MIS要想在充滿(mǎn)變量的BYOD叢林中安身立命,有了MDM與MAM,雖然可收到一定效果,但顯然還不足以披荊斬棘;那么,MIS尚須補強哪些環(huán)節? 擁有移動(dòng)設備管理、移動(dòng)應用程序管理等解決方案,為何還不足以確保企業(yè)BYOD之安全無(wú)虞?要探究這個(gè)問(wèn)題的解答,必須回到最源頭,先行檢視可能導致企業(yè)移動(dòng)管理出現缺口的因素,究竟有哪些?
總結來(lái)說(shuō),企業(yè)可能面臨的移動(dòng)安全威脅,不外有幾個(gè)項目,包含了移動(dòng)設備的遺失或遭竊、資料外泄、遭受惡意程序攻擊、共享設備與密碼、設備破解(含Jailbreaking及Rooting),以及Wi-Fi與無(wú)線(xiàn)網(wǎng)絡(luò )竊聽(tīng);看到這里,稍具經(jīng)驗的MIS理應可以心領(lǐng)神會(huì ),光靠MDM與MAM,確實(shí)難以全面涵蓋上述各大威脅。
多數MIS不禁要問(wèn),到底怎么做,才能為公司創(chuàng )造安全的BYOD應用環(huán)境?其關(guān)鍵就在于,MIS一定要先了解BYOD的三大環(huán)節-設備、應用程序、資料,進(jìn)而在不改變同仁使用習慣的前提下,竭盡所能為這三個(gè)環(huán)節套上金鐘罩,讓外部有心人士進(jìn)不來(lái),意圖挾帶機敏資料出境的員工也出不去,就成功了一大半。
因應移動(dòng)管理生命周期 逐項對癥下藥 在2011年底,知名分析機構Forrest,提出了一份有關(guān)移動(dòng)管理生命周期的解讀,從使用者識別及單一簽入、將安全政策套入設備(Device Compliance)開(kāi)始,此后還涉及網(wǎng)絡(luò )安全、設備管理、應用程序管理、資料保護、設備安全等諸多環(huán)節。
就當前與BYOD議題連結度最高的MDM解決方案來(lái)看,僅碰觸到上述的Device Compliance、設備管理、設備安全、資料保護等環(huán)節,勉可含括App控制、設備設定、設備注冊、設備定位、設備鎖定、服務(wù)管理、遠端抹除、反惡意程序、防范設備破解、密碼保護等細部項目,看似不少,但充其量也只涵蓋半壁江山。至于MAM,則與應用程序管理、使用者識別及單一簽入、資料保護等環(huán)節較為相關(guān),同樣未能觸及所有構面。
因此可以肯定,綜觀(guān)現階段市面上任何與BYOD相關(guān)的安全解決方案,尚無(wú)任何一項,有能力涵蓋完整的移動(dòng)管理生命周期。
在此前提下,企業(yè)意欲建構移動(dòng)安全防護堡壘,切莫妄圖一步到位,理應采取分階段部署模式,導入MDM及MAM,可算是第一步,但此后的第二、三、四…步驟,仍有持續補強的空間。 那么第二步應該是什么?不妨就從MDM及MAM力有未逮之處下手,使用者認證與憑證管理即是一例,可針對此一環(huán)節,評估導入增強式驗證方案,一旦將此事做好,不僅有助于強化移動(dòng)應用安全性,亦可提供更為理想的使用者體驗。
所謂增強式驗證,一般來(lái)說(shuō),企業(yè)可以努力的方向算是不少,雙因素身分認證便是其中一例,最典型的解決方案即是動(dòng)態(tài)密碼(One-Time Password;OTP)。只要建立了這個(gè)機制,每隔30秒或1分鐘即會(huì )變換一次密碼,使得黑客“闖空門(mén)”的難度大幅高漲,終至牢牢保護用者的賬號與密碼,確保企業(yè)網(wǎng)絡(luò )與網(wǎng)站存取點(diǎn)的安全性;惟此一機制需要留意的地方,乃在于萬(wàn)一員工的智能型手機或平板計算機因故障送修,暫時(shí)被迫采用備用設備,那么他的個(gè)人身分與設備識別ID之間的連結性,就會(huì )因此而喪失,在名目上已不算是公司的合法使用者,值此時(shí)刻,MIS就必須采取權宜之計,先將原本注冊予以取消,繼而思考是要讓備用設備加入注冊,或暫時(shí)以電子郵件或簡(jiǎn)訊當做OTP載具,藉此填補空窗期。
此外,企業(yè)亦需致力深化單一簽入架構與移動(dòng)設備之間的整合性。針對這個(gè)議題,許多公司都曾面臨一個(gè)吊詭之處,意即員工使用移動(dòng)設備,自然而然會(huì )期望能使用公司的Wi-Fi網(wǎng)絡(luò ),但往往給了這個(gè)方便性,就可能帶來(lái)無(wú)窮無(wú)盡的危機,為了解決這個(gè)難題,企業(yè)不妨可考慮建立一個(gè)閘道機制,規定所有無(wú)線(xiàn)存取行為,都必須要接受這個(gè)閘道的把關(guān),一旦驗證無(wú)誤,才能使用各項企業(yè)服務(wù),包括存取公司的私有云、或者是與公司具有合作關(guān)系的私有云,其實(shí)都可比照辦理,而其間的一切傳輸路徑,都予以全程加密。
當然,如果企業(yè)考量到某些關(guān)鍵應用服務(wù),光靠單一閘道器過(guò)濾把關(guān),或許擔心有所不足,此時(shí)OTP就可派上用場(chǎng),作為另一道憑證。
郵件存取安全 亦須嚴陣以待 不可諱言,郵件恒常是泄露企業(yè)機密的主要途徑之一,既然如此,就必須善盡郵件存取安全的把關(guān)之責。
針對此一防護需求,MIS通常第一個(gè)想到的,就是設法阻止郵件轉寄,也就是說(shuō),員工若是有意或無(wú)意,想利用公司信箱把資料外寄出去,肯定行不通。只不過(guò),此事所隱含的重大盲點(diǎn)在于,意圖泄露資料的不宵員工,怎可能大搖大擺地運用企業(yè)信箱?他肯定會(huì )把腦筋動(dòng)到Web Mail之上!
