几乎每个人都听过这样一句话“如果一件事听起来像是千真万确的,那它就很可能是真的”,然而很少有人注意到这句话的警示寓言,因为每一年都会有成千上万的企业和数以百万计的人被欺诈。互联网让企业和用户遭遇到恶意行为的迫害,致使他们的钱财和重要信息被窃取。传统的互联网诈骗更青睐于受害者的信用卡信息,而今天的互联网诈骗更倾向于免费提供***的、有网络漏洞的服务,致使你上当受害。
对于企业的IT人员和IT安全团队来说,这将是一个新奇的、有趣的挑战。大多数公司习惯在相关的应用程序和软件方面花费成本、进行安全监管,对免费的概念还认识得不够多。
下面就让我们来看看大多数中大型企业购买新软件的过程吧。当业务需求确定以后,需要启动资金、建立预算,在订购单批准以后,需要请教专业的IT人员推荐合适的技术解决方案。此时,IT人员将会对可选的软件进行调查和研究,对供应商的安全和诚信进行评估,或许还会跟分析师一起商量分析,把可选的范围缩小,然后再做决定。通常情况下,***一个步骤是待法律审查合同和服务条款,以确保符合公司政策。软件一旦购买以后,就要安装和注册。
在商业环境下,处理免费软件或应用程序的下载时,所有的保障措施没有一个是管用的。随着预算的紧缩和IT资源的减少,用户可能就会寻找免费的软件,而不是修改采购流程去购买新的软件工具。我承认,有许多的免费软件和应用程序讷能够提供巨大的商业价值,但是用户和IT人员必须权衡哪些工具是允许使用在自己的办公环境中,这是一个风险与回报的权衡。
许多的企业组织只允许管理员到企业网络上下载软件,以为这样就能够在软件安装上提供安全保障。然而,随着云计算应用程序和BYOD设备的增多,软件安装的概念在企业网络中已经不像原来那样重要了,扩展关于云计算应用程序和BYOD设备的企业网络的权限已经授权给用户了,目前面对的现实是无论被不被批准,大多数企业网络都在继续向云计算扩展。
对于大多数企业用户而言,相比与风险,下载免费软件和程序有更多的效益和好处。例如,在一台平板电脑或智能手机上下载和使用***的热门游戏,对个人用户来说基本上是没有风险的。在这些设备上潜在的数据丢失风险其实是非常小的,而且在大多数情况下,像Google和苹果这样的网上应用商店会对它们主机上的应用程序做一些审查工作,以确保安全。然而,如果在企业网络中引入一个有漏洞的应用程序,其带来的风险可能会是灾难性的,那时你要担心的就不止一个用户了。
因为免费软件和程序的运行通常都是很低调的,再加上IT和安全团队也没有很积极地监测这些程序,所以很难洞察到它们的存在。从用户的角度来看,无论是下载这些免费软件和程序,还是通过Web浏览器得到企业的软件服务程序的使用权限,都不会增加企业的消费成本,所以没有理由不把它们引入到企业中。这种设想创造了新的安全威胁类型,这些漏洞建立者妄图把免费的软件或程序变成高代价的工具。
面对这新的挑战,IT人员并不具有完全的抵抗力,因为这些免费工具本身是为IT管理服务的;另一方面,他们也想在完成工作的同时,尽可能提高速度和降低成本。但是当一个IT管理员安装或授权一个Web浏览器使用企业的软件服务程序的时候,也就说明了他的上级管理员在访问第三方的免费应用程序。
那么,企业组织是否应该感到恐慌了呢?不应该,他们应该对这一问题做好处理和解决的准备,虽然我一直在提倡效率,并且允许员工使用能够提高自己生产力的工具,但是保护组织的完整和安全永远都是最重要的。记住,如果一件事情好到不像是真的的时候,它通常就是真的。因此,我建议网络安全人员教育自己的职员要考虑到免费软件和程序的潜在风险,提醒他们要从可信网站上去下载授权的软件和程序。
一个软件或程序的标价不应该是安全性的试金石,它仅仅说明了该软件或程序是否值得进一步调查。大多数可供下载的工具,不管是不是免费的,都应该考虑它们的使用性能和安全性。但是,尽管我们知道互联网是一个很危险的地方,还是有很多人为了经济利益而对这些漏洞不管不顾。
另外虽然有一句古话说,天下没有免费的午餐,但是如果企业组织稍加警惕和教育的话,这些免费软件和程序或许会成为例外。
转载请注明:IT运维空间 » 安全防护 » 不容小觑 企业免费软件背后的真正代价
发表评论