移动管理软件制造商MobileIron的联邦首席技术官Bill Harrod正在寻找联邦自带设备(BYOD)政策的变化,以及对数字化转型的持续推动,以帮助维持并确保向广泛的远程办公的转变政府和工业界在COVID-19大流行中及以后的情况。

哈罗德(Harrod)在政府和私营部门领导网络安全运营超过30年,其中包括在联邦调查局(Federal Bureau of Investigation)和CA技术方面长期任职。他与梅里泰克(MeriTalk)进行了几周的大流行交流,探讨了这些政策要求及其潜在收益然后进入新常态带来的一切。

MeriTalk:COVID-19大流行在操作连续性方面与其他情况有何不同?联邦政府迄今为止为实现这一目标做了什么?

哈罗德: 不同于我们的自然灾害’像卡特里娜飓风这样的过往经历过,当前的局势是全国性的,全球性的,而不是区域性的。事情发生得如此之快,以至于联邦机构只有有限的时间进行准备和做出反应。现在已经持续了这么长时间,它变得不同于区域性的飓风或龙卷风,其影响可以在几天或几周内衡量。

我们在政府中看到的几乎是一夜之间,完全转向了远程办公和在家工作。管理和预算办公室(OMB)的政策备忘录(OMB M20-15OMB M20-18 已为员工和承包商启用了远程办公功能,其中许多人之前没有被授权在家工作。

但是现在的实际结果是,许多员工和承包商正在使用个人设备工作。他们’在许多情况下,不能使用由代理机构发行的笔记本电脑或台式机甚至智能设备工作。政府’面临着与访问控制和传统的基于网络的虚拟专用网络(VPN)有关的重大问题。而且,我们看到连接到联邦机构的个人移动设备,智能手机,平板电脑和Mac OS设备有了很大的增长。最初,许多机构经历了如此大量的网络连接请求,以至于其VPN和端点安全解决方案无法扩展以适应这些需求,并且它们没有管理能力。尽管大多数机构此后解决了容量问题,但不清楚它们是否解决了安全性和访问管理方面的问题。

MeriTalk: 联邦机构现在可以采取什么措施来解决安全方面的问题?

哈罗德: 我认为可以归结为三点。首先是加快数字化转型,即使我们’在大流行中。其次,围绕自由选择设备采取政策。已经有许多政策等待批准。第三件事是增强企业和应用程序的弹性以及更强的身份验证。

我们在网络安全方面讨论了很长时间,涉及改善身份验证–销毁密码–我们需要进行更改。我们需要转向更强大且更加用户友好的身份验证,包括行为属性,并且我们需要研究条件授权。我们需要利用派生的凭证-我们已经很长时间制定了派生的凭证策略-但通常我们不会从现代端点利用这些凭证。

我们确实需要最终确定并采用BYOD政策。该技术已经到位,关于如何管理和使用这些现代端点,有许多商业最佳实践。代理商只需要巩固自己的BYOD政策即可启用远程劳动力,并能够就如何管理和保护他们做出正确的决定。我们需要随时随地从任何设备提供策略强制的安全访问,并且设备本身是策略强制点,以确保合规性。

然后使该端点成为零信任体系结构的一部分。那’也是数字转换的一部分–真正地采用零信任架构,并将该设备的身份与用户的身份及其派生的凭证绑定在一起,并将所有这些绑定在一起成为授权的一部分和访问控制决策。

MeriTalk: 自带设备有哪些未决的政策条款?

