管制行動裝置與雲端 大幅減輕洩密風險
近一年多來,肇因於行動裝置、雲端應用等趨勢的盛行,再加上兩項趨勢彼此結合程度益發緊密,進而產生莫大干擾變數,衝擊企業IT疆界治理至鉅;值此時刻,如何促使傳統電子資料防護、也就是資料外洩防護(DLP)機制加以延伸,藉此達到更好的防禦效果,實為相當重要的課題。
精品科技資安顧問兼資安部經理陳伯榆指出,綜觀現行的電子資料防護機制,發揮數項關鍵機能。一是IT介面裝置管控,例如管控外接裝置、光碟?燒錄裝置、列印裝置等等;二是軟體安控,管制範圍含括軟體(特殊)執行、軟體禁用(如禁止使用TeamViewer)、時段的軟體開放、軟體執行行為紀錄、主管審核、延伸檔名管理…等等。
三是網路服務管控,功能項目涵蓋企業內部網路芳鄰管理、個人防火牆、郵件管控(含Webmail紀錄)、員工網頁瀏覽管控、傳輸管控,及網頁文字紀錄;四是檔案管控,可管理檔案產生與刪除、檔案更名與複製、檔案寄送、檔案列印(浮水印),以浮水印為例,在每次檔案列印執行過後,皆會出現諸如「862e0625-6b79-51df-4bfe-770b7f12720e」的簡碼,有助於企業據此反查列印者為何,係透過哪台印表機列印出何種檔案內容。
另外,電子資料防護機制亦提供軌跡與警示功能,可藉由各類異動分析、軟體執行分析、軟體操作分析、上網分析等趨勢呈現,佐以各類統計圖表,協助企業考核追蹤與建立管理制度,稱得上是深具價值。
新興趨勢蔓延 使既有DLP機制破功
綜上所述,當前電子資料防護機制可謂面面俱到,已然大幅消弭企業資料外洩的風險;然而陳伯榆提醒,有一些新興趨勢的崛起,必將嚴重衝擊IT治理,使得原本看似紮實緊密的機制隨之破功。
如此可怕的新興趨勢,究竟為何?大致包括4項,分別是Windows 8 Metro(尤其值得關注Windows 10虛擬桌面議題)、Chrome Metro、SSL、Virtualization。
陳伯榆進一步解釋,例如Chrome Metro,可讓原本建構在Windows OS層次的「限制檔案下載時效」機能完全失效;例如SSL,儘管堪稱各方唯一信賴的加密通道,但水能載舟亦能覆舟,當以此為基礎的應用軟體與雲端應用程式盛行,也意謂企業將無從了解SSL狀態下資料內容,讓企業管控機制失去效果。
隨著這些新興趨勢推演,可以預見一些資安現象勢必應運而生,包含了企業員工使用新興科技與技巧、讓IT活動快速滲透到公司;利用雲端搭建的攻擊入侵方式、使企業難以防守;不論APP應用或一般Browser Plugin、都讓DLP管控更複雜;針對性入侵行為使企業防不勝防;網路詐騙、資料竊取與網路犯罪會趨於更多樣性;而雲端或多樣Web服務,亦讓企業IT治理更為複雜。
由此可見,企業IT疆界正在大幅演變,逐漸推向雲端與Web、網路服務、IT裝置管控、穿載式裝置暨IoT、虛擬化應用等原本DLP鞭長莫及的境地,亟待企業IT部門建立有效的管理模式,始可確保企業機敏資訊資產獲得安全保護。尤其需要嚴陣以待的新興趨勢,無非就是行動裝置管控、雲端管控,而雲端與行動裝置的結合,將會衍生極其複雜的問題。
擴大IT疆界治理 降低資訊外漏機率
針對行動裝置管控,陳伯榆認為企業應力求將PC或Server端點保護功能,延伸至行動裝置治理,以期大幅降低風險與員工隱私疑慮,而其治理要點涵蓋「一個裝置(照相裝置)」、「兩個來源(BYOD、Job Oriented Device)」、「五個協定(包含MTP Mode、USB Mode、Bluetooth、IrDA與WLAN)」;企業與其花力氣導入MDM或MAM,不如針對上述要點施展安全對策,反倒容易收到更佳效果。
譬如企業可透過DLP端點管控,攔阻行動裝置連結企業電腦與網路系統,繼而透過既有的郵件管控措施,使行動裝置無法收發公司電子郵件,如此一來,企業僅需要安裝管控照相裝置程式即可。
值得一提的,企業務須立MTP管制機制,慎防不宵員工藉由此協定將公司檔案寫出至個人手機,可行做法包括:一、開放MTP使用,但有軌跡紀錄與檔案備份備查;二、禁止MTP使用;三、MTP唯讀政策,有軌跡紀錄備查。
在雲端管控部分,企業的使用政策同樣可以是攔阻禁用,也可以全部開放或部分開放,惟無論如何都需遵守幾項原則,包括限制雲端服務的使用、雲端資料需要加密保護,及雲端活動有紀錄可查。
「事實上,企業IT 人員普遍面臨新雲端防護困擾,」陳伯榆說,因為無法透過IP 過濾禁止處理雲端服務,再加上雲端服務皆已透過SSL通道加密處理,無法分析其內容行為,意欲有效突破這些盲點,不妨瞄準瀏覽器、應用程式兩大環節加強管控。
可採取的策略包括:一、網站白名單放行,其他禁止;二、網站黑名單禁止,其他放行;三、禁止雲端同步程式,禁止上傳檔案;四、開放雲端同步程式,上傳檔案加密。而在推動上述措施的同時,企業亦需搭配警示訊息、稽核軌跡紀錄等關鍵機制一併施行,據此大幅減少資訊外漏風險。
- 掌握正確防護概念 擬定制勝的資安策略
- 強化行動裝置安全 慎防機密資料外洩
- 透過多層式防禦 瓦解DDoS攻擊威脅
- 善盡特權帳號管理 清除最大資安禍首
- 憑藉自動檢測機制 清理開源安全漏洞
- 網路正規化與端點安全 有助強化企業資安體質
- 隱藏關鍵目標 將資安防護推向新境界
- 建立資安聯防 內外兼顧低禦惡意威脅
- 以COBIT 5基底 建立企業IT治理架構
- 管制行動裝置與雲端 大幅減輕洩密風險
- 善用巨量資料 理解惡意攻擊的前因後果
- 做好防範與管理 避免行動裝置成為資安隱憂
- 強化事後應變處理 將惡意餘毒清理殆盡
- 以Honeynet彙集大數據 緊盯資安威脅趨勢演進
- 善用雲端資安服務 迎戰APT/DDoS目標式攻擊
- 憑藉加密式雲端 建立安全的協同設計環境