管制行動裝置與雲端 大幅減輕洩密風險

精品科技資安顧問兼資安部經理陳伯榆。

近一年多來，肇因於行動裝置、雲端應用等趨勢的盛行，再加上兩項趨勢彼此結合程度益發緊密，進而產生莫大干擾變數，衝擊企業IT疆界治理至鉅；值此時刻，如何促使傳統電子資料防護、也就是資料外洩防護(DLP)機制加以延伸，藉此達到更好的防禦效果，實為相當重要的課題。

精品科技資安顧問兼資安部經理陳伯榆指出，綜觀現行的電子資料防護機制，發揮數項關鍵機能。一是IT介面裝置管控，例如管控外接裝置、光碟？燒錄裝置、列印裝置等等；二是軟體安控，管制範圍含括軟體(特殊)執行、軟體禁用(如禁止使用TeamViewer)、時段的軟體開放、軟體執行行為紀錄、主管審核、延伸檔名管理…等等。

三是網路服務管控，功能項目涵蓋企業內部網路芳鄰管理、個人防火牆、郵件管控(含Webmail紀錄)、員工網頁瀏覽管控、傳輸管控，及網頁文字紀錄；四是檔案管控，可管理檔案產生與刪除、檔案更名與複製、檔案寄送、檔案列印(浮水印)，以浮水印為例，在每次檔案列印執行過後，皆會出現諸如「862e0625-6b79-51df-4bfe-770b7f12720e」的簡碼，有助於企業據此反查列印者為何，係透過哪台印表機列印出何種檔案內容。

另外，電子資料防護機制亦提供軌跡與警示功能，可藉由各類異動分析、軟體執行分析、軟體操作分析、上網分析等趨勢呈現，佐以各類統計圖表，協助企業考核追蹤與建立管理制度，稱得上是深具價值。

新興趨勢蔓延  使既有DLP機制破功

綜上所述，當前電子資料防護機制可謂面面俱到，已然大幅消弭企業資料外洩的風險；然而陳伯榆提醒，有一些新興趨勢的崛起，必將嚴重衝擊IT治理，使得原本看似紮實緊密的機制隨之破功。

如此可怕的新興趨勢，究竟為何？大致包括4項，分別是Windows 8 Metro(尤其值得關注Windows 10虛擬桌面議題)、Chrome Metro、SSL、Virtualization。

陳伯榆進一步解釋，例如Chrome Metro，可讓原本建構在Windows OS層次的「限制檔案下載時效」機能完全失效；例如SSL，儘管堪稱各方唯一信賴的加密通道，但水能載舟亦能覆舟，當以此為基礎的應用軟體與雲端應用程式盛行，也意謂企業將無從了解SSL狀態下資料內容，讓企業管控機制失去效果。

隨著這些新興趨勢推演，可以預見一些資安現象勢必應運而生，包含了企業員工使用新興科技與技巧、讓IT活動快速滲透到公司；利用雲端搭建的攻擊入侵方式、使企業難以防守；不論APP應用或一般Browser Plugin、都讓DLP管控更複雜；針對性入侵行為使企業防不勝防；網路詐騙、資料竊取與網路犯罪會趨於更多樣性；而雲端或多樣Web服務，亦讓企業IT治理更為複雜。

由此可見，企業IT疆界正在大幅演變，逐漸推向雲端與Web、網路服務、IT裝置管控、穿載式裝置暨IoT、虛擬化應用等原本DLP鞭長莫及的境地，亟待企業IT部門建立有效的管理模式，始可確保企業機敏資訊資產獲得安全保護。尤其需要嚴陣以待的新興趨勢，無非就是行動裝置管控、雲端管控，而雲端與行動裝置的結合，將會衍生極其複雜的問題。

擴大IT疆界治理  降低資訊外漏機率

針對行動裝置管控，陳伯榆認為企業應力求將PC或Server端點保護功能，延伸至行動裝置治理，以期大幅降低風險與員工隱私疑慮，而其治理要點涵蓋「一個裝置(照相裝置)」、「兩個來源(BYOD、Job Oriented Device)」、「五個協定(包含MTP Mode、USB Mode、Bluetooth、IrDA與WLAN)」；企業與其花力氣導入MDM或MAM，不如針對上述要點施展安全對策，反倒容易收到更佳效果。

譬如企業可透過DLP端點管控，攔阻行動裝置連結企業電腦與網路系統，繼而透過既有的郵件管控措施，使行動裝置無法收發公司電子郵件，如此一來，企業僅需要安裝管控照相裝置程式即可。

值得一提的，企業務須立MTP管制機制，慎防不宵員工藉由此協定將公司檔案寫出至個人手機，可行做法包括：一、開放MTP使用，但有軌跡紀錄與檔案備份備查；二、禁止MTP使用；三、MTP唯讀政策，有軌跡紀錄備查。

在雲端管控部分，企業的使用政策同樣可以是攔阻禁用，也可以全部開放或部分開放，惟無論如何都需遵守幾項原則，包括限制雲端服務的使用、雲端資料需要加密保護，及雲端活動有紀錄可查。

「事實上，企業IT 人員普遍面臨新雲端防護困擾，」陳伯榆說，因為無法透過IP 過濾禁止處理雲端服務，再加上雲端服務皆已透過SSL通道加密處理，無法分析其內容行為，意欲有效突破這些盲點，不妨瞄準瀏覽器、應用程式兩大環節加強管控。

可採取的策略包括：一、網站白名單放行，其他禁止；二、網站黑名單禁止，其他放行；三、禁止雲端同步程式，禁止上傳檔案；四、開放雲端同步程式，上傳檔案加密。而在推動上述措施的同時，企業亦需搭配警示訊息、稽核軌跡紀錄等關鍵機制一併施行，據此大幅減少資訊外漏風險。