以长远眼光看待企业移动安全议题

企业须正视BYOD安全议题

研究机构Gartner在2013年1月提出预测，预估在2016年前，全球将有三分之二企业员工会携带智能手机上班，其中有高达四成比例，将以自有装置执行工作。如果任何企业看到这里，仍浑然不知网安危机将至，肯定是值得堪虑之事。

事实上，IT业界每年「炒作」的信息安全议题，都不在少数，所谓「携带自有装置(Bring Your Own Device；BYOD)」或「IT消费化(Consumerization of IT)」，当然也曾是备受的话题。

只不过，网安投资看在企业主眼里，属于仅能防弊、无助兴利的一环，在资源有限的前提下，企业还有很多要事正待推动，所以多不倾向将过多筹码押注在网安之上，除非，该议题已经严重到濒临动摇企业根本的程度；相形之下，由BYOD、IT消费化所牵引的移动安全议题，一来尚无惊天动地的震撼教育发生，二来其危害程度与迫切性，似乎不如进阶持续性渗透攻击(Advanced Persistent Threat；APT)、殭屍网络(Botnet)、个资防护来得棘手，在考量轻重缓急的前提下，自然不会被列为优先执行的任务。

甚至有若干供应BYOD解决方案的业者都坦言，他并不看好此类产品在台湾市场的发展前景。

众多网安议题　彼此环环相扣
然而，移动安全与APT、Botnet或个资防护等其他议题之间，果真各走的各的，彼此素无瓜葛？如果拼了命全力防堵其他缺口，却始终罔顾移动安全这个环节，那麽企业绝对不会遭受APT、Botnet入侵？也不会因而导致机敏个资外泄？答案显然是否定的！

主因在于，现今黑客发动恶意攻击的目的，并不像过去一样，只是想瘫痪受害者的电脑，证明自己是多麽技艺高超，而是以利益作为基础，在此情况下，他巴不得如同船过水无痕，悄悄偷走你的宝贵数据，实现个人利益所得，绕了这麽一大圈，你还搞不清楚黑客早已到此一游！于是乎，举凡任何端点，可让黑客有机可乘的入侵管道，都很有可能成为黑客赖以潜伏APT暗桩、散播僵屍毒害、窃取个资的破口，智能手机或平板电脑等移动设备，当然也不例外。

更可怕的地方在于，移动安全将为企业IT管理带来前所未见的严苛挑战，比起过去任何网安议题，似乎都来得更加棘手。这些挑战，主要源自于三个W，第一是「WHO」，只因BYOD设备及多元通讯方式，今后都将同时混杂于企业IT环境中，致使IT逐渐丧失终端装置的可视性与策略管控；第二是「Where」，企业难以预测内部员工将会在哪些地点存取公司数据，从而增加敏感数据管理之难度；第三是「What」，BYOD将衍生「去标准化」疑虑，导致企业数据在不同的操作系统装置中传输，因而增加企业管理成本与难度。

结论就是，基于上述情况对IT基础架构所产生的大幅改变，单凭传统的IT管理，根本无计可施，很难提出有效的对应策略，因为源自于移动设备所产生的安全威胁，并不在以往IT管理所缺省的剧本里头。

网安业者提醒，目前大家所设想到的移动安全情境，可能仅止于冰山的一角，换言之，它们只会是下一波大浪潮的开端，在此前提下，企业及组织必须以较长远的眼光，看待此一新趋势所带来的变革。

举个最简单的例子，某家网安厂商，暂且撇开任何病毒感染或恶意攻击等变量，只单纯地假设员工不小心在外遗失了智能手机，并以此作为实验主题，刻意制造50台智能手机遗失在外的情境，当然，每台手机也都被置入了经过变造的企业机敏个资。

与此同时，该业者也透过线上监控方式，密切追踪手机拾获者的后续动作；藉由实验结果显示，有96%比例的拾获者，曾读取手机内的个人数据，83%拾获者意图存取有关企业的应用程序及数据，当然，也有多达70%拾获者，把前述两件事情都做足了，也就是同时存取个人及企业的程序或数据。

从这个例子可以看出，企业亟欲善加保存的机密数据，可能只是因为一台智能手机的遗失，进而散落于外部不知名人士手中，即便这些人并未针对特定目标企业有所图谋，尚且可能酿成莫大危害，倘若是虎视眈眈的黑客出手，那麽情况势必更加难以收拾。看到这里，企业岂能继续对此掉以轻心？

推展移动安全　至少须做到几件事
如此看来，BYOD或IT消费化似乎潜藏了层层危机，彷佛将令企业陷入防不胜防的梦魇，既然如此可怕，那麽该如何推展相关防护措施。

其实企业也无须自己吓自己，只要谨守几个重要原则，大致就能明哲保身。首先，IT管理不妨先有所反思，究竟哪些环节，可能酿成信息安全缺口，以利于后续展开补强动作。

经过综合整理，多数企业都会面临类似的问题。第一，如何降低管理移动设备的成本及资源，尤其当高端主管人人都在使用智能装置，IT管理者应该思索管理之道；第二，如何保护公司数据，尤其当这些装置遗失或遭窃，该如何是好？值此时刻，IT管理者必须先厘清，哪些个人装置当中存在着公司数据，然后设法针对这些个人装置，清楚区分公司数据及个人数据。

第三，如何确保存取企业网络、数据及应用程序的装置，都是安全无虞的，否则一堆Android或iOS装置，就好比不受任何保护的PC一样；第四，如何确保公司数据不致因为数据备份或分享，而遭到外泄，特别是不少同仁都偏好采用DropBox来分享公司数据，种种行为，绝对不宜坐视不理。

当界定了上述问题后，紧接着，IT管理者就必须针对这些潜在的安全缺口，找出相对应的解药。依据网安厂商的建议，企业首先必须做到「移动管理」，旨在把传统运用于个人电脑上的防护机能，延伸到移动设备，藉以保护智能手机及平板电脑的装置与数据。

第二步，即须做到「集中管理」，也就是让企业可以透过单一平台，全盘掌握与控管所有移动设备，以落实装置的管理与安全性。至于第三步，便是保护数据并强迫装置设定口令，而且还必须将数据加密，并可藉由线上抹除的方式，清除掉遗失或失窃装置上的数据，以期避免数据外泄。

在此情况下，不论企业有意导入何种管控方案，有一些技术特徵，都是必须具备的。比方说，针对装置安全部分，不但需要留意手机病毒扫瞄、网络威胁防护(含线上定位)、恶意APP防护、垃圾信息过滤，甚至必须拥有恶意网页连线分析、特定位置APP控管等功能；而在数据保护部分，举凡强制口令政策(含线上锁定、线上清除)、设备与档案加密、特定位置功能封锁，乃至于针对特定IP的连线，自动启动VPN，甚至是管制特定寄件者的帐号，都属于必备的要素。

此外，在装置管理方面，必须要有一个能够集中管理的控制平台，且基于简化管理、降低成本等考量，这个平台最好能一并兼顾智能手机、平板电脑、个人电脑与服务器等多重防护任务，更重要的，该平台必须同时支持iOS、Android、Windows Phone或RIM Blackberry等不同移动作业平台，并有能力管制移动设备的镜头或蓝牙等设备功能，APP安装、画面撷取或Wi-Fi联网等设备应用功能，且可详加记录设备信息，以利管理者进行资产清查及稽核；另一方面，此平台亦须支持全域或群组安全政策之部署，且能够企业目录服务。