MIS要想在充滿變量的BYOD叢林中安身立命,有了MDM與MAM,雖然可收到一定效果,但顯然還不足以披荊斬棘;那么,MIS尚須補(bǔ)強(qiáng)哪些環(huán)節(jié)? 擁有移動設(shè)備管理、移動應(yīng)用程序管理等解決方案,為何還不足以確保企業(yè)BYOD之安全無虞?要探究這個問題的解答,必須回到最源頭,先行檢視可能導(dǎo)致企業(yè)移動管理出現(xiàn)缺口的因素,究竟有哪些?
總結(jié)來說,企業(yè)可能面臨的移動安全威脅,不外有幾個項目,包含了移動設(shè)備的遺失或遭竊、資料外泄、遭受惡意程序攻擊、共享設(shè)備與密碼、設(shè)備破解(含Jailbreaking及Rooting),以及Wi-Fi與無線網(wǎng)絡(luò)竊聽;看到這里,稍具經(jīng)驗的MIS理應(yīng)可以心領(lǐng)神會,光靠MDM與MAM,確實難以全面涵蓋上述各大威脅。
多數(shù)MIS不禁要問,到底怎么做,才能為公司創(chuàng)造安全的BYOD應(yīng)用環(huán)境?其關(guān)鍵就在于,MIS一定要先了解BYOD的三大環(huán)節(jié)-設(shè)備、應(yīng)用程序、資料,進(jìn)而在不改變同仁使用習(xí)慣的前提下,竭盡所能為這三個環(huán)節(jié)套上金鐘罩,讓外部有心人士進(jìn)不來,意圖挾帶機(jī)敏資料出境的員工也出不去,就成功了一大半。
因應(yīng)移動管理生命周期 逐項對癥下藥 在2011年底,知名分析機(jī)構(gòu)Forrest,提出了一份有關(guān)移動管理生命周期的解讀,從使用者識別及單一簽入、將安全政策套入設(shè)備(Device Compliance)開始,此后還涉及網(wǎng)絡(luò)安全、設(shè)備管理、應(yīng)用程序管理、資料保護(hù)、設(shè)備安全等諸多環(huán)節(jié)。
就當(dāng)前與BYOD議題連結(jié)度最高的MDM解決方案來看,僅碰觸到上述的Device Compliance、設(shè)備管理、設(shè)備安全、資料保護(hù)等環(huán)節(jié),勉可含括App控制、設(shè)備設(shè)定、設(shè)備注冊、設(shè)備定位、設(shè)備鎖定、服務(wù)管理、遠(yuǎn)端抹除、反惡意程序、防范設(shè)備破解、密碼保護(hù)等細(xì)部項目,看似不少,但充其量也只涵蓋半壁江山。至于MAM,則與應(yīng)用程序管理、使用者識別及單一簽入、資料保護(hù)等環(huán)節(jié)較為相關(guān),同樣未能觸及所有構(gòu)面。
因此可以肯定,綜觀現(xiàn)階段市面上任何與BYOD相關(guān)的安全解決方案,尚無任何一項,有能力涵蓋完整的移動管理生命周期。
在此前提下,企業(yè)意欲建構(gòu)移動安全防護(hù)堡壘,切莫妄圖一步到位,理應(yīng)采取分階段部署模式,導(dǎo)入MDM及MAM,可算是第一步,但此后的第二、三、四…步驟,仍有持續(xù)補(bǔ)強(qiáng)的空間。 那么第二步應(yīng)該是什么?不妨就從MDM及MAM力有未逮之處下手,使用者認(rèn)證與憑證管理即是一例,可針對此一環(huán)節(jié),評估導(dǎo)入增強(qiáng)式驗證方案,一旦將此事做好,不僅有助于強(qiáng)化移動應(yīng)用安全性,亦可提供更為理想的使用者體驗。
所謂增強(qiáng)式驗證,一般來說,企業(yè)可以努力的方向算是不少,雙因素身分認(rèn)證便是其中一例,最典型的解決方案即是動態(tài)密碼(One-Time Password;OTP)。只要建立了這個機(jī)制,每隔30秒或1分鐘即會變換一次密碼,使得黑客“闖空門”的難度大幅高漲,終至牢牢保護(hù)用者的賬號與密碼,確保企業(yè)網(wǎng)絡(luò)與網(wǎng)站存取點的安全性;惟此一機(jī)制需要留意的地方,乃在于萬一員工的智能型手機(jī)或平板計算機(jī)因故障送修,暫時被迫采用備用設(shè)備,那么他的個人身分與設(shè)備識別ID之間的連結(jié)性,就會因此而喪失,在名目上已不算是公司的合法使用者,值此時刻,MIS就必須采取權(quán)宜之計,先將原本注冊予以取消,繼而思考是要讓備用設(shè)備加入注冊,或暫時以電子郵件或簡訊當(dāng)做OTP載具,藉此填補(bǔ)空窗期。
