强化移动设备安全 慎防机密数据外泄

安华联网科技总经理洪光钧。

近2？3年，综观各网安大厂提出的趋势报告，多有一个共通点，意即移动设备网安问题日趋严重，不论问题根源来自于恶意App、浏览恶意网站，抑或跨平台漏洞攻击，总之都将同时对终端使用者、IT管理者乃至整个企业，带来诸多困扰。

安华联网科技总经理洪光钧援引Lookout报告指出，2014年底发现有一支名为NotCompatible的Android殭屍病毒，导致全美逾400万个智能手机用户遭受感染，其主要感染途径有二，一是透过感染合法网站，二是透过电子邮件，造成的影响包括恶意或垃圾邮件、购物诈欺、点击诈欺、口令暴力破解、控制手机、跳板。

前述病毒活跃两年之久，整体架构具有几个特色，首先是采用备援机制，确保C2不受单点故障影响；其次是不易追查，可将手机或平板等移动装置变成跳板，并搭配运用端点间公钥RSA加密认证、通通加密、P2P技术、IP检查。

洪光钧表示，企业采用移动设备，固然可因随时随地登入、存取客户数据、产出报告数据、收发电子邮件、拍照打卡、回覆老板交待事项，进而提高工作便利性、降低生产成本；但不可否认，对黑客来说亦是一大福音，因为移动设备使其可随时随地进入企业网络、未授权地存取客户数据、回传报告数据、传送电子邮件、取得隐私数据。

移动设备安全疑虑  即是安全漏洞与数据泄漏

「归纳移动设备真正的安全问题，其实就是两大项目，一是『安全漏洞』，另一就是『数据泄漏』，」洪光钧说，为解决经由移动设备所衍生的种种安全问题，已陆续催生相对应的国际规范与标准，值得企业研究参考，首先是「OWASP Top 10 Mobile Controls」，系针对移动设备本身的安全控制与保护，列出10项最需要高度留意的议题。

其次是NIST SP 800-163，主要针对App安全的开发与测试流程制定规范，重点包括了：一、「App安全审查流程」：为确保App符合定义的安全要求，提供相关审查流程，以确定App是否符合企业安全需求为目的之活动，此流程含括App测试、App核可？拒绝；二、「安全需求的开发」：提供一个App安全所表现出的特性或行为，对于一个App是否有满足最基本之安全要求，由审查流程中测试、分析与确定App的安全漏洞；三、「App需要测试的项目说明」：启用经授权的功能、防止未经授权的功能、权限限制、保护敏感数据、确保App程序码之间的依赖关系安全性、测试App更新。

另一规范NIST SP 800-164，则针对整支移动设备所定义之网安技术基准，旨在提供一个可被广泛运用于移动设备上、协助确保企业环境开放使用个人自带设备时能有所依循的信息安全技术基准，促进企业与消费等级的移动设备可实现关键的信息安全特性。

重点包括：一、将移动设备视为一群受信任的基础元件(RoTs)之集合，此集合提供应用程序界面与呼叫基础元件，及执行检查装置状况并强制实施安全管制行为；二、API的安全性，RoTs必须自移动设备到操作系统间建立一个信任链，提供使用者使用安全的应用程序；三、政策执行引擎，必须可以在移动设备上修改、维护与执行企业管理政策。

在装置与数据的安全保护部分，可参酌NSA-IAD-Mobility Security Guide。针对装置的保护，其主张企业应针对移动设备上的应用程序启始设定进行完整性验证，并确保所有程序均已核准；建议于使用者设备上安装监控机制；并设立事件回报机制，当侦测到未经授权事件时，可适当提醒使用者确定正确移动方针。针对数据的保护，该指南强调为保护及储存敏感性数据，需建立加密程序并与应用程序保持适当隔离。

盘点信息资产  定义移动管理措施

有关移动设备对企业的网安管理议题，可参考NIST SP 800-124r1。其强调三大议题，首先是「机密性」：确保被传输与储存的数据不能被非授权读取；其次是「完整性」：在传送与储存数据时，可侦测到任何有意或无意的变更；再者是「可用性」：确保使用者可在需要时使用移动设备存取资源。

值得一提的，台湾亦有一些可供遵循的移动设备安全规范。一是由经济部工业局制定的移动应用App基本网安规范，管理范畴含括了移动应用程序发布安全、敏感性数据保护、移动应用程序使用者身份认证？授权与连线管理安全、移动应用程序码安全、伺服端安全技术要求项目；另一是由NCC制定的手机内建软件网安检测规范，检视范围包括内建软件、手机开机后之网络行为、数据存取权限、网络行为、数据传输与储存安全。

洪光钧针对企业移动设备管理提出建议，企业可考虑采用定制化手机，安装企业专用或特定App进行监控，建立硬件安全信任机制，部署MDM、MAM、MCM、MDP、EMM、MAG或DLP等解决方案。

而在管理过程中，企业必须针对不同类型的移动设备进行识别与完整管控(Android、Apple iOS、Windows Phone、BlackBerry)，另须强化移动设备上的App安全性管控、移动设备上使用浏览器的安全管理、移动设备存取E-Mail的安全管理，及BYOD与使用者异动的安全管理。惟无论如何，企业需先清楚盘点其重要信息资产，定义其所需保护等级及可接受之风险，再据此制定移动设备管理与防护措施。