发表于:2013年8月6日
研究机构Gartner在2013年1月提出预测,预估在2016年前,全球将有三分之二企业员工会携带智能型手机上班,其中有高达四成比例,将以自有设备执行工作。如果任何企业看到这里,仍浑然不知资安危机将至,肯定是值得堪虑之事。
事实上,IT业界每年“炒作”的信息安全议题,都不在少数,所谓“携带自有设备(Bring Your Own Device;BYOD)”或“IT消费化(Consumerization of IT)”,当然也曾是备受的话题。
只不过,资安投资看在企业主眼里,属于仅能防弊、无助兴利的一环,在资源有限的前提下,企业还有很多要事正待推动,所以多不倾向将过多筹码押注在资安之上,除非,该议题已经严重到濒临动摇企业根本的程度;相形之下,由BYOD、IT消费化所牵引的移动安全议题,一来尚无惊天动地的震撼教育发生,二来其危害程度与迫切性,似乎不如进阶持续性渗透攻击(Advanced Persistent Threat;APT)、殭尸网络(Botnet)、个资防护来得棘手,在考量轻重缓急的前提下,自然不会被列为优先执行的任务。
甚至有若干供应BYOD解决方案的业者都坦言,他并不看好此类产品在台湾市场的发展前景。
众多资安议题 彼此环环相扣 然而,移动安全与APT、Botnet或个资防护等其他议题之间,果真各走的各的,彼此素无瓜葛?如果拼了命全力防堵其他缺口,却始终罔顾移动安全这个环节,那么企业绝对不会遭受APT、Botnet入侵?也不会因而导致机敏个资外泄?答案显然是否定的!
主因在于,现今黑客发动恶意攻击的目的,并不像过去一样,只是想瘫痪受害者的计算机,证明自己是多么技艺高超,而是以利益作为基础,在此情况下,他巴不得如同船过水无痕,悄悄偷走你的宝贵资料,实现个人利益所得,绕了这么一大圈,你还搞不清楚黑客早已到此一游!于是乎,举凡任何端点,可让黑客有机可乘的入侵管道,都很有可能成为黑客赖以潜伏APT暗桩、散播僵尸毒害、窃取个资的破口,智能型手机或平板计算机等移动设备,当然也不例外。
更可怕的地方在于,移动安全将为企业IT管理带来前所未见的严苛挑战,比起过去任何资安议题,似乎都来得更加棘手。这些挑战,主要源自于三个W,第一是“WHO”,只因BYOD设备及多元通讯方式,今后都将同时混杂于企业IT环境中,致使IT逐渐丧失终端设备的可视性与策略管控;第二是“Where”,企业难以预测内部员工将会在哪些地点存取公司资料,从而增加敏感资料管理之难度;第三是“What”,BYOD将衍生“去标准化”疑虑,导致企业资料在不同的作业系统设备中传输,因而增加企业管理成本与难度。
结论就是,基于上述情况对IT基础架构所产生的大幅改变,单凭传统的IT管理,根本无计可施,很难提出有效的对应策略,因为源自于移动设备所产生的安全威胁,并不在以往IT管理所预设的剧本里头。
资安业者提醒,目前大家所设想到的移动安全情境,可能仅止于冰山的一角,换言之,它们只会是下一波大浪潮的开端,在此前提下,企业及组织必须以较长远的眼光,看待此一新趋势所带来的变革。
举个最简单的例子,某家资安厂商,暂且撇开任何病毒感染或恶意攻击等变量,只单纯地假设员工不小心在外遗失了智能型手机,并以此作为实验主题,刻意制造50台智能型手机遗失在外的情境,当然,每台手机也都被置入了经过变造的企业机敏个资。
与此同时,该业者也透过远端监控方式,密切追踪手机拾获者的后续动作;藉由实验结果显示,有96%比例的拾获者,曾读取手机内的个人资料,83%拾获者意图存取有关企业的应用程序及资料,当然,也有多达70%拾获者,把前述两件事情都做足了,也就是同时存取个人及企业的程序或资料。
从这个例子可以看出,企业亟欲善加保存的机密资料,可能只是因为一台智能型手机的遗失,进而散落于外部不知名人士手中,即便这些人并未针对特定目标企业有所图谋,尚且可能酿成莫大危害,倘若是虎视眈眈的黑客出手,那么情况势必更加难以收拾。看到这里,企业岂能继续对此掉以轻心?
推展移动安全 至少须做到几件事 如此看来,BYOD或IT消费化似乎潜藏了层层危机,彷彿将令企业陷入防不胜防的梦魇,既然如此可怕,那么该如何推展相关防护措施。
其实企业也无须自己吓自己,只要谨守几个重要原则,大致就能明哲保身。首先,IT管理不妨先有所反思,究竟哪些环节,可能酿成信息安全缺口,以利于后续展开补强动作。
经过综合整理,多数企业都会面临类似的问题。第一,如何降低管理移动设备的成本及资源,尤其当高阶主管人人都在使用智能型设备,IT管理者应该思索管理之道;第二,如何保护公司资料,尤其当这些设备遗失或遭窃,该如何是好?值此时刻,IT管理者必须先厘清,哪些个人设备当中存在着公司资料,然后设法针对这些个人设备,清楚区分公司资料及个人资料。
第三,如何确保存取企业网络、资料及应用程序的设备,都是安全无虞的,否则一堆Android或iOS设备,就好比不受任何保护的PC一样;第四,如何确保公司资料不致因为资料备份或分享,而遭到外泄,特别是不少同仁都偏好采用DropBox来分享公司资料,种种行为,绝对不宜坐视不理。
当界定了上述问题后,紧接着,IT管理者就必须针对这些潜在的安全缺口,找出相对应的解药。依据资安厂商的建议,企业首先必须做到“移动管理”,旨在把传统运用于个人计算机上的防护机能,延伸到移动设备,借以保护智能型手机及平板计算机的设备与资料。
第二步,即须做到“集中管理”,也就是让企业可以透过单一平台,全盘掌握与控管所有移动设备,以落实设备的管理与安全性。至于第三步,便是保护资料并强迫设备设定密码,而且还必须将资料加密,并可藉由远端抹除的方式,清除掉遗失或失窃设备上的资料,以期避免资料外泄。
在此情况下,不论企业有意导入何种管控方案,有一些技术特征,都是必须具备的。比方说,针对设备安全部分,不但需要留意手机病毒扫瞄、网络威胁防护(含远端定位)、恶意APP防护、垃圾讯息过滤,甚至必须拥有恶意网页连线分析、特定位置APP控管等功能;而在资料保护部分,举凡强制密码政策(含远端锁定、远端清除)、设备与档案加密、特定位置功能封锁,乃至于针对特定IP的连线,自动启动VPN,甚至是管制特定寄件者的账号,都属于必备的要素。
此外,在设备管理方面,必须要有一个能够集中管理的控制平台,且基于简化管理、降低成本等考量,这个平台最好能一并兼顾智能型手机、平板计算机、个人计算机与服务器等多重防护任务,更重要的,该平台必须同时支援iOS、Android、Windows Phone或RIM Blackberry等不同移动作业平台,并有能力管制移动设备的相机或蓝牙等设备功能,APP安装、画面撷取或Wi-Fi连网等设备应用功能,且可详加记录设备信息,以利管理者进行资产清查及稽核;另一方面,此平台亦须支援全域或群组安全政策之部署,且能够企业目录服务。