堅持不採用 BYOD 政策已經成了一場在逆境中求勝的戰役。光是在過去五年間,技術和工作場所的習慣模式就出現了一些重大轉變。這些新的轉變暗藏著新的安全風險,我們該如何因應?
雲端運算技術興起後,連帶使得個人智慧型裝置及在家工作模式蔚為盛行,於是,BYOD 政策 (自備個人裝置) 成了相當受歡迎的做法。這類政策允許員工使用自己慣用的行動裝置 (筆記型電腦、智慧型手機等) 工作,不需受限於公司配發的裝置。這類政策當然有很多優點...能讓員工開心,再者,公司往往因為如此而不需要提供 (及採購) 新裝置,尤其是行動電話。但是,凡事都有一體兩面。BYOD 趨勢除了帶來優點,也衍生出一定程度的安全隱憂。以下探討最主要的安全隱憂,以及企業該如何擬定 BYOD 策略才能解決相關問題。
BYOD 是一種相當新穎的措施,企業組織透過這項措施允許員工使用自己的個人裝置處理工作。智慧型手機是最常見的例子,不過,BYOD 模式的範圍還包括筆記型電腦、平板電腦,甚至也適用於穿戴裝置。時下流行所謂的「IT 消費化」,也就是在企業環境中使用消費性軟體和硬體,而 BYOD 就是其中一種模式。在 BYOD 模式下,企業組織通常會同時管制員工自備的裝置及公司提供的裝置,不過,也有其他企業選擇採用「影子 IT」這樣的做法。「影子 IT」是指企業開放使用硬體和軟體,但組織的中央 IT 部門並不提供支援。
對 BYOD 使用者而言,能夠自由運用自己選擇的個人裝置、不分時間地點都能工作,這就是相當大的優勢。而從雇主的立場來看,公司既不需要提供行動裝置給員工,還能讓個人裝置與中央通訊系統保持連線,從而省下不少成本,這些也都是 BYOD 的優點。
BYOD 政策既有其優點,難免也會導致一些相當棘手的問題。IT 團隊需要設法熟悉隨著 BYOD 而來的各種安全問題。以下舉例說明幾項最嚴重的 BYOD 相關隱憂,以及組織做好自我防護的方式。
您是不是經常因為將手機遺忘在餐廳座位上而必須回頭去拿?假設您回到原地卻找不到手機,這才發現手機被偷了。此時此刻的心情真是焦躁難安,對吧?再想像一下,要是手機中存了機密的業務資料,風險豈不是馬上倍增?由於價值的緣故,行動裝置本來就是容易遭竊的物品,現在,為了盜用並轉售或利用個人資料而偷竊手機的情形更是越來越普遍。一台裝置同時存放了個人資料和非公開的公司資料,資訊外洩的風險真的很大。
為降低遺失 BYOD 裝置可能引發的風險,使用者最好登錄「尋找我的裝置」及遠端清除服務。這類服務不但能夠讓使用者追蹤不小心遺落在某處的裝置,不得已時還能將裝置中的資料清除得一乾二淨。話雖如此,所有企業使用者仍應養成定期備份資料的習慣。擬定備份與復原程序有助於大幅減輕裝置遺失或遭竊引發的餘波。
許多使用者並未運用基本常識保護智慧型裝置。無論是公司裝置或私人裝置,所有裝置都該採用強式密碼保護。許多人不使用密碼保護自己的裝置,但也有許多人用了密碼卻未奉行最佳實務,只為了方便而使用簡易密碼。試想:如果您是小偷,要猜到密碼數字組合是「1-2-3-4」一點也不難,不是嗎?事實上,小偷嘗試輸入的第一個密碼很可能就是這個組合。只要為裝置設定強式密碼/通行碼,組織就等於做好了遏止攻擊活動的第一道防線,這也是一道更重要的屏障。再者,若能運用指紋或臉孔識別之類的生物辨識出入控制技術,安全程度相對更有保障。
只要是在設想週到的前提下採行 BYOD,就能給予員工更大的自由。不過,要是實施方式不恰當,對 IT 團隊而言,除了必須努力追趕不斷變化的產能需求、應用程式及網路使用量之外,無疑又多了一層負擔。IT 團隊可以運用網路監控工具完整存取這類資訊,也能存取 BYOD 和位置之類的其他資訊。只要能掌握這類指標,IT 團隊就能實施更好的安全防護措施,還能規劃更完善的 Wi-Fi 及發揮其他功用。
實施 BYOD 政策的企業組織應採行完善的行動裝置管理 (MDM) 解決方案,以利保護使用者的裝置。Enterprise Mobility 管理軟體能強制實行特定公司資安原則,保證只允許獲准的裝置存取公司網路。
MDM 軟體也能在裝置下載惡意行動應用程式時發揮防護作用。許多危險的行動應用程式只有一個目的:破壞裝置軟體並存取儲存在裝置中的非公開資訊。若企業組織在辦公室裡採行 BYOD 計畫,由於公司和個人資料全都儲存在同一台裝置中,這類應用程式確實是非常大的隱憂。MDM 解決方案可以保證只能將可信任的應用程式下載至裝置中,讓企業組織安心無虞。值得注意的是,即使是公司內部開發的應用程式,仍有可能出現易遭攻擊的漏洞。企業應確定自己的行動應用程式符合特定安全防護標準,以利防範資料外洩。
加密絕對是裝置安全防護不可或缺的重要措施。未加密的資料很容易在傳輸中或閒置時遭到攔截。除了能防範攻擊者存取行動裝置上的非公開資訊之外,加密技術還能發揮其他功能。密碼確實能夠阻止攻擊者存取裝置,而加密技術還會將攻擊者仍有能力規避密碼的可能性列入考量。倘若能採行所謂「深度防禦」的多層次安全防護機制,企業組織就能進一步強化 BYOD 裝置的防禦功能。傳輸中的資料往往是最容易遭受攻擊的一環。企業組織若願意投資採購深度夠強的加密工具,就有能力保護自己的網路基礎架構,也能保護所有需經由公用 Wi-Fi 網路傳輸的公司資料。
行動裝置 API 鮮少設定適度的速度限制,往往容易遭受 DDoS 攻擊。利用 DDoS 攻擊產生的要求源自網路內部,因此更難以偵測。未來的 DDoS 可能會利用行動裝置入侵特定的應用程式層資源瓶頸。這類攻擊往往採用典型的查詢,比「外來的 DDoS 攻擊」更難防,因此,資安團隊應留意這種手法。
View all posts from Nate Lewis on the Progress blog. Connect with us about all things application development and deployment, data integration and digital business.
Let our experts teach you how to use Sitefinity's best-in-class features to deliver compelling digital experiences.
Learn MoreSubscribe to get all the news, info and tutorials you need to build better business apps and sites
The specified form no longer exists or is currently unpublished.