堅持不採用 BYOD 政策已經成了一場在逆境中求勝的戰役。光是在過去五年間,技術和工作場所的習慣模式就出現了一些重大轉變。這些新的轉變暗藏著新的安全風險,我們該如何因應?
雲端運算技術興起後,連帶使得個人智慧型裝置及在家工作模式蔚為盛行,於是,BYOD 政策 (自備個人裝置) 成了相當受歡迎的做法。這類政策允許員工使用自己慣用的行動裝置 (筆記型電腦、智慧型手機等) 工作,不需受限於公司配發的裝置。這類政策當然有很多優點...能讓員工開心,再者,公司往往因為如此而不需要提供 (及採購) 新裝置,尤其是行動電話。但是,凡事都有一體兩面。BYOD 趨勢除了帶來優點,也衍生出一定程度的安全隱憂。以下探討最主要的安全隱憂,以及企業該如何擬定 BYOD 策略才能解決相關問題。
BYOD 是一種相當新穎的措施,企業組織透過這項措施允許員工使用自己的個人裝置處理工作。智慧型手機是最常見的例子,不過,BYOD 模式的範圍還包括筆記型電腦、平板電腦,甚至也適用於穿戴裝置。時下流行所謂的「IT 消費化」,也就是在企業環境中使用消費性軟體和硬體,而 BYOD 就是其中一種模式。在 BYOD 模式下,企業組織通常會同時管制員工自備的裝置及公司提供的裝置,不過,也有其他企業選擇採用「影子 IT」這樣的做法。「影子 IT」是指企業開放使用硬體和軟體,但組織的中央 IT 部門並不提供支援。
對 BYOD 使用者而言,能夠自由運用自己選擇的個人裝置、不分時間地點都能工作,這就是相當大的優勢。而從雇主的立場來看,公司既不需要提供行動裝置給員工,還能讓個人裝置與中央通訊系統保持連線,從而省下不少成本,這些也都是 BYOD 的優點。
BYOD 政策既有其優點,難免也會導致一些相當棘手的問題。IT 團隊需要設法熟悉隨著 BYOD 而來的各種安全問題。以下舉例說明幾項最嚴重的 BYOD 相關隱憂,以及組織做好自我防護的方式。
您是不是經常因為將手機遺忘在餐廳座位上而必須回頭去拿?假設您回到原地卻找不到手機,這才發現手機被偷了。此時此刻的心情真是焦躁難安,對吧?再想像一下,要是手機中存了機密的業務資料,風險豈不是馬上倍增?由於價值的緣故,行動裝置本來就是容易遭竊的物品,現在,為了盜用並轉售或利用個人資料而偷竊手機的情形更是越來越普遍。一台裝置同時存放了個人資料和非公開的公司資料,資訊外洩的風險真的很大。
為降低遺失 BYOD 裝置可能引發的風險,使用者最好登錄「尋找我的裝置」及遠端清除服務。這類服務不但能夠讓使用者追蹤不小心遺落在某處的裝置,不得已時還能將裝置中的資料清除得一乾二淨。話雖如此,所有企業使用者仍應養成定期備份資料的習慣。擬定備份與復原程序有助於大幅減輕裝置遺失或遭竊引發的餘波。
許多使用者並未運用基本常識保護智慧型裝置。無論是公司裝置或私人裝置,所有裝置都該採用強式密碼保護。許多人不使用密碼保護自己的裝置,但也有許多人用了密碼卻未奉行最佳實務,只為了方便而使用簡易密碼。試想:如果您是小偷,要猜到密碼數字組合是「1-2-3-4」一點也不難,不是嗎?事實上,小偷嘗試輸入的第一個密碼很可能就是這個組合。只要為裝置設定強式密碼/通行碼,組織就等於做好了遏止攻擊活動的第一道防線,這也是一道更重要的屏障。再者,若能運用指紋或臉孔識別之類的生物辨識出入控制技術,安全程度相對更有保障。
只要是在設想週到的前提下採行 BYOD,就能給予員工更大的自由。不過,要是實施方式不恰當,對 IT 團隊而言,除了必須努力追趕不斷變化的產能需求、應用程式及網路使用量之外,無疑又多了一層負擔。IT 團隊可以運用網路監控工具完整存取這類資訊,也能存取 BYOD 和位置之類的其他資訊。只要能掌握這類指標,IT 團隊就能實施更好的安全防護措施,還能規劃更完善的 Wi-Fi 及發揮其他功用。
實施 BYOD 政策的企業組織應採行完善的行動裝置管理 (MDM) 解決方案,以利保護使用者的裝置。Enterprise Mobility 管理軟體能強制實行特定公司資安原則,保證只允許獲准的裝置存取公司網路。
MDM 軟體也能在裝置下載惡意行動應用程式時發揮防護作用。許多危險的行動應用程式只有一個目的:破壞裝置軟體並存取儲存在裝置中的非公開資訊。若企業組織在辦公室裡採行 BYOD 計畫,由於公司和個人資料全都儲存在同一台裝置中,這類應用程式確實是非常大的隱憂。MDM 解決方案可以保證只能將可信任的應用程式下載至裝置中,讓企業組織安心無虞。值得注意的是,即使是公司內部開發的應用程式,仍有可能出現易遭攻擊的漏洞。企業應確定自己的行動應用程式符合特定安全防護標準,以利防範資料外洩。
加密絕對是裝置安全防護不可或缺的重要措施。未加密的資料很容易在傳輸中或閒置時遭到攔截。除了能防範攻擊者存取行動裝置上的非公開資訊之外,加密技術還能發揮其他功能。密碼確實能夠阻止攻擊者存取裝置,而加密技術還會將攻擊者仍有能力規避密碼的可能性列入考量。倘若能採行所謂「深度防禦」的多層次安全防護機制,企業組織就能進一步強化 BYOD 裝置的防禦功能。傳輸中的資料往往是最容易遭受攻擊的一環。企業組織若願意投資採購深度夠強的加密工具,就有能力保護自己的網路基礎架構,也能保護所有需經由公用 Wi-Fi 網路傳輸的公司資料。
行動裝置 API 鮮少設定適度的速度限制,往往容易遭受 DDoS 攻擊。利用 DDoS 攻擊產生的要求源自網路內部,因此更難以偵測。未來的 DDoS 可能會利用行動裝置入侵特定的應用程式層資源瓶頸。這類攻擊往往採用典型的查詢,比「外來的 DDoS 攻擊」更難防,因此,資安團隊應留意這種手法。