前一天我們談內網管理時即稍有提到，內網的裝置要秉持零信任概念，唯有受過檢核的設備、確認其符合資安合規的電腦裝置才可接入，而裝置的破口可分為這幾類:

一、私人私帶裝置

私人的裝置因沒有經過任何檢驗，常包含各種風險危險，真的勸你要禁止同仁帶家用設備到公司，常見問題如:

• 1.沒有裝防毒軟體，或防毒軟體是"當年"買電腦"送的"一個月體驗包。
• 2.沒有在做OS update，或是無法更新，又或是早EOS了。(ex:winXP/Win7)
• 3.具有盜版軟體，帶到公司使用時，使用紀錄從公司網段船出去，軟體商就認定這間公司有使用盜版，肥羊就是老闆，先備好百萬賠償金喔。
• 4.私接分享器散發192.168的DHCP IP，使得該區域/網段內的電腦抓到不正常IP，影響工作效率。
• 5.他帶來叫你"順便"幫忙修，理由總說工作要用。唉~你真是個好人。

**建議解方:**用白名單在AP or SW上綁定MAC，或用IP/MAC管控工具，全面阻擋私人裝置。

二、IOT/聯網裝置

凡舉【聯網印表機】、【多功能事務機】、【IP CAM】、【聯網電視】、【掃地機器人】、【NVR裝置】...族繁不及備載，此類裝置多半散落在公司各個角落，只要他可以連接網路，他就可能成為Bot Net殭屍之一，常見問題如下:

• 1.預設密碼沒變更:聯網裝置開箱即用，多數皆忽略密碼這件事，持續使用預設密碼不僅方便到你、也方便到駭客。
• 2.變更後用弱密碼:若有變更，也請檢查一下是不是常見的"p@ssw0rd"、"12344321"、"0000"這類弱密碼，這類裝置幾乎不具備防猜測密碼功能，用弱密碼的話字典庫+小程式沒幾秒就破了，應全面採用複雜密碼吧。
• 3.Patch維持出廠版本:較具規模廠牌的裝置，在產品生命週期內會持續為韌體、應用程式提出更新，有更新代表有漏洞要被修補了，免錢的，請安排一下吧。
• 4.直接面對Internet:這些IOT、聯網OA裝置佈建時可能未經UTM防火牆/網段劃分等，為求可用直接連線到internet，其薄弱的防護機能一下就遭到破解，相當危險。
  
  (圖片來源:check Point)

建議解方:①盤點清楚這類資產②統一列管、全面變更強密碼和更新韌體③ 排定週期性檢核維護(ex:每季/每半年....)

三、公司電腦

這類電腦統整在IT單位轄下，應該是相對風險較低的族群，但是，基礎合規性仍有許多可滾動式檢討的標的，常見問題如:

• 1.一直用休眠或睡眠、從來不關機:許許多多更新機制(如windows update或防毒軟體遠端升版)仰賴重開機後生效，僅為二字:方便，這會讓漏洞無法被妥善修補，成為隱藏破口。

• 2.帶回家後給小朋友玩:現在配置筆電行動化辦公普遍，白天老爸工作用，晚上給小朋友寫作業，合情合理嘛。不久後電腦就怪怪的，原來回到家後不受公司網路保護下，包含"明星三缺一"、"東京好熱"什麼地方都解禁了，病毒也進來了。上班後就帶回公司連上內網，成為內部大擴散的來源。
  
  (圖片來源:精品科技)

• 3.私自拆接設備:公司內常見的現象，來自於對電腦設備很有研究的poweruser，工作時自行更換零組件方便使用，離職前拆卸硬碟帶走使公司資料外洩(營業秘密帶槍投靠)。
  建議解方:①GPO統一制定電源管理②對人宣導③對設備實施離線控制與加密，匡列住合適的使用範圍，亦可用端點管控系統達成(Spiceworks/X-fort/神網/IP-Guard/Open-AudIT/bitlocker)

雖然端點裝置並非攔截攻擊或風險的最佳位置(有效率的點仍屬Gateway)，但多層次防護終端點保護是不可或缺的一層。
你知道嗎，當我把內網的裝置收整完成後，內部病毒偵測數下降83%、網路不明流量下降36%、內部奧客凹修電腦數下降99%，莫讓端點裝置成為多層次攔截網的破口，管控裝置帶來的好處做了就有感。

延伸閱讀
Free IT & Networking Software from Spiceworks
小心！五大端點資安風險正威脅企業營運！
為什麼學校印表機會被入侵？
73% 受訪者認為端點最易遭駭客攻擊
開源IT資產管理系統 - Open-AudIT 2.0.x 全新改版

PS.這裡不是為特定產品打廣告，有談到的項目是筆者親自體驗用過的，包含開源免費和商業付費系統，有很多工具在IT邦上已有介紹，透過這些工具亦可更清楚你的內網資產即時盤點，敬請努力爬文喔。