企業無法僅靠MDM或MAM因應BYOD

MAM與MDM各有缺點

捍衛企業資訊資產的安全，乃是IT部門無可迴避的天職，因此面對山雨欲來的「員工攜帶自有裝置(Bring Your Own Device；BYOD)」浪潮，多數MIS可說又愛又恨，如何在滿足同仁方便性之餘，亦能顧及資安防禦的初衷？

為何BYOD會成為備受討論的議題？看看以下數據，理應不難獲得解答。根據資安廠商研究，在2010年，全球企業PC總台數為1.77億、整體智慧型手機總台數為3億、整體平板電腦總台數為0.15億，預估到了2015年，上述三個數字將分別成為2.46億、10.17億、3.26億。

也就是，前後達五年的期間內，企業個人電腦數量不過才增加39%，但在此同時，散居全球各個角落的智慧型手機與平板電腦，其數量竟分別大增340%、2,170%，伴隨著行動裝置的爆炸性成長，員工人人都可望持有一台以上的可攜式設備，將之帶入企業辦公場域，同時滿足公私等不同面向的應用需求，勢將成為稀鬆平常之事。

但問題來了，縱使智慧型手機、平板電腦規格不斷演進，再怎麼說，不論在運算速度、儲存容量等方面，都有一定的限度，還不太可能在短短幾年之內，就發展到等同於個人電腦的水準，所以員工倘若拿這些行動裝置存取企業的應用程式或資料，並經過一番編輯(含新增或刪除)之後，所產生的新檔案或新數據，將不可能悉數留存在裝置內部，最方便的去向即是雲端，包含私有雲或公有雲都有可能。

倘若是私有雲，由於尚且座落在公司高度管制的轄區內，倒沒有什麼大問題，但如果是私有雲，可就後患無窮。舉一個簡單的例子，假使企業為了遵循新版個人資料保護法，已經卯足全勁部署資料外洩防護(DLP)等相關防禦系統，其終極目標，就是避免員工有心或無意將個資機敏洩露出去，然而萬一員工個個都以行動裝置存取公司的應用程式或資料，並將之轉存於Dropbox，那麼先前大費周章所做的努力，恐將輕易破功，因為駭客根本不必絞盡腦汁突破企業設下的防線，只需要針對公有雲動手，便能搜括到大批個資。

由此看來，BYOD的後遺症並不算小，難免會讓MIS心生厭惡，為了阻止公司機敏資料或個人資料，IT團隊已經疲於奔命，費了九牛二虎之力，好不容易把防禦機制弄得有模有樣，如今不過是同仁的便宜行事，隨隨便便就將這些成果摧毀殆盡，到頭來，一旦發生資料外洩，倒楣的不會是別人，一定就是MIS，既然如此，倒不如把BYOD的路封死，凡是有人帶自己的裝置到辦公室，要想連結無線網路、收發電子郵件、連結Intranet、讀取任何資料…，很抱歉，通通都不准！

但MIS力阻BYOD風潮蔓延，或許能撐得了一時，但絕非永久，先不說別的，公司高階主管如果表明想以行動裝置連結無線網路、收發電子郵件、連結Intranet、讀取任何資料，身為下屬的MIS，還能豪氣干雲地說不？此門一開，其他同仁豈能不比照辦理？到了那時，先前的禁令便將無疾而終！

難道MIS可以雙手一攤，昭告天下說「都是你們自己要BYOD，一切後果自負」，然後索性採取完全放任的態度？當然不行！此時，MIS少不得需要針對BYOD議題做足功課，思考如何導入相對應的防護系統，以免真的出了亂子。

何謂相對應的防護系統？由於BYOD熱潮方興未艾，各路資安廠商打鐵趁熱，一定將十八般武藝傾巢而出，但說是英雄所見略也好、大家了無新意也罷，這些十八般武藝，到頭來通常只剩下兩招，一是「行動裝置管理(Mobile Device Management；MDM)」，另一就是「行動應用程式管理(Mobile Application Management；MAM)」，影響所及，不少MIS就自然而然地認定，只要手持MDM與MAM兩道令牌，即可練就金剛不壞之身，進而在險惡的BYOD叢林裡悠然自得。

