以長遠眼光看待企業行動安全議題

企業須正視BYOD安全議題

研究機構Gartner在2013年1月提出預測，預估在2016年前，全球將有三分之二企業員工會攜帶智慧型手機上班，其中有高達四成比例，將以自有裝置執行工作。如果任何企業看到這裡，仍渾然不知資安危機將至，肯定是值得堪慮之事。

事實上，IT業界每年「炒作」的資訊安全議題，都不在少數，所謂「攜帶自有裝置(Bring Your Own Device；BYOD)」或「IT消費化(Consumerization of IT)」，當然也曾是備受的話題。

只不過，資安投資看在企業主眼裡，屬於僅能防弊、無助興利的一環，在資源有限的前提下，企業還有很多要事正待推動，所以多不傾向將過多籌碼押注在資安之上，除非，該議題已經嚴重到瀕臨動搖企業根本的程度；相形之下，由BYOD、IT消費化所牽引的行動安全議題，一來尚無驚天動地的震撼教育發生，二來其危害程度與迫切性，似乎不如進階持續性滲透攻擊(Advanced Persistent Threat；APT)、殭屍網路(Botnet)、個資防護來得棘手，在考量輕重緩急的前提下，自然不會被列為優先執行的任務。

甚至有若干供應BYOD解決方案的業者都坦言，他並不看好此類產品在台灣市場的發展前景。

眾多資安議題　彼此環環相扣
然而，行動安全與APT、Botnet或個資防護等其他議題之間，果真各走的各的，彼此素無瓜葛？如果拼了命全力防堵其他缺口，卻始終罔顧行動安全這個環節，那麼企業絕對不會遭受APT、Botnet入侵？也不會因而導致機敏個資外洩？答案顯然是否定的！

主因在於，現今駭客發動惡意攻擊的目的，並不像過去一樣，只是想癱瘓受害者的電腦，證明自己是多麼技藝高超，而是以利益作為基礎，在此情況下，他巴不得如同船過水無痕，悄悄偷走你的寶貴資料，實現個人利益所得，繞了這麼一大圈，你還搞不清楚駭客早已到此一遊！於是乎，舉凡任何端點，可讓駭客有機可乘的入侵管道，都很有可能成為駭客賴以潛伏APT暗樁、散播僵屍毒害、竊取個資的破口，智慧型手機或平板電腦等行動裝置，當然也不例外。

更可怕的地方在於，行動安全將為企業IT管理帶來前所未見的嚴苛挑戰，比起過去任何資安議題，似乎都來得更加棘手。這些挑戰，主要源自於三個W，第一是「WHO」，只因BYOD設備及多元通訊方式，今後都將同時混雜於企業IT環境中，致使IT逐漸喪失終端裝置的可視性與策略管控；第二是「Where」，企業難以預測內部員工將會在哪些地點存取公司資料，從而增加敏感資料管理之難度；第三是「What」，BYOD將衍生「去標準化」疑慮，導致企業資料在不同的作業系統裝置中傳輸，因而增加企業管理成本與難度。

結論就是，基於上述情況對IT基礎架構所產生的大幅改變，單憑傳統的IT管理，根本無計可施，很難提出有效的對應策略，因為源自於行動裝置所產生的安全威脅，並不在以往IT管理所預設的劇本裡頭。

資安業者提醒，目前大家所設想到的行動安全情境，可能僅止於冰山的一角，換言之，它們只會是下一波大浪潮的開端，在此前提下，企業及組織必須以較長遠的眼光，看待此一新趨勢所帶來的變革。

舉個最簡單的例子，某家資安廠商，暫且撇開任何病毒感染或惡意攻擊等變數，只單純地假設員工不小心在外遺失了智慧型手機，並以此作為實驗主題，刻意製造50台智慧型手機遺失在外的情境，當然，每台手機也都被置入了經過變造的企業機敏個資。