哈罗德: 一个是 ACD 470.6 来自能源部的报告,讨论了如何在机密环境中使用移动设备。那里’国防部方面的一项类似并行政策’我不确定还没有发布。

那里’需要围绕如何利用BYOD来最终确定各个机构或部门的政策。由于内部限制或预算限制,大流行已经使许多以前束手无策的事情放松或不受束缚。

关于移动设备和政府配备的设备与BYOD的观点存在很多分歧。有多种方法可以保护和管理个人拥有的设备,我认为我们’现在重新看到其中一些限制已经消失。人们之所以使用它们,是因为他们需要在家办公。因此,我们需要帮助政府赶上如何管理和控制设备,设备所连接的网络以及用于访问政府数据和资源的应用程序。

MeriTalk: 您认为联邦政府现在应该怎么做才能为从现在开始的几个月后恢复到更正常的状况做准备?零信任如何体现呢?

哈罗德: 与我交谈的一些人说,他们迫不及待要恢复大流行之前的正常状态。但是在很多方面,我不’t think we’重新回到危机开始之前的状态,至少不会持续很长时间。

在2月底,被允许进行远程办公的政府雇员和承包商的百分比在许多机构中都低于50%,而在某些机构中则接近10-20%。现在,许多人的比例达到80%或90%或更高。

所以我们’不要将牙膏放回管中。我不’t think you’re ever going to revert to having as small a number of people able to telework, at least for things like weather- related crises 和 special events. 所以我们 need to get some of the policies in place to reflect that – the 自带设备 policy, 和 policies about how people securely authenticate 和 access the Federal government.

未来几个月代理商的工作清单?我认为政策是一种策略,数字化转型是另一种策略,以及制定采用零信任架构的计划。从微观细分和对新的现代端点的管理到确定的身份以及基于属性的访问和控制,应有尽有。我认为这是我们第一次真正可以利用基于属性的访问控制,’我在政府中谈论了很长时间。

然后另一件事是准备并防御扩大的威胁面。移动威胁是我们必须采取的措施’现在重新看到很多东西。我们已经看到了对某些操作系统和电子邮件系统的攻击。而且,还有更多通过电子邮件或Web链接针对移动设备的网络钓鱼尝试。它’对于用户来说,通常很难检测到或看到可能是指示器的事物’在传统台式机或笔记本电脑上工作。因此,移动威胁防御检测和修复是机构和政府在未来几个月中可以做的重要工作。

MeriTalk: 移动铁可以为联邦政府做些什么,以帮助他们达到更好的状态?

哈罗德: COVID-19危机带来的催化剂是,代理商需要支持更广泛的设备。他们需要在进行数字转换时,甚至在连接到更多基于云的资源和应用程序时,也需要提高安全性和保护性。他们需要增强多因素身份验证,并为应用程序和设备提供更健壮的加密隧道。然后,他们需要使用移动威胁防御解决方案来检测和补救对移动设备的攻击和网络钓鱼尝试。

美国国家标准技术研究所(NIST) 草案800-124 Policy讨论了具有用于统一端点管理,应用程序管理和审查以及移动威胁防御的统一平台。

在MobileIron,我们一直在做一些不同的事情。

例如,我们一直在与西海岸的一家医疗保健提供商合作,该提供商需要增加设备数量,以便员工能够连接到他们的医疗保健系统。但是没有预算,他们没有’没有采购,也没有文书工作。因此,我们提出了一个要约,使人们可以在有限的时间内利用我们的解决方案,而无需预先付费。它’本质上是免费的实施方案,用于部署所需的功能,能够控制和管理设备,控制设备上的应用程序和内容,以便它们可以信任数据。当我们开始恢复常态时,我们将处理文书工作和采购。

另一个例子是美国西南部的一个大型学校系统。他们不得不采用远程学习模式,但贫困家庭的上网能力确实存在差距。因此,我们与一个合作伙伴合作,并采用了许多Android设备并对其进行了一些安全控制,以便它们基本上只能在网络共享模式下作为热点运行,以便学生可以将他们的笔记本电脑连接至网络共享设备。热点,并能够利用它们来访问远程学习。

一切都是为了帮助代理商能够管理新常态。实际上归结为管理各种设备,对其进行保护,提供更好的安全性以及利用移动威胁防御产品。

阅读更多关于
关于
MeriTalk员工
标签