這樣的想法，並不能說大錯特錯，因為一來有做總比沒做好，二來既然那麼多資安業者都力挺MDM及MAM，它們肯定不是空包彈，必然具有相當程度的功效；只不過，若說MIS只此一步，其餘再無任何努力空間，聽來似乎又有些不對勁。

細數MDM的罩門
深究MDM解決方案的設計理念，其實並不乏「人性本善」的意味，也就是說，公司堅信員工個個都不會蓄意洩露機密資料，只是對於行動裝置的使用行為，難免百密一疏，意外淪為資料外洩的幫兇，所以才運用MDM，竭盡所能幫助員工好好地控制行動裝置。

於是乎，假使公司只部署了MDM系統，暫未在其他BYOD管控措施上，有太多著墨，在此情況下，員工若欲以自己的行動裝置存取公司網路，少不得需要通過帳密輸入等層層關卡，某種程度上，可能造成使用上的不便，此即為MDM的罩門之一。

但為了呵護公司數位資產，人人責無旁貸，犧牲一己的不便換得企業營運的永續運轉，忍一忍也就過去了，所以當然有人不會將上述罩門看得太過嚴重；只不過，MDM的缺陷當然並不僅止於此。

MDM還存在哪些弱點？事實上，倘若MIS有心，把市面多達近80餘個不同廠牌系統，全都一字排開，看完後一定會有一種感覺，這些MDM都是大同小異，彼此功能項目的差距並不大，大抵不脫設定裝置、管理資產、派送程式、套用政策等格局，為何如此？只因MDM功能範圍受到先天限制，唯有蘋果(Apple)、谷歌(Google)允許這些廠商能做什麼，他們才能做，在此界線之外，如果想發展任何獨門秘技，只能走上JB或Root等裝置破解之路，然而冒然破解的代價相當之大，因為不管是JB或Root，都可能破壞系統安全性，未蒙其利反先招惹禍害，此為第二道缺憾所在。

至於第三道缺憾，則更加令人堪慮。萬一員工遺失裝置，裡頭又存在一些公司的應用程式或資料的話，此時MIS不假思索，一定想動用MDM解決方案之中的遠端抹除功能，先將此命令上傳至Apple或Google，接著再下達到該行動裝置，這般運作方式看似嚴謹，但其實存在致命弱點，萬一拾獲裝置的有心人士，刻意移駕至沒有連網的環境，那麼企業所欲傳送的抹除命令便宣告失效，此人就可好整以暇，慢慢地向這台裝置挖寶。

MAM情況稍好　但亦非無懈可擊
由於MDM尚不足以確保BYOD安全，而且又抑制了使用彈性，導致MAM逐步抬頭，成為企業評估導入的第二個標的。MAM的主要精神是，將要求輸入帳密的時間點，後推到意欲執行企業App之際，所以較MDM多了幾分彈性。

MAM顧名思義是行動應用程式管理，所以使用者在存取企業App時，當然受到一些限制，也隱含若干不便。比方說，萬一企業未建立單一簽入(SSO)機制，員工每開啟一種App，就得輸入一次密碼，但一旦執行SSO則無此疑慮；再者，員工在執行App之餘，若想將箇中內容複製或分享到其他App、上傳到Dropbox等雲端硬碟，或者外傳到白名單之外的IP位址，都可能受到限制，端視企業行動安全政策的嚴謹度而定。

萬一企業管制得過嚴，就會出現一個後遺症。舉例來說，假使員工意欲讀取附加於郵件的圖檔，或想要編輯附加檔案的文字，除非公司費心開發看圖或編輯工具，否則都將變得滯礙難行，但企業欲自行發展具備這些功能的App，可行性其實也不大，所以終將對員工生產力造成不小衝擊。

有鑑於此，若干MAM供應商開始鋪陳應用程式生態系統概念，亦即在一定框限內，置入一些已確定安全無虞的功能型App，使得企業無須變更程式碼，即可將檔案加以分享並後製，一旦處理完畢，也絕無外流之虞，藉此填補上述缺憾。

總括而論，MDM及MAM之於企業行動管理方案，不過是其中一環、而非全部，更重要的，企業的行動安全管理政策(例如憑證、密碼控制原則)、及相關基礎架構，也必須都要到位，才能確保BYOD安全性。