針對行動裝置安全,較常見的兩種解決方案為網路連線控管與MDM控管。以目前企業市場現況來說,網路連線安全控管的技術門檻與員工抗拒程度較低,也較能夠適用於多數行動裝置屬性與網路環境。相較於強制性的控管行動裝置功能、限縮控管企業內部網路的行動安全方案而言,採用網路連線控管機制,無論員工何時何地、透過何種網路連線存取企業內部資源,都能夠獲得較安全的保護措施,也較符合目前企業環境與應用需求。
隨著行動通訊科技的日新月異發展,愈來愈多的用戶在日常生活上重度仰賴行動裝置所帶來的方便性,不論是使用社交通訊、商業需求或者娛樂遊戲之各式各樣的應用軟體,智慧型手機也已成為許多現代人生活中密不可分的一環。
在企業環境中,由於IT消費性趨勢興起,行動裝置日漸普及、行動辦公應用的趨勢逐漸明顯,使用個人裝置(如智慧型手機、筆記型電腦和平板型電腦)來存取公司資源的員工也不斷增加。企業員工可透過行動設備隨時掌握最新資訊、加速協同合作,不用再受到公司固定裝置的束縛,確實為企業帶來了提升工作效率與易於存取資源等的顯著商業利益。不過在此同時,卻也隱藏著資安上的大漏洞,像是惡意程式、惡意簡訊…郵件、釣魚攻擊、漏洞攻擊、自動扣費軟體等安全威脅,也使得行動安全議題逐漸成為企業開放與管理行動裝置使用時所面臨的共同課題。
可怕的是,一般使用者對於行動安全的認知都較為低落,私人行動裝置進入企業網路後,一旦控管不周,不僅可能對公司的信譽帶來傷害,更甚者危及整個企業的生存。Check Point最新的一項調查結果就顯示,過去五年一再發生的資料外洩事件,已經降低了民眾對私人企業和政府機構保障個人資料能力的信心。其中更有77%的受訪者表示,在購買產品或服務時,相較於有資料外洩前科的公司,他們更傾向選擇從未發生過資料外洩事件的企業。
私人裝置控管難度高
然而,企業組織往往並不知道也無法預測會有什麼樣的資料、以何種方式、透過不具備安全防護的行動裝置離開企業網路。當越來越多的惡意App能夠躲過驗證程序,加上越獄(Jail-broken)或者取得root權限的裝置,以及未規範保護的應用程式商店等無法實際控管的因素逐漸增加,將對實施BYOD(Bring Your Own Device)的企業形成巨大的風險。因此儘管企業逐漸接受此趨勢,不過IT人員卻得為了保護大量的行動裝置與作業系統而努力,並保護公司免受於資料外洩與行動威脅增加的影響。
根據Check Point公佈的「行動裝置對資訊安全的影響」調查報告結果顯示,在過去兩年裡,連線至企業網路的個人行動裝置數量增加超過兩倍以上,其中近半數的行動裝置存有敏感資料。調查遍訪全球超過750位企業資安人員,發現71%的受訪公司認為行動裝置導致資安事件增加,而企業也非常擔憂員工行動裝置中儲存的敏感資訊及隱私外洩,這些資料包括公司電子郵件(79%)、客戶資料(47%),以及網路登入憑證(38%)。約有94%的受訪公司表示,連線至企業網路的個人行動裝置數量增加;78%的受訪者指出過去兩年行動裝置增加的數量超過兩倍。
 |
| ▲行動裝置內往往存放了許多企業與個人機敏或隱私資料。(資料來源:Check Point) |
隨著連結企業網路的行動裝置數量呈爆炸性成長,增加了資料外洩與管理的複雜度,更促使企業必須運用適當的遠端存取政策,以保護企業的行動安全,將威脅頻率、風險及成本降到最低。不過企業在制定解決方案之前,建議先確認控管裝置的屬性類型,接著再訂立其保護的目標。換句話說,也就是行動裝置上有哪些應用、可能包含哪些風險、以及風險與漏洞可能造成哪些資料安全問題等等。
而控管員工私人裝置的功能與資料,也還有許多瓶頸與爭議有待解決,諸如作業系統平台與版本、硬體平台以及應用程式等不斷更新下,控管機制的支援性問題;還有管理私人裝置所面臨的隱私權風險等等,都是企業直接控管行動裝置功能與資料的可行性較低的緣故。另外,員工接受度也是安全政策可否順利執行的一大因素,企業若直接控管員工私人裝置,往往會面臨員工反彈。
經安全連線存取內網
針對行動裝置安全,較常見的兩種解決方案為網路連線控管與MDM控管。以目前企業市場現況來說,網路連線安全控管的技術門檻與員工抗拒程度較低,也較能夠適用於多數行動裝置屬性與網路環境,是市場普遍接受的解決方案。相較於強制性的控管行動裝置功能、限縮控管企業內部網路的行動安全方案而言,採用網路連線控管機制,無論員工何時何地、透過何種網路連線存取企業內部資源,都能夠獲得較安全的保護措施,也較符合目前企業環境與應用需求。
筆者就有不少企業用戶部署這樣的解決方案來提供企業員工在外收發公司電子郵件,或存取內部資源時的安全連線,由於不須限制員工行動裝置功能與使用行為,員工接受度也比較高,推行較容易。尤其多數企業提供員工行動商務應用的對象,都以高階主管收發電子郵件的需求為大宗,因此提供從外部網路端點安全連線存取企業內部網路與資源,確實較能符合企業的需求。
以Check Point Mobile Access為例,與其他專注控管企業內部網路的解決方案不同點在於,其主要功能為確保行動裝置存取企業內部資源時的網路連線安全性,也就是說,即使行動裝置使用的是外部網路(如3G網路),也同樣可以控管其連線安全。能夠根據企業需求,選擇安裝應用程式或透過網頁瀏覽器存取SSL VPN等方式提供員工行動裝置存取企業內部資源。除此之外,也可辨識行動裝置作業系統,企業可設定允許存取企業內部網路與資源的作業系統平台,只要是不被允許存取的作業系統平台與版本,即可阻擋存取連線,以提高安全控管程度。
其他關於行動裝置的防護,建議企業可考量幾個重要策略,如教育員工公司相關政策、簡化管理,與執行適當的安全存取控制等等。資訊安全永遠面臨嚴密控管與使用便利性的兩難,行動安全控管也不例外,無論是企業或是安全供應商,都必須面對安全防禦管理和便利性、效率的平衡課題,隨著企業持續面臨資料安全及IT消費化的挑戰,如何從中選擇、部署與有效管理,將是企業安全系統管理者無法迴避的考驗。
<本文作者吳炳東目前擔任Check Point台灣區技術顧問,專長於網路安全防禦、安全網路架構規劃建置及系統安全規劃,並協助規畫建置金融、保險、證券、電信及高科技產業等網路安全,擁有豐富的防火牆、虛擬私有網路、入侵防禦系統、內容安全過濾、防毒及加密機制等經驗>