面對(duì)企業(yè)移動(dòng)安全 CIO不能目光短淺

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

      研究機(jī)構(gòu)Gartner在2013年1月提出預(yù)測(cè)，預(yù)估在2016年前，全球?qū)⒂腥种髽I(yè)員工會(huì)攜帶智能型手機(jī)上班，其中有高達(dá)四成比例，將以自有設(shè)備執(zhí)行工作。如果任何企業(yè)看到這里，仍渾然不知資安危機(jī)將至，肯定是值得堪慮之事。




       事實(shí)上，IT業(yè)界每年“炒作”的信息安全議題，都不在少數(shù)，所謂“攜帶自有設(shè)備(Bring Your Own Device;BYOD)”或“IT消費(fèi)化(Consumerization of IT)”，當(dāng)然也曾是備受的話題。

       只不過，資安投資看在企業(yè)主眼里，屬于僅能防弊、無助興利的一環(huán)，在資源有限的前提下，企業(yè)還有很多要事正待推動(dòng)，所以多不傾向?qū)⑦^多籌碼押注在資安之上，除非，該議題已經(jīng)嚴(yán)重到瀕臨動(dòng)搖企業(yè)根本的程度;相形之下，由BYOD、IT消費(fèi)化所牽引的移動(dòng)安全議題，一來尚無驚天動(dòng)地的震撼教育發(fā)生，二來其危害程度與迫切性，似乎不如進(jìn)階持續(xù)性滲透攻擊(Advanced Persistent Threat;APT)、殭尸網(wǎng)絡(luò)(Botnet)、個(gè)資防護(hù)來得棘手，在考量輕重緩急的前提下，自然不會(huì)被列為優(yōu)先執(zhí)行的任務(wù)。

       甚至有若干供應(yīng)BYOD解決方案的業(yè)者都坦言，他并不看好此類產(chǎn)品在臺(tái)灣市場(chǎng)的發(fā)展前景。

       眾多資安議題　彼此環(huán)環(huán)相扣

       然而，移動(dòng)安全與APT、Botnet或個(gè)資防護(hù)等其他議題之間，果真各走的各的，彼此素?zé)o瓜葛?如果拼了命全力防堵其他缺口，卻始終罔顧移動(dòng)安全這個(gè)環(huán)節(jié)，那么企業(yè)絕對(duì)不會(huì)遭受APT、Botnet入侵?也不會(huì)因而導(dǎo)致機(jī)敏個(gè)資外泄?答案顯然是否定的!

       主因在于，現(xiàn)今黑客發(fā)動(dòng)惡意攻擊的目的，并不像過去一樣，只是想癱瘓受害者的計(jì)算機(jī)，證明自己是多么技藝高超，而是以利益作為基礎(chǔ)，在此情況下，他巴不得如同船過水無痕，悄悄偷走你的寶貴資料，實(shí)現(xiàn)個(gè)人利益所得，繞了這么一大圈，你還搞不清楚黑客早已到此一游!于是乎，舉凡任何端點(diǎn)，可讓黑客有機(jī)可乘的入侵管道，都很有可能成為黑客賴以潛伏APT暗樁、散播僵尸毒害、竊取個(gè)資的破口，智能型手機(jī)或平板計(jì)算機(jī)等移動(dòng)設(shè)備，當(dāng)然也不例外。

       更可怕的地方在于，移動(dòng)安全將為企業(yè)IT管理帶來前所未見的嚴(yán)苛挑戰(zhàn)，比起過去任何資安議題，似乎都來得更加棘手。這些挑戰(zhàn)，主要源自于三個(gè)W，第一是“WHO”，只因BYOD設(shè)備及多元通訊方式，今后都將同時(shí)混雜于企業(yè)IT環(huán)境中，致使IT逐漸喪失終端設(shè)備的可視性與策略管控;第二是“Where”，企業(yè)難以預(yù)測(cè)內(nèi)部員工將會(huì)在哪些地點(diǎn)存取公司資料，從而增加敏感資料管理之難度;第三是“What”，BYOD將衍生“去標(biāo)準(zhǔn)化”疑慮，導(dǎo)致企業(yè)資料在不同的作業(yè)系統(tǒng)設(shè)備中傳輸，因而增加企業(yè)管理成本與難度。

       結(jié)論就是，基于上述情況對(duì)IT基礎(chǔ)架構(gòu)所產(chǎn)生的大幅改變，單憑傳統(tǒng)的IT管理，根本無計(jì)可施，很難提出有效的對(duì)應(yīng)策略，因?yàn)樵醋杂谝苿?dòng)設(shè)備所產(chǎn)生的安全威脅，并不在以往IT管理所預(yù)設(shè)的劇本里頭。

       資安業(yè)者提醒，目前大家所設(shè)想到的移動(dòng)安全情境，可能僅止于冰山的一角，換言之，它們只會(huì)是下一波大浪潮的開端，在此前提下，企業(yè)及組織必須以較長(zhǎng)遠(yuǎn)的眼光，看待此一新趨勢(shì)所帶來的變革。

       舉個(gè)最簡(jiǎn)單的例子，某家資安廠商，暫且撇開任何病毒感染或惡意攻擊等變量，只單純地假設(shè)員工不小心在外遺失了智能型手機(jī)，并以此作為實(shí)驗(yàn)主題，刻意制造50臺(tái)智能型手機(jī)遺失在外的情境，當(dāng)然，每臺(tái)手機(jī)也都被置入了經(jīng)過變?cè)斓钠髽I(yè)機(jī)敏個(gè)資。