由移动管理生命周期建立防御机制
如同前一章节所述,MIS要想在充满变量的BYOD丛林中安身立命,有了MDM与MAM,虽然可收到一定效果,但显然还不足以披荆斩棘;那麽,MIS尚须补强哪些环节?
拥有移动设备管理、移动应用程序管理等解决方案,为何还不足以确保企业BYOD之安全无虞?要探究这个问题的解答,必须回到最源头,先行检视可能导致企业移动管理出现缺口的因素,究竟有哪些?
总结来说,企业可能面临的移动安全威胁,不外有几个项目,包含了移动设备的遗失或遭窃、数据外泄、遭受恶意程序攻击、共享装置与口令、装置破解(含Jailbreaking及Rooting),以及Wi-Fi与无线网络窃听;看到这里,稍具经验的MIS理应可以心领神会,光靠MDM与MAM,确实难以全面涵盖上述各大威胁。
多数MIS不禁要问,到底怎麽做,才能为公司创造安全的BYOD应用环境?其关键就在于,MIS一定要先了解BYOD的三大环节-装置、应用程序、数据,进而在不改变同仁使用习惯的前提下,竭尽所能为这三个环节套上金钟罩,让外部有心人士进不来,意图挟带机敏数据出境的员工也出不去,就成功了一大半。
因应移动管理生命周期 逐项对症下药
在2011年底,知名分析机构Forrest,提出了一份有关移动管理生命周期的解读,从使用者识别及单一签入、将安全政策套入装置(Device Compliance)开始,此后还涉及网络安全、装置管理、应用程序管理、数据保护、装置安全等诸多环节。
就当前与BYOD议题连结度最高的MDM解决方案来看,仅碰触到上述的Device Compliance、装置管理、装置安全、数据保护等环节,勉可含括App控制、装置设定、装置注册、装置定位、装置锁定、服务管理、线上抹除、反恶意程序、防范装置破解、口令保护等细部项目,看似不少,但充其量也只涵盖半壁江山。至于MAM,则与应用程序管理、使用者识别及单一签入、数据保护等环节较为相关,同样未能触及所有构面。
因此可以肯定,综观现阶段市面上任何与BYOD相关的安全解决方案,尚无任何一项,有能力涵盖完整的移动管理生命周期。
在此前提下,企业意欲建构移动安全防护堡垒,切莫妄图一步到位,理应采取分阶段部署模式,导入MDM及MAM,可算是第一步,但此后的第二、三、四…步骤,仍有持续补强的空间。
那麽第二步应该是什麽?不妨就从MDM及MAM力有未逮之处下手,使用者认证与凭证管理即是一例,可针对此一环节,评估导入增强式验证方案,一旦将此事做好,不仅有助于强化移动应用安全性,亦可提供更为理想的使用者体验。
所谓增强式验证,一般来说,企业可以努力的方向算是不少,双因素身份认证便是其中一例,最典型的解决方案即是动态口令(One-Time Password;OTP)。只要建立了这个机制,每隔30秒或1分钟即会变换一次口令,使得黑客「闯空门」的难度大幅高涨,终至牢牢保护用者的帐号与口令,确保企业网络与网站存取点的安全性;惟此一机制需要留意的地方,乃在于万一员工的智能手机或平板电脑因故障送修,暂时被迫采用备用装置,那麽他的个人身份与装置识别ID之间的连结性,就会因此而丧失,在名目上已不算是公司的合法使用者,值此时刻,MIS就必须采取权宜之计,先将原本注册予以取消,继而思考是要让备用装置加入注册,或暂时以电子邮件或简讯当做OTP载具,借此填补空窗期。
此外,企业亦需致力深化单一签入架构与移动设备之间的整合性。针对这个议题,许多公司都曾面临一个吊诡之处,意即员工使用移动设备,自然而然会期望能使用公司的Wi-Fi网络,但往往给了这个方便性,就可能带来无穷无尽的危机,为了解决这个难题,企业不妨可考虑建立一个闸道机制,规定所有无线存取行为,都必须要接受这个闸道的把关,一旦验证无误,才能使用各项企业服务,包括存取公司的私有云、或者是与公司具有合作关系的私有云,其实都可比照办理,而其间的一切传输路径,都予以全程加密。
当然,如果企业考量到某些关键应用服务,光靠单一闸道器过滤把关,或许担心有所不足,此时OTP就可派上用场,作为另一道凭证。
邮件存取安全 亦须严阵以待
不可讳言,邮件恒常是泄露企业机密的主要途径之一,既然如此,就必须善尽邮件存取安全的把关之责。
针对此一防护需求,MIS通常第一个想到的,就是设法阻止邮件转寄,也就是说,员工若是有意或无意,想利用公司信箱把数据外寄出去,肯定行不通。只不过,此事所隐含的重大盲点在于,意图泄露数据的不宵员工,怎可能大摇大摆地运用企业信箱?他肯定会把脑筋动到Web Mail之上!
所幸新版iOS已支持MDM服务,内含「不允许转寄」之功能,企业只要善加运用,即可防堵员工意图利用Web Mail转寄公司信件;但正所谓百密仍有一疏,防得了员工转寄信件,却防不了他将整份内容Copy & Paste,然后再利用Web Mail寄出,由于此行为不涉及「转寄」,所以根本不在公司缺省的防护范畴之列,可以说爱怎麽寄、就怎麽寄,完全拿他没辄。
看到这里,相信不少MIS肯定打了一个寒颤,心想经过了移动设备这个变量后,怎会让邮件存取安全变得如此棘手?事实上,这些缺陷实为其来有自,可归咎于移动设备内建的邮件软件功能,实在不怎麽高明,它没办法区隔公司与个人数据,没办法限制Copy & Paste行为,更没办法限制使用者将邮件附档储存在任何应用程序,光是这些罩门,就足以让一堆传统防御机制一个个破功。
唯今之计,企业恐需要认真思考导入移动电子邮件安全方案,才能有效因应BYOD特殊的环境需求;借助此类产品,不宵员工妄想以Copy & Paste加Web Mail模式,私自夹带机密出境,势将无法得偿所愿,不仅如此,企业还可顺势针对收发信件的终端装置加以设限,只要是未受公司管制、也没通过验证的移动设备,一律不允许收信,如此一来,不宵员工若想套用公司的邮件设定,运用「辖区」外的装置另起炉灶,也将会踢到铁板。
除此之外,一些看来「扯得有点远」的后台网安系统,纵使不是针对BYOD应运而生,但倘若予以补强,仍有助于强化BYOD安全性。比方说,现今所谓的次时代防火墙(Next Generation Firewall),可一举提供病毒防护、阻挡垃圾邮件、封锁应用程序、整合Active Directory、内容过滤器、网络行为侦测等诸多功能,亦可对应用层级的服务存取及流量加以限定,藉由这些元素,足以健全企业网络基础架构,并确保企业网络存取行为之安全,对BYOD实有一番贡献。
再者,随着潜藏在移动平台的恶意程序数量激增,无疑为黑客开启另一扇方便之间,使其有机会能利用应用程序或通讯协定的弱点,藉由移动设备跳板潜入企业网络,针对企业应用服务进行非法存取,或者窃取数据、甚至强制中断网页服务,从而让企业蒙受损失;在此情况下,企业若已布建网页应用程序防火墙(WAF),即可望就近保护网页应用程序与网站,避免遭受侵扰。