحساسة. من خلال عزل حركة مرور بيانات BYOD، في حالة وجود أي أجهزة مخترقة، لن يتمكن المهاجمون من الوصول إلى الأجزاء الحساسة الأخرى من الشبكة.
عمليات التدقيق والمراقبة المنتظمة
ينشئ إمكانية رؤية جميع الأجهزة المتصلة، مما يتيح المراقبة المستمرة لنشاط الشبكة. من خلال إجراء تقييم منتظم لنقاط الضعف، يمكن للمؤسسات تحديد الحالات الشاذة والثغرات الأمنية بشكل استباقي.
أفضل الممارسات لأمن BYOD
تدريب الموظفين وتوعيتهم
الدورات التدريبية المنتظمة
تثقيف الموظفين حول أفضل الممارسات الأمنية الخاصة بـ BYOD، مثل نظافة كلمة المرور، وإعدادات أمان الجهاز، وعادات التصفح الآمن، والتخفيف من أحدث التهديدات الإلكترونية.
محاكاة التصيد الاحتيالي
إجراء محاكاة لهجمات التصيد الاحتيالي لاختبار وعي المستخدمين، ومساعدة الموظفين على التعرف على محاولات التصيد الاحتيالي والرد عليها.
تخطيط الاستجابة للحوادث
وضع خطة الاستجابة للحوادث
يحدد الأدوار والمسؤوليات، ويحدد العواقب المحتملة، ويصف خطوات العمل قبل وأثناء وبعد وقوع حادث أمني يتعلق بـ "أحضر جهازك الخاص بك". تتضمن خطة الاستجابة الشاملة تسلسل قيادي واضح، من فريق الأمن إلى أصحاب المصلحة الآخرين، وبروتوكولات الاتصال للتخفيف من العواقب المترتبة على الحادث الأمني.
الحفاظ على النهج الشمولي
توفر سياسة BYOD BYOD فوائد كبيرة للمؤسسات، مثل زيادة رضا الموظفين من خلال المرونة والتوازن بين العمل والحياة، بالإضافة إلى توفير التكاليف من خلال تقليل شراء الأجهزة. ولا ينبغي التقليل من شأن التحديات المصاحبة لذلك، مثل الوصول غير المصرح به والامتثال التنظيمي ونقاط الدخول الضعيفة للجهات الفاعلة في مجال التهديد.
يجب على المؤسسات التي تتبنى مفهوم "أحضر جهازك الخاص معك" (BYOD) أن تتبع نهجاً شاملاً يعالج المخاطر في كل جانب، بدءاً من وضع سياسات رسمية واتفاقيات المستخدمين، إلى فرض أمن نقاط النهاية وتوفير التدريب لتعزيز وعي الموظفين. من خلال التنفيذ الشامل والتحسين المستمر، يمكن للمؤسسات أن تجني الفوائد الكاملة من "أحضر جهازك الخاص معك" مع البقاء في الوقت نفسه في صدارة التهديدات التي تواجه البنية التحتية للمؤسسة.
أمان BYOD مع OPSWAT MetaDefender IT Access ™
معالجة تحديات BYOD, MetaDefender IT Access هي عبارة عن منصة موحدة لإدارة أمن نقطة النهاية تضمن الامتثال الأمني والرؤية والتحكم لمستخدمي BYOD الذين يصلون إلى موارد المؤسسة. وباستخدام تقنية SDP (المحيط المعرّف بالبرمجيات)، تقوم المنصة بإجراء فحوصات شاملة لوضع الجهاز، بما في ذلك تقييمات المخاطر والثغرات الأمنية، ويمكنها اكتشاف ما يقرب من 10,000 تطبيق خارجي. MetaDefender IT Access كما أنه مبني على فلسفة الوصول إلى الشبكة بدون ثقة (ZTNA)، ويضمن أن الهويات المصرح بها فقط هي التي يمكنها الوصول إلى الشبكة، مما يوفر بيئة عمل آمنة دون إعاقة سير العمل.
