企业移动设备的安全控管
- DIGITIMES企划
-
随着更多的企业让员工自备移动设备到公司上班,BYOD也开始渐渐流行,根据英国电讯公司2012年的一项调查报告显示,60%的雇主允许员工自带移动设备接入公司网络,在未来两年内此比例可望达到82%。
虽然BYOD可以让员工使用自己熟悉的设备,提高工作效率,而且对企业主而言,还可以节省软硬件设备支出,以及另外花时间和金钱安排教育训练,但台湾二版高级产品经理卢惠光指出,在这些优势及便利下,相对的也隐藏了一系列的企业数据外泄跟安全性的问题。
事实上,在英国电讯公司的调查报告中即发现,真正了解自带设备存在重大安全隐忧的人,仅仅占比25%。卢惠光指出,由于员工使用的移动设备,不见得能够安装企业专属的VPN用户端软件,因此有些员工会直接将数据复制到设备上,虽然用意是可以让自己不在办公室也能够继续使用,但有可能因为设备被窃取或遗失,而导致公司机密数据及数据外流。
卢惠光更强调,愈来愈多的攻击,不但变得更加专业,病毒的隐密性也变得更高,且不容易被防毒软件发现,这些病毒也会设法增加停留时间,以便有更多突破防毒软件屏障的可能,即使是已经注意到BYOD有安全隐忧的员工,也不代表就能高枕无忧。
因此,企业必须针对数据外泄防护(Data Loss Prevention;DLP)做万全准备。一般而言,DLP可以分为三类:档案加密、可移除式媒体控管及网络监控。但卢惠光指出,可移除式媒体控管,因为会要求人员出入办公场所时,交出手机或在电脑USB孔上贴封条,并由中央控管所有终端电脑的储存装置,需特定人士陪同或认可才能使用,不但不够人性化,还会造成人员工作上诸多不便。
至于透过侧录、监控、记录,或限制藉由网络流通的未加密文件档案的方式,如E-mail、MSN、Skype、http、ftp等作业,防范机密文件透过网络而外泄的方式,卢惠光认为,不但不够人性外,许多管制行为,仅有吓阻作用,多半并无实质控管功效,仅能在事后稽核时产生作用。
很多人碰到电脑中毒,就会马上想到重灌电脑,但卢惠光认为,有些核心应用,不容易重建,而且在中毒过程中,那些数据已经被窃取,管理者也有知道的必要,以便事后追踪或修正,电脑不见得可以马上重灌。
档案加密也因此成为企业实施DLP必须考量的方向,但由于软硬件备份机制需要耗损更多的人力、财力、配置及更多的成本,卢惠光建议,企业可以分阶段导入,如透过端点防毒,化繁为简,将DLP纳入防毒引擎,提供用户一个较以往简单的DLP解决方案,可以简化部署与建置所耗费的时间,让IT系统符合个资法的需求,也可以降低APT这类的新形态攻击事件风险。
卢惠光指出,ESET ENDPOINT的功能,就有许多与DLP有关的设计,如透过ESET Live Grid云端侦测的回传信息,可以更了解哪些区域的威胁最严重,并将防护功能维持在最新状态,以持续提供防护服务。
ESET ENDPOINT提供装置存取权限控制(如USB、SD卡)、光盘机等,管理者可依使用者权限的不同,设定拒绝存取、读取或读取与写入等不同权限,也可透过白名单的方式来控制装置,兼顾安全防护及人性化要求,如设定哪些品牌或型号的U盘,才能够在企业内部使用。
ESET ENDPOINT的主机入侵防御系统(HIPS)除了可以抵抗恶意软件以及任何尝试对电脑产生不良影响的活动外,还可以设定使用者登入企业网络的软件种类,如只允许Skype登入,Line则加以拒绝,以便管理者进一步规范使用者可以安装的软件种类。ESET ENDPOINT也提供网页监控功能,避免员工登入可能包含潜在冒犯性信息的网站。
此外,针对移动设备上的数据安全性,ESET也提供许多防护机制。如利用手机中信任的sim卡名单,传送简讯指令保护移动设备的手机防盗功能,或是当公司电脑遗失时,可以登入my.eset.com网站利用笔记本电脑上的webcam实时监控正在使用笔记本电脑的人。
卢惠光认为,BYOD数据控管的议题中,电脑遭窃是最严重的网安问题,因为装置一旦遗失,企业就无法作太多的控制,为了防患未然,防毒软件加入防盗功能有其必要。
ESET ENDPOINT的集中式管理及服务器更新能力,让管理者可以更轻松的面对网安管理问题。如ESET REMOTE ADMINISTRATOR中央控管,可以提供多方管理及管理连线口令设定,而且操作界面采用直觉设计,让管理更容易操作,随时掌握公司状况,才更能从容因应各种网安状况。
