企業行動裝置的安全控管
- DIGITIMES企劃
-
隨著更多的企業讓員工自備行動裝置到公司上班,BYOD也開始漸漸流行,根據英國電訊公司2012年的一項調查報告顯示,60%的雇主允許員工自帶行動設備接入公司網路,在未來兩年內此比例可望達到82%。
雖然BYOD可以讓員工使用自己熟悉的設備,提高工作效率,而且對企業主而言,還可以節省軟硬體設備支出,以及另外花時間和金錢安排教育訓練,但台灣二版高級產品經理盧惠光指出,在這些優勢及便利下,相對的也隱藏了一系列的企業資料外洩跟安全性的問題。
事實上,在英國電訊公司的調查報告中即發現,真正了解自帶設備存在重大安全隱憂的人,僅僅佔比25%。盧惠光指出,由於員工使用的行動設備,不見得能夠安裝企業專屬的VPN用戶端軟體,因此有些員工會直接將資料複製到設備上,雖然用意是可以讓自己不在辦公室也能夠繼續使用,但有可能因為設備被竊取或遺失,而導致公司機密數據及資料外流。
盧惠光更強調,愈來愈多的攻擊,不但變得更加專業,病毒的隱密性也變得更高,且不容易被防毒軟體發現,這些病毒也會設法增加停留時間,以便有更多突破防毒軟體屏障的可能,即使是已經注意到BYOD有安全隱憂的員工,也不代表就能高枕無憂。
因此,企業必須針對資料外洩防護(Data Loss Prevention;DLP)做萬全準備。一般而言,DLP可以分為三類:檔案加密、可移除式媒體控管及網路監控。但盧惠光指出,可移除式媒體控管,因為會要求人員出入辦公場所時,交出手機或在電腦USB孔上貼封條,並由中央控管所有終端電腦的儲存裝置,需特定人士陪同或認可才能使用,不但不夠人性化,還會造成人員工作上諸多不便。
至於透過側錄、監控、記錄,或限制藉由網路流通的未加密文件檔案的方式,如E-mail、MSN、Skype、http、ftp等作業,防範機密文件透過網路而外洩的方式,盧惠光認為,不但不夠人性外,許多管制行為,僅有嚇阻作用,多半並無實質控管功效,僅能在事後稽核時產生作用。
很多人碰到電腦中毒,就會馬上想到重灌電腦,但盧惠光認為,有些核心應用,不容易重建,而且在中毒過程中,那些資料已經被竊取,管理者也有知道的必要,以便事後追蹤或修正,電腦不見得可以馬上重灌。
檔案加密也因此成為企業實施DLP必須考量的方向,但由於軟硬體備份機制需要耗損更多的人力、財力、配置及更多的成本,盧惠光建議,企業可以分階段導入,如透過端點防毒,化繁為簡,將DLP納入防毒引擎,提供用戶一個較以往簡單的DLP解決方案,可以簡化部署與建置所耗費的時間,讓IT系統符合個資法的需求,也可以降低APT這類的新形態攻擊事件風險。
盧惠光指出,ESET ENDPOINT的功能,就有許多與DLP有關的設計,如透過ESET Live Grid雲端偵測的回傳資訊,可以更了解哪些區域的威脅最嚴重,並將防護功能維持在最新狀態,以持續提供防護服務。
ESET ENDPOINT提供裝置存取權限控制(如USB、SD卡)、光碟機等,管理者可依使用者權限的不同,設定拒絕存取、讀取或讀取與寫入等不同權限,也可透過白名單的方式來控制裝置,兼顧安全防護及人性化要求,如設定哪些品牌或型號的隨身碟,才能夠在企業內部使用。
ESET ENDPOINT的主機入侵防禦系統(HIPS)除了可以抵抗惡意軟體以及任何嘗試對電腦產生不良影響的活動外,還可以設定使用者登入企業網路的軟體種類,如只允許Skype登入,Line則加以拒絕,以便管理者進一步規範使用者可以安裝的軟體種類。ESET ENDPOINT也提供網頁監控功能,避免員工登入可能包含潛在冒犯性資訊的網站。
此外,針對行動裝置上的資料安全性,ESET也提供許多防護機制。如利用手機中信任的sim卡名單,傳送簡訊指令保護行動裝置的手機防盜功能,或是當公司電腦遺失時,可以登入my.eset.com網站利用筆記型電腦上的webcam即時監控正在使用筆記型電腦的人。
盧惠光認為,BYOD資料控管的議題中,電腦遭竊是最嚴重的資安問題,因為裝置一旦遺失,企業就無法作太多的控制,為了防患未然,防毒軟體加入防盜功能有其必要。
ESET ENDPOINT的集中式管理及伺服器更新能力,讓管理者可以更輕鬆的面對資安管理問題。如ESET REMOTE ADMINISTRATOR中央控管,可以提供多方管理及管理連線密碼設定,而且操作介面採用直覺設計,讓管理更容易操作,隨時掌握公司狀況,才更能從容因應各種資安狀況。
