在過去五年間,技術和工作場所的習慣模式,就出現了一些重大轉變,面對新轉變暗藏著新的安全風險,企業都應該尋找因應的方式。
雲端運算技術興起後,連帶使得個人智慧型裝置及在家工作模式蔚為盛行,於是 BYOD 政策成為相當受歡迎的做法。這類政策允許員工使用自己慣用的行動裝置,如筆記型電腦、智慧型手機等工作,不需受限於公司配發的裝置。除能滿足員工需求外,公司也可免去提供新裝置。但凡事都有一體兩面。BYOD 趨勢除帶來優點,也衍生出一定程度的安全隱憂。
BYOD 的運作方式
企業組織透過這項措施允許員工使用自己的個人裝置處理工作。最常見例子即是智慧型手機,然而 BYOD 模式範圍包括筆記型電腦、平板電腦,甚至也適用於穿戴裝置。時下流行所謂的「IT 消費化」,也就是在企業環境中使用消費性軟體和硬體,而 BYOD 就是其中一種模式。在 BYOD 模式下,企業組織通常會同時管制員工自備的裝置,及公司提供的裝置,但也有企業選擇採用「影子 IT」這樣的做法。影子 IT 是指企業開放使用硬體和軟體,但資訊部門並不提供支援。
BYOD的優點與風險
對 BYOD 使用者而言,能夠自由運用自己選擇的個人裝置、不分時間地點都能工作,這就是相當大的優勢。而從雇主的立場來看,公司既不需要提供行動裝置給員工,還能讓個人裝置與中央通訊系統保持連線,從而省下不少成本,這些也都是 BYOD 的優點。
BYOD 政策既有其優點,難免也會導致一些相當棘手的問題,IT 團隊需要設法熟悉隨著 BYOD 而來的各種安全問題。
管理遺失或遭竊的裝置
隨著行動裝置體積愈來愈小,不少人經常發生常因為將手機遺忘在餐廳座位上,而必須回頭去拿的窘境。假設回到原地卻找不到手機,才會發現手機被偷。此時此刻多數人心情都真是焦躁難安,尤其要是手機中存放機密的業務資料,風險豈不是馬上倍增。由於價值的緣故,行動裝置本來就是容易遭竊的物品,現在,為盜用並轉售或利用個人資料而偷竊手機的情形,更是越來越普遍。一台裝置同時存放了個人資料和非公開的公司資料,資訊外洩的風險真的很大。
為降低遺失 BYOD 裝置可能引發的風險,使用者最好登錄「尋找我的裝置」及遠端清除服務。這類服務不但能夠讓使用者追蹤不小心遺落在某處的裝置,不得已時,還能將裝置中的資料清除得一乾二淨。話雖如此,所有企業使用者仍應養成定期備份資料的習慣。擬定備份與復原程序有助於大幅減輕裝置遺失或遭竊引發的餘波。
密碼保護
許多使用者並未運用基本常識保護智慧型裝置。無論是公司裝置或私人裝置,所有裝置都該採用強式密碼保護。許多人不使用密碼保護自己的裝置,但也有許多人用密碼卻未奉行最佳實務,只為方便而使用簡易密碼。平心而論,小偷要猜到密碼數字組合是「1-2-3-4」一點也不難。事實上,犯罪組織嘗試輸入的第一個密碼,很可能就是這個組合。
只要為裝置設定強式密碼/通行碼,組織就等於做好遏止攻擊活動的第一道防線,也是一道重要的屏障。再者,若能運用指紋或臉孔識別之類的生物辨識控制技術,安全程度相對更有保障。
網路監控與 BYOD
只要是在設想週到的前提下,採行 BYOD 政策,就能給予員工更大的自由。不過,對 IT 團隊而言,除必須努力追趕不斷變化的產能需求、應用程式,及網路使用量之外,無疑又多了一層負擔。IT 團隊可運用網路監控工具完整存取這類資訊,也能存取 BYOD 和位置之類的其他資訊。只要能掌握這類指標,就能實施更好的安全防護措施,還能規劃更完善的 Wi-Fi 及發揮其他功用。
透過管理行動裝置保護裝置安全
實施 BYOD 政策的企業組織,應採行完善的行動裝置管理 (MDM) 解決方案,以利保護使用者的裝置。Enterprise Mobility 管理軟體能強制實行特定公司資安原則,保證只允許獲准的裝置存取公司網路。
MDM 軟體也能在裝置下載惡意行動應用程式時,發揮一定程度的防護作用。許多危險行動應用程式都有共同目的,破壞裝置軟體並存取儲存在裝置中的非公開資訊。若企業組織在辦公室裡採行 BYOD 計畫,由於公司和個人資料全都儲存在同一台裝置中,這類應用程式確實是非常大的隱憂。
MDM 解決方案可保證只能將可信任的應用程式下載至裝置中,讓企業組織安心無虞。值得注意,即使是公司內部開發的應用程式,仍有可能出現易遭攻擊的漏洞,所以企業應確定行動應用程式符合特定安全防護標準,以利防範資料外洩。
加密的重要性
加密絕對是裝置安全防護不可或缺的重要措施,未加密的資料很容易在傳輸中或閒置時遭到攔截,除能防範攻擊者存取行動裝置上的非公開資訊之外,加密技術還能發揮其他功能。密碼確實能夠阻止攻擊者存取裝置,而加密技術還會將攻擊者仍有能力規避密碼的可能性列入考量。
行動裝置數量多 易助長 DDoS 攻擊
行動裝置 API 鮮少設定適度的速度限制,往往容易遭受 DDoS 攻擊。利用 DDoS 攻擊產生的要求源自網路內部,因此更難以偵測。未來的 DDoS 可能會利用行動裝置入侵特定的應用程式層資源瓶頸。這類攻擊往往採用典型的查詢,比「外來的 DDoS 攻擊」更難防,因此資安團隊應留意這種手法。
功能完整的 MOVEit,能夠提供完整的資料保護機制,讓企業在 BYOD 風潮下,降低資料外洩的風險。