由行動管理生命週期建立防禦機制 智慧應用 影音
MongoDB
ST Microsite

由行動管理生命週期建立防禦機制

  • DIGITIMES企劃

行動裝置生命週期管理架構
行動裝置生命週期管理架構

如同前一章節所述,MIS要想在充滿變數的BYOD叢林中安身立命,有了MDM與MAM,雖然可收到一定效果,但顯然還不足以披荊斬棘;那麼,MIS尚須補強哪些環節?

擁有行動裝置管理、行動應用程式管理等解決方案,為何還不足以確保企業BYOD之安全無虞?要探究這個問題的解答,必須回到最源頭,先行檢視可能導致企業行動管理出現缺口的因素,究竟有哪些?

總結來說,企業可能面臨的行動安全威脅,不外有幾個項目,包含了行動裝置的遺失或遭竊、資料外洩、遭受惡意程式攻擊、共享裝置與密碼、裝置破解(含Jailbreaking及Rooting),以及Wi-Fi與無線網路竊聽;看到這裡,稍具經驗的MIS理應可以心領神會,光靠MDM與MAM,確實難以全面涵蓋上述各大威脅。

多數MIS不禁要問,到底怎麼做,才能為公司創造安全的BYOD應用環境?其關鍵就在於,MIS一定要先瞭解BYOD的三大環節-裝置、應用程式、資料,進而在不改變同仁使用習慣的前提下,竭盡所能為這三個環節套上金鐘罩,讓外部有心人士進不來,意圖挾帶機敏資料出境的員工也出不去,就成功了一大半。

因應行動管理生命週期 逐項對症下藥
在2011年底,知名分析機構Forrest,提出了一份有關行動管理生命週期的解讀,從使用者識別及單一簽入、將安全政策套入裝置(Device Compliance)開始,此後還涉及網路安全、裝置管理、應用程式管理、資料保護、裝置安全等諸多環節。

就當前與BYOD議題連結度最高的MDM解決方案來看,僅碰觸到上述的Device Compliance、裝置管理、裝置安全、資料保護等環節,勉可含括App控制、裝置設定、裝置註冊、裝置定位、裝置鎖定、服務管理、遠端抹除、反惡意程式、防範裝置破解、密碼保護等細部項目,看似不少,但充其量也只涵蓋半壁江山。至於MAM,則與應用程式管理、使用者識別及單一簽入、資料保護等環節較為相關,同樣未能觸及所有構面。

因此可以肯定,綜觀現階段市面上任何與BYOD相關的安全解決方案,尚無任何一項,有能力涵蓋完整的行動管理生命週期。

在此前提下,企業意欲建構行動安全防護堡壘,切莫妄圖一步到位,理應採取分階段部署模式,導入MDM及MAM,可算是第一步,但此後的第二、三、四…步驟,仍有持續補強的空間。
那麼第二步應該是什麼?不妨就從MDM及MAM力有未逮之處下手,使用者認證與憑證管理即是一例,可針對此一環節,評估導入增強式驗證方案,一旦將此事做好,不僅有助於強化行動應用安全性,亦可提供更為理想的使用者體驗。

所謂增強式驗證,一般來說,企業可以努力的方向算是不少,雙因素身分認證便是其中一例,最典型的解決方案即是動態密碼(One-Time Password;OTP)。只要建立了這個機制,每隔30秒或1分鐘即會變換一次密碼,使得駭客「闖空門」的難度大幅高漲,終至牢牢保護用者的帳號與密碼,確保企業網路與網站存取點的安全性;惟此一機制需要留意的地方,乃在於萬一員工的智慧型手機或平板電腦因故障送修,暫時被迫採用備用裝置,那麼他的個人身分與裝置識別ID之間的連結性,就會因此而喪失,在名目上已不算是公司的合法使用者,值此時刻,MIS就必須採取權宜之計,先將原本註冊予以取消,繼而思考是要讓備用裝置加入註冊,或暫時以電子郵件或簡訊當做OTP載具,藉此填補空窗期。

