移動設備安全政策是防止影子 IT 使用的最佳安全控制。用戶教育可促進對安全政策和問題的普遍認識，但應在用戶教育之前製定移動設備安全政策。

影子IT（Shadow IT）
銷售部門負責人為銷售代表購買了一批新的移動設備，以促進銷售過程，而沒有經過 IT 部門的批准，這是影子 IT 使用的一個典型例子。
“影子 IT ”一詞通常表示員工在 IT 組織不知情的情況下使用與工作相關的 IT 相關硬件、軟件或云服務。
來源：NIST SP 800-124 R2（草案）

申請審核（Application Vetting）
應用程序審查是指識別移動應用程序中的漏洞和惡意代碼、通知管理員並採取補救措施的能力。
**企業移動管理 (Enterprise Mobility Management ：EMM)系統是一套產品，用於在企業環境中部署、配置和主動管理移動設備。它們是企業移動安全解決方案的核心，可用於控制企業用戶對組織發行的和個人擁有的移動設備的使用。除了管理移動設備的配置外，這些技術還提供其他功能，例如控制對企業計算資源的訪問。
EMM 系統應與移動威脅防禦 (Mobile Threat Defense：MTD)系統集成以保護移動端點。MTD 系統可以檢測惡意應用程序或操作系統 (OS) 軟件的存在、軟件或配置中的已知漏洞以及與列入黑名單的網站/服務器或網絡的連接。MTD 與 EMM 的集成使管理員或防禦系統能夠修復檢測到的漏洞或隔離應用程序或設備。
EMM 系統還可以擴展為使用在部署之前和整個應用程序生命週期中對託管應用程序及其庫執行企業級安全分析的工具提供移動應用程序審查 (Mobile Application Vetting：MAV)**功能。在部署之前發現的漏洞或惡意代碼可以提交給開發人員，或者應用程序可能會被禁止在組織的設備上或企業移動應用程序商店內使用。如果在部署或更新應用程序後發現漏洞或惡意代碼，管理員會收到通知並提供部署各種 EMM 修復操作的選項。

參考
. NIST SP 800-124 修訂版。2（草案）

資料來源： Wentz Wu QOTD-20210829
My Blog: https://choson.lifenet.com.tw/