強化行動裝置安全 慎防機密資料外洩

安華聯網科技總經理洪光鈞。

近2？3年，綜觀各資安大廠提出的趨勢報告，多有一個共通點，意即行動裝置資安問題日趨嚴重，不論問題根源來自於惡意App、瀏覽惡意網站，抑或跨平台漏洞攻擊，總之都將同時對終端使用者、IT管理者乃至整個企業，帶來諸多困擾。

安華聯網科技總經理洪光鈞援引Lookout報告指出，2014年底發現有一支名為NotCompatible的Android殭屍病毒，導致全美逾400萬個智慧型手機用戶遭受感染，其主要感染途徑有二，一是透過感染合法網站，二是透過電子郵件，造成的影響包括惡意或垃圾郵件、購物詐欺、點擊詐欺、密碼暴力破解、控制手機、跳板。

前述病毒活躍兩年之久，整體架構具有幾個特色，首先是採用備援機制，確保C2不受單點故障影響；其次是不易追查，可將手機或平板等移動裝置變成跳板，並搭配運用端點間公鑰RSA加密認證、通通加密、P2P技術、IP檢查。

洪光鈞表示，企業採用行動裝置，固然可因隨時隨地登入、存取客戶資料、產出報告資料、收發電子郵件、拍照打卡、回覆老闆交待事項，進而提高工作便利性、降低生產成本；但不可否認，對駭客來說亦是一大福音，因為行動裝置使其可隨時隨地進入企業網路、未授權地存取客戶資料、回傳報告資料、傳送電子郵件、取得隱私資料。

行動裝置安全疑慮  即是安全漏洞與資料洩漏

「歸納行動裝置真正的安全問題，其實就是兩大項目，一是『安全漏洞』，另一就是『資料洩漏』，」洪光鈞說，為解決經由行動裝置所衍生的種種安全問題，已陸續催生相對應的國際規範與標準，值得企業研究參考，首先是「OWASP Top 10 Mobile Controls」，係針對行動裝置本身的安全控制與保護，列出10項最需要高度留意的議題。

其次是NIST SP 800-163，主要針對App安全的開發與測試流程制定規範，重點包括了：一、「App安全審查流程」：為確保App符合定義的安全要求，提供相關審查流程，以確定App是否符合企業安全需求為目的之活動，此流程含括App測試、App核可？拒絕；二、「安全需求的開發」：提供一個App安全所表現出的特性或行為，對於一個App是否有滿足最基本之安全要求，由審查流程中測試、分析與確定App的安全漏洞；三、「App需要測試的項目說明」：啟用經授權的功能、防止未經授權的功能、權限限制、保護敏感資料、確保App程式碼之間的依賴關係安全性、測試App更新。

另一規範NIST SP 800-164，則針對整支行動裝置所定義之資安技術基準，旨在提供一個可被廣泛運用於行動裝置上、協助確保企業環境開放使用個人自帶設備時能有所依循的資訊安全技術基準，促進企業與消費等級的行動裝置可實現關鍵的資訊安全特性。

重點包括：一、將行動裝置視為一群受信任的基礎元件(RoTs)之集合，此集合提供應用程式介面與呼叫基礎元件，及執行檢查裝置狀況並強制實施安全管制行為；二、API的安全性，RoTs必須自行動裝置到作業系統間建立一個信任鏈，提供使用者使用安全的應用程式；三、政策執行引擎，必須可以在行動裝置上修改、維護與執行企業管理政策。

在裝置與資料的安全保護部分，可參酌NSA-IAD-Mobility Security Guide。針對裝置的保護，其主張企業應針對行動裝置上的應用程式啟始設定進行完整性驗證，並確保所有程序均已核准；建議於使用者設備上安裝監控機制；並設立事件回報機制，當偵測到未經授權事件時，可適當提醒使用者確定正確行動方針。針對資料的保護，該指南強調為保護及儲存敏感性數據，需建立加密程序並與應用程式保持適當隔離。

盤點資訊資產  定義行動管理措施

有關行動裝置對企業的資安管理議題，可參考NIST SP 800-124r1。其強調三大議題，首先是「機密性」：確保被傳輸與儲存的資料不能被非授權讀取；其次是「完整性」：在傳送與儲存資料時，可偵測到任何有意或無意的變更；再者是「可用性」：確保使用者可在需要時使用行動裝置存取資源。

值得一提的，台灣亦有一些可供遵循的行動裝置安全規範。一是由經濟部工業局制定的行動應用App基本資安規範，管理範疇含括了行動應用程式發布安全、敏感性資料保護、行動應用程式使用者身分認證？授權與連線管理安全、行動應用程式碼安全、伺服端安全技術要求項目；另一是由NCC制定的手機內建軟體資安檢測規範，檢視範圍包括內建軟體、手機開機後之網路行為、資料存取權限、網路行為、資料傳輸與儲存安全。

洪光鈞針對企業行動裝置管理提出建議，企業可考慮採用客製化手機，安裝企業專用或特定App進行監控，建立硬體安全信任機制，部署MDM、MAM、MCM、MDP、EMM、MAG或DLP等解決方案。

而在管理過程中，企業必須針對不同類型的行動裝置進行識別與完整管控(Android、Apple iOS、Windows Phone、BlackBerry)，另須強化行動裝置上的App安全性管控、行動裝置上使用瀏覽器的安全管理、行動裝置存取E-Mail的安全管理，及BYOD與使用者異動的安全管理。惟無論如何，企業需先清楚盤點其重要資訊資產，定義其所需保護等級及可接受之風險，再據此制定行動裝置管理與防護措施。