此外,企業亦需致力深化單一簽入架構與行動裝置之間的整合性。針對這個議題,許多公司都曾面臨一個弔詭之處,意即員工使用行動裝置,自然而然會期望能使用公司的Wi-Fi網路,但往往給了這個方便性,就可能帶來無窮無盡的危機,為了解決這個難題,企業不妨可考慮建立一個閘道機制,規定所有無線存取行為,都必須要接受這個閘道的把關,一旦驗證無誤,才能使用各項企業服務,包括存取公司的私有雲、或者是與公司具有合作關係的私有雲,其實都可比照辦理,而其間的一切傳輸路徑,都予以全程加密。

當然,如果企業考量到某些關鍵應用服務,光靠單一閘道器過濾把關,或許擔心有所不足,此時OTP就可派上用場,作為另一道憑證。

郵件存取安全 亦須嚴陣以待
不可諱言,郵件恆常是洩露企業機密的主要途徑之一,既然如此,就必須善盡郵件存取安全的把關之責。

針對此一防護需求,MIS通常第一個想到的,就是設法阻止郵件轉寄,也就是說,員工若是有意或無意,想利用公司信箱把資料外寄出去,肯定行不通。只不過,此事所隱含的重大盲點在於,意圖洩露資料的不宵員工,怎可能大搖大擺地運用企業信箱?他肯定會把腦筋動到Web Mail之上!

所幸新版iOS已支援MDM服務,內含「不允許轉寄」之功能,企業只要善加運用,即可防堵員工意圖利用Web Mail轉寄公司信件;但正所謂百密仍有一疏,防得了員工轉寄信件,卻防不了他將整份內容Copy & Paste,然後再利用Web Mail寄出,由於此行為不涉及「轉寄」,所以根本不在公司預設的防護範疇之列,可以說愛怎麼寄、就怎麼寄,完全拿他沒輒。

看到這裡,相信不少MIS肯定打了一個寒顫,心想經過了行動裝置這個變數後,怎會讓郵件存取安全變得如此棘手?事實上,這些缺陷實為其來有自,可歸咎於行動裝置內建的郵件軟體功能,實在不怎麼高明,它沒辦法區隔公司與個人資料,沒辦法限制Copy & Paste行為,更沒辦法限制使用者將郵件附檔儲存在任何應用程式,光是這些罩門,就足以讓一堆傳統防禦機制一個個破功。

唯今之計,企業恐需要認真思考導入行動電子郵件安全方案,才能有效因應BYOD特殊的環境需求;借助此類產品,不宵員工妄想以Copy & Paste加Web Mail模式,私自夾帶機密出境,勢將無法得償所願,不僅如此,企業還可順勢針對收發信件的終端裝置加以設限,只要是未受公司管制、也沒通過驗證的行動裝置,一律不允許收信,如此一來,不宵員工若想套用公司的郵件設定,運用「轄區」外的裝置另起爐灶,也將會踢到鐵板。

除此之外,一些看來「扯得有點遠」的後台資安系統,縱使不是針對BYOD應運而生,但倘若予以補強,仍有助於強化BYOD安全性。比方說,現今所謂的次世代防火牆(Next Generation Firewall),可一舉提供病毒防護、阻擋垃圾郵件、封鎖應用程式、整合Active Directory、內容過濾器、網路行為偵測等諸多功能,亦可對應用層級的服務存取及流量加以限定,藉由這些元素,足以健全企業網路基礎架構,並確保企業網路存取行為之安全,對BYOD實有一番貢獻。

再者,隨著潛藏在行動平台的惡意程式數量激增,無疑為駭客開啟另一扇方便之間,使其有機會能利用應用程式或通訊協定的弱點,藉由行動裝置跳板潛入企業網路,針對企業應用服務進行非法存取,或者竊取資料、甚至強制中斷網頁服務,從而讓企業蒙受損失;在此情況下,企業若已佈建網頁應用程式防火牆(WAF),即可望就近保護網頁應用程式與網站,避免遭受侵擾。