與此同時，該業者也透過遠端監控方式，密切追蹤手機拾獲者的後續動作；藉由實驗結果顯示，有96%比例的拾獲者，曾讀取手機內的個人資料，83%拾獲者意圖存取有關企業的應用程式及資料，當然，也有多達70%拾獲者，把前述兩件事情都做足了，也就是同時存取個人及企業的程式或資料。

從這個例子可以看出，企業亟欲善加保存的機密資料，可能只是因為一台智慧型手機的遺失，進而散落於外部不知名人士手中，即便這些人並未針對特定目標企業有所圖謀，尚且可能釀成莫大危害，倘若是虎視眈眈的駭客出手，那麼情況勢必更加難以收拾。看到這裡，企業豈能繼續對此掉以輕心？

推展行動安全　至少須做到幾件事
如此看來，BYOD或IT消費化似乎潛藏了層層危機，彷彿將令企業陷入防不勝防的夢魘，既然如此可怕，那麼該如何推展相關防護措施。

其實企業也無須自己嚇自己，只要謹守幾個重要原則，大致就能明哲保身。首先，IT管理不妨先有所反思，究竟哪些環節，可能釀成資訊安全缺口，以利於後續展開補強動作。

經過綜合整理，多數企業都會面臨類似的問題。第一，如何降低管理行動裝置的成本及資源，尤其當高階主管人人都在使用智慧型裝置，IT管理者應該思索管理之道；第二，如何保護公司資料，尤其當這些裝置遺失或遭竊，該如何是好？值此時刻，IT管理者必須先釐清，哪些個人裝置當中存在著公司資料，然後設法針對這些個人裝置，清楚區分公司資料及個人資料。

第三，如何確保存取企業網路、資料及應用程式的裝置，都是安全無虞的，否則一堆Android或iOS裝置，就好比不受任何保護的PC一樣；第四，如何確保公司資料不致因為資料備份或分享，而遭到外洩，特別是不少同仁都偏好採用DropBox來分享公司資料，種種行為，絕對不宜坐視不理。

當界定了上述問題後，緊接著，IT管理者就必須針對這些潛在的安全缺口，找出相對應的解藥。依據資安廠商的建議，企業首先必須做到「行動管理」，旨在把傳統運用於個人電腦上的防護機能，延伸到行動裝置，藉以保護智慧型手機及平板電腦的裝置與資料。

第二步，即須做到「集中管理」，也就是讓企業可以透過單一平台，全盤掌握與控管所有行動裝置，以落實裝置的管理與安全性。至於第三步，便是保護資料並強迫裝置設定密碼，而且還必須將資料加密，並可藉由遠端抹除的方式，清除掉遺失或失竊裝置上的資料，以期避免資料外洩。

在此情況下，不論企業有意導入何種管控方案，有一些技術特徵，都是必須具備的。比方說，針對裝置安全部分，不但需要留意手機病毒掃瞄、網路威脅防護(含遠端定位)、惡意APP防護、垃圾訊息過濾，甚至必須擁有惡意網頁連線分析、特定位置APP控管等功能；而在資料保護部分，舉凡強制密碼政策(含遠端鎖定、遠端清除)、設備與檔案加密、特定位置功能封鎖，乃至於針對特定IP的連線，自動啟動VPN，甚至是管制特定寄件者的帳號，都屬於必備的要素。

此外，在裝置管理方面，必須要有一個能夠集中管理的控制平台，且基於簡化管理、降低成本等考量，這個平台最好能一併兼顧智慧型手機、平板電腦、個人電腦與伺服器等多重防護任務，更重要的，該平台必須同時支援iOS、Android、Windows Phone或RIM Blackberry等不同行動作業平台，並有能力管制行動裝置的相機或藍牙等設備功能，APP安裝、畫面擷取或Wi-Fi連網等設備應用功能，且可詳加記錄設備資訊，以利管理者進行資產清查及稽核；另一方面，此平台亦須支援全域或群組安全政策之部署，且能夠企業目錄服務。