此外,企業(yè)亦需致力深化單一簽入架構(gòu)與移動設(shè)備之間的整合性。針對這個議題,許多公司都曾面臨一個吊詭之處,意即員工使用移動設(shè)備,自然而然會期望能使用公司的Wi-Fi網(wǎng)絡(luò),但往往給了這個方便性,就可能帶來無窮無盡的危機(jī),為了解決這個難題,企業(yè)不妨可考慮建立一個閘道機(jī)制,規(guī)定所有無線存取行為,都必須要接受這個閘道的把關(guān),一旦驗證無誤,才能使用各項企業(yè)服務(wù),包括存取公司的私有云、或者是與公司具有合作關(guān)系的私有云,其實都可比照辦理,而其間的一切傳輸路徑,都予以全程加密。
當(dāng)然,如果企業(yè)考量到某些關(guān)鍵應(yīng)用服務(wù),光靠單一閘道器過濾把關(guān),或許擔(dān)心有所不足,此時OTP就可派上用場,作為另一道憑證。
郵件存取安全 亦須嚴(yán)陣以待 不可諱言,郵件恒常是泄露企業(yè)機(jī)密的主要途徑之一,既然如此,就必須善盡郵件存取安全的把關(guān)之責(zé)。
針對此一防護(hù)需求,MIS通常第一個想到的,就是設(shè)法阻止郵件轉(zhuǎn)寄,也就是說,員工若是有意或無意,想利用公司信箱把資料外寄出去,肯定行不通。只不過,此事所隱含的重大盲點在于,意圖泄露資料的不宵員工,怎可能大搖大擺地運用企業(yè)信箱?他肯定會把腦筋動到Web Mail之上!
所幸新版iOS已支援MDM服務(wù),內(nèi)含“不允許轉(zhuǎn)寄”之功能,企業(yè)只要善加運用,即可防堵員工意圖利用Web Mail轉(zhuǎn)寄公司信件;但正所謂百密仍有一疏,防得了員工轉(zhuǎn)寄信件,卻防不了他將整份內(nèi)容Copy & Paste,然后再利用Web Mail寄出,由于此行為不涉及“轉(zhuǎn)寄”,所以根本不在公司預(yù)設(shè)的防護(hù)范疇之列,可以說愛怎么寄、就怎么寄,完全拿他沒輒。
看到這里,相信不少MIS肯定打了一個寒顫,心想經(jīng)過了移動設(shè)備這個變量后,怎會讓郵件存取安全變得如此棘手?事實上,這些缺陷實為其來有自,可歸咎于移動設(shè)備內(nèi)建的郵件軟件功能,實在不怎么高明,它沒辦法區(qū)隔公司與個人資料,沒辦法限制Copy & Paste行為,更沒辦法限制使用者將郵件附檔儲存在任何應(yīng)用程序,光是這些罩門,就足以讓一堆傳統(tǒng)防御機(jī)制一個個破功。
唯今之計,企業(yè)恐需要認(rèn)真思考導(dǎo)入移動電子郵件安全方案,才能有效因應(yīng)BYOD特殊的環(huán)境需求;借助此類產(chǎn)品,不宵員工妄想以Copy & Paste加Web Mail模式,私自夾帶機(jī)密出境,勢將無法得償所愿,不僅如此,企業(yè)還可順勢針對收發(fā)信件的終端設(shè)備加以設(shè)限,只要是未受公司管制、也沒通過驗證的移動設(shè)備,一律不允許收信,如此一來,不宵員工若想套用公司的郵件設(shè)定,運用“轄區(qū)”外的設(shè)備另起爐灶,也將會踢到鐵板。
除此之外,一些看來“扯得有點遠(yuǎn)”的后臺資安系統(tǒng),縱使不是針對BYOD應(yīng)運而生,但倘若予以補(bǔ)強(qiáng),仍有助于強(qiáng)化BYOD安全性。比方說,現(xiàn)今所謂的次世代防火墻(Next Generation Firewall),可一舉提供病毒防護(hù)、阻擋垃圾郵件、封鎖應(yīng)用程序、整合Active Directory、內(nèi)容過濾器、網(wǎng)絡(luò)行為偵測等諸多功能,亦可對應(yīng)用層級的服務(wù)存取及流量加以限定,藉由這些元素,足以健全企業(yè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu),并確保企業(yè)網(wǎng)絡(luò)存取行為之安全,對BYOD實有一番貢獻(xiàn)。
再者,隨著潛藏在移動平臺的惡意程序數(shù)量激增,無疑為黑客開啟另一扇方便之間,使其有機(jī)會能利用應(yīng)用程序或通訊協(xié)定的弱點,藉由移動設(shè)備跳板潛入企業(yè)網(wǎng)絡(luò),針對企業(yè)應(yīng)用服務(wù)進(jìn)行非法存取,或者竊取資料、甚至強(qiáng)制中斷網(wǎng)頁服務(wù),從而讓企業(yè)蒙受損失;在此情況下,企業(yè)若已布建網(wǎng)頁應(yīng)用程序防火墻(WAF),即可望就近保護(hù)網(wǎng)頁應(yīng)用程序與網(wǎng)站,避免遭受侵?jǐn)_。