所幸新版iOS已支援MDM服務(wù),內含“不允許轉寄”之功能,企業(yè)只要善加運用,即可防堵員工意圖利用Web Mail轉寄公司信件;但正所謂百密仍有一疏,防得了員工轉寄信件,卻防不了他將整份內容Copy & Paste,然后再利用Web Mail寄出,由于此行為不涉及“轉寄”,所以根本不在公司預設的防護范疇之列,可以說(shuō)愛(ài)怎么寄、就怎么寄,完全拿他沒(méi)輒。
看到這里,相信不少MIS肯定打了一個(gè)寒顫,心想經(jīng)過(guò)了移動(dòng)設備這個(gè)變量后,怎會(huì )讓郵件存取安全變得如此棘手?事實(shí)上,這些缺陷實(shí)為其來(lái)有自,可歸咎于移動(dòng)設備內建的郵件軟件功能,實(shí)在不怎么高明,它沒(méi)辦法區隔公司與個(gè)人資料,沒(méi)辦法限制Copy & Paste行為,更沒(méi)辦法限制使用者將郵件附檔儲存在任何應用程序,光是這些罩門(mén),就足以讓一堆傳統防御機制一個(gè)個(gè)破功。
唯今之計,企業(yè)恐需要認真思考導入移動(dòng)電子郵件安全方案,才能有效因應BYOD特殊的環(huán)境需求;借助此類(lèi)產(chǎn)品,不宵員工妄想以Copy & Paste加Web Mail模式,私自?shī)A帶機密出境,勢將無(wú)法得償所愿,不僅如此,企業(yè)還可順勢針對收發(fā)信件的終端設備加以設限,只要是未受公司管制、也沒(méi)通過(guò)驗證的移動(dòng)設備,一律不允許收信,如此一來(lái),不宵員工若想套用公司的郵件設定,運用“轄區”外的設備另起爐灶,也將會(huì )踢到鐵板。
除此之外,一些看來(lái)“扯得有點(diǎn)遠”的后臺資安系統,縱使不是針對BYOD應運而生,但倘若予以補強,仍有助于強化BYOD安全性。比方說(shuō),現今所謂的次世代防火墻(Next Generation Firewall),可一舉提供病毒防護、阻擋垃圾郵件、封鎖應用程序、整合Active Directory、內容過(guò)濾器、網(wǎng)絡(luò )行為偵測等諸多功能,亦可對應用層級的服務(wù)存取及流量加以限定,藉由這些元素,足以健全企業(yè)網(wǎng)絡(luò )基礎架構,并確保企業(yè)網(wǎng)絡(luò )存取行為之安全,對BYOD實(shí)有一番貢獻。
再者,隨著(zhù)潛藏在移動(dòng)平臺的惡意程序數量激增,無(wú)疑為黑客開(kāi)啟另一扇方便之間,使其有機會(huì )能利用應用程序或通訊協(xié)定的弱點(diǎn),藉由移動(dòng)設備跳板潛入企業(yè)網(wǎng)絡(luò ),針對企業(yè)應用服務(wù)進(jìn)行非法存取,或者竊取資料、甚至強制中斷網(wǎng)頁(yè)服務(wù),從而讓企業(yè)蒙受損失;在此情況下,企業(yè)若已布建網(wǎng)頁(yè)應用程序防火墻(WAF),即可望就近保護網(wǎng)頁(yè)應用程序與網(wǎng)站,避免遭受侵擾。
