2012年8月13日 星期一

BYOD大行其道 行動資安刻不容緩


BYOD大行其道 行動資安刻不容緩

隨著手持智慧裝置日漸風行,愈來愈多的企業計畫導入更多的智慧型手機或平板電腦,以提升員工生產力及競爭力,而讓員工攜帶自有裝置(Bring Your Own Device;BYOD)的佈署方式,因為可以滿足員工個人的使用習慣,也可減輕企業採購的困擾,因而成為許多企業採購智慧手持裝置的解決方案,但在此同時,BYOD也萌生更多網路資安的管理問題,

社交網站讓行動裝置更易受攻擊

行動裝置會成為攻擊目標的原因,主要是因為大多數行動裝置使用者的主要用途,是以收發電子郵件、使用即時通訊及社交網站為主,許多涉及個人隱私的資料及身分辨識資訊,對駭客來說,透過竊取個資進行買賣交易,可能還比信用卡來得值錢。


BYOD趨勢讓企業必須更用心管理衍生的網路資安問題。

根據資安實驗室Websense(Websense Security Labs)發布的2012網路資安預測報告,隨著社交網站受歡迎程度大幅飆漲,以及行動裝置使用率的急速攀升,惡意攻擊將可藉由「社交好友」為為發動混合式攻擊的主要途徑。若輔以現今便利的行動定位服務,將可發展出極具針對性的地理定位社交工程攻擊,讓受害程度更難以估算。

雖然金融網站的資訊更有價值,但由於法規限制及先前遭遇攻擊的許多案例,讓金融機構已然在網路資安加大投資,而且一般使用者也比較傾向不要在行動裝置上使用金融服務。如甲骨文(Oracle)在2011年11月針對行動通訊的調查報告顯示,由於行動安全問題仍懸而未決,使用者雖然已逐漸適應行動定位和網路銀行交易服務,但仍有68%的受訪者不相信也不確定,以行動裝置儲存或傳輸資訊的安全性。

但使用者在使用社交網站時,顧忌就比較沒有這麼多,而且社交網站在網路資安的投資,也才剛剛起步,如Google在2011年3月便購併了善於分析資安漏洞和惡意軟體的德國資訊安全軟體技術廠商Zynamics,Twitter近日也宣布買下行動資安新創公司Whisper。但眼前較已經發生社群網站LinkedIn驚傳遭駭的案例。

根據美聯社(AP)報導,社群網站LinkedIn 650萬使用者密碼遭俄羅斯駭客網站公布。據資訊安全研究人員Per Thorsheim在其Twitter上證實,指駭客已公布了相關的加密密碼,目前正試圖破解這些密碼。芬蘭資訊安全公司CERT-FI也警告,儘管駭客尚未公布相關使用者的個資,但極可能已經取得了相關資訊。

LinkedIn隨後表示,已著手調查相關事件。目前LinkedIn的用戶總數超過1.5億,因此目前遭駭的使用者密碼約為總數的1成不到。據了解,LinkedIn遭駭的密碼均採用SHA-1加密方式,若使用者設定密碼過於簡單,則較容易被駭客破解。

設備管理及使用者登錄受關切

一旦駭客透過攻擊行動裝置取得使用者個資,使用者所屬企業也可能因此受害。由於行動裝置不像桌上型電腦容易控管,因此包括設備管理及使用者登錄等管理問題,也因此受到企業重視。

在DIGITIMES在2011年末進行的「企業資訊安全管理政策調查」中也發現,包括設備管理與維護、使用者登錄、文件與記錄管理、資訊處理等4個項目,都是許多受訪者認為最需要規範的作業程序,得票率都突破5成大關,尤其前兩者,更囊括7成以上高票。

有關設備管理與維護的適用範疇,舉凡資訊安全設備、個人電腦(含筆記型電腦)、伺服器、週邊設備、網路通訊設備、消耗性資訊設備(譬如滑鼠、鍵盤),乃至員工執行業務時,所必須直接使用的螢幕、印表機等設備,甚至諸如硬碟、光碟片、磁帶、隨身碟、記憶卡等儲存媒體,通通都應被包含在內。

此乃由於,林林總總的硬體設備項目,倘若未能妥善納管,並給予定期維護,一來可能影響設備的正常運作,導致員工無法執行業務,二來亦可能讓資安防禦網絡,出現難以逆料的破口,因此「設備管理與維護」得以躋身榜首,其實不難理解。另外,「使用者登錄」具備存取控制、證據保全等多重意涵,是企業資訊資產的必要把關程序,因此同樣深獲重視。

網路資安重點必須擴及整體管理

導入行動裝置,甚至推動BYOD對企業形成的網路資安威脅,企業確實感到憂慮。根據賽門鐵克的State of Mobility Survey調查報告顯示,67%的企業擔心惡意攻擊會從行動裝置擴散到企業內部網路。此外,賽門鐵克最新的網路安全威脅研究報告也指出,行動裝置的安全漏洞數量在2011年增加了93%,而鎖定Android作業系統的安全威脅也持續增加。

趨勢科技台灣及香港區總經理洪偉淦指出,2012年資安趨勢在行動裝置部分,由於Android作業系統較具弱點,被攻擊數量較多,與過去桌機上的軟體相比,應用程式被攻擊次數也會更加劇烈,將成為現階段行動裝置防毒解決方案的重點。

至於BYOD讓企業在管理商業行動裝置所碰到的困難,由於基層員工的防護端現階段仍難以掌控,因此目前的著眼點仍以主管級階層為主,未來網路資安重點必須擴及整體管理,而不限於裝置本身,才能讓行動裝置的網路資安達到有效防護的目標。

轉載自《DIGITIMES中文網》

沒有留言:

張貼留言