BYOD - 資安趨勢部落格

自帶應用程式（BYOD）：管理風險才能真正得到好處

2013 年 03 月 22 日2013 年 03 月 12 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Erica Benton

在這些日子裡，當我們談論到消費化趨勢時，注重的往往是設備方面，就是自帶設備（BYOD）裡的「設備」。但企業員工已經在工作場合裡使用消費性產品很長一段時間了 – 只要想想過去超過五年間，來自Yahoo、Google或其他公司大受歡迎的即時通或電子郵件產品。感謝雲端運算和強大的智慧型手機、平板電腦普及，自帶應用程式（Bring Your Own Apps，BYOA）的趨勢真正往前邁出一大步，IT也要更加的了解和加以管理。

現在熱門的消費性線上應用程式有著巨大的服務需求，包括線上儲存和檔案共享（Dropbox）、部落格（WordPress和Blogger）、電話（Skype）、社群媒體和參與（Twitter、Facebook、HootSuite）和協同合作（Huddle和Yammer）。但問題跟自帶設備一樣，這些未經批准的工具基本上都是偷偷地進入企業專案，只是臨時性的解決方案。它們的確是可以節省許多時間，讓使用者可以在家工作，直觀而能夠提高生產力的工具，但同時也會對組織帶來額外的風險。

這些風險主要來自於一個事實，就是這些應用程式大多數並不是設計給企業環境所用，沒有提供相關的安全政策和控制。他們主要提供給一般消費者，這可能會帶來資料隱私問題，如果將企業敏感資料放在第三方伺服器上。

雖然許多網路公司會嚴格審查和控制自己資料中心的安全性，但是如何挑選這些供應商也該是IT主管一開始就必須參與的。而且還有些其他的風險可能產生，如果雲端供應商倒閉或是被買走，或有員工帶著他們的私人網路帳號離職，那麼這些企業資料會發生什麼事？

繼續閱讀

在自帶設備(BYOD)冰山下所該注意的事

2013 年 03 月 21 日2013 年 07 月 01 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Cesare Garlati

新的數據顯示，企業正因為員工所帶入的各種消費性科技而越發暴露在危險中。

我剛從北歐旅行回來，在那我代表趨勢科技向當地媒體介紹 YouGov 最新的自帶設備（BYOD）問卷調查。裡面涵蓋了來自挪威、瑞典和丹麥所訪談收集到的3,012份資料，可以了解許多對這爭議IT趨勢的細節問題。最重要的是，這研究確認了一個不可否認的事實：世界各地的公司都因為員工將各種消費性科技帶入企業且不可避免地用在工作上而增加了安全風險。

消費化和自帶設備（BYOD）在北歐已經變成主流。大多數（56%）受訪者承認有將一或多個個人設備用在和工作上。筆記型電腦是最常被用在工作上的個人設備（42%），接下來則是智慧型手機（33%）和平板電腦（11%）。

和這數據一致的是，大多數雇主（56%）也接受消費化和自帶設備，而且允許員工在工作上使用自己的個人電腦（44%）、智慧型手機（36%）和平板電腦（15%）。然而，儘管大多數使用者（66%）會認真遵守企業政策，不過也有近三分之一（29%）受訪者承認會繞過企業規定，這也造成了公司無可避免的安全風險。這證明了不管企業喜歡或不喜歡，企業IT都對正在發生中的自帶設備和消費化趨勢都失去了控制。

這些個人設備訪問企業網路和資料時的安全性是最被關心的問題。事實上，有相當數量的受訪者（63%）都了解這風險，也在部分個人設備上安裝安全軟體。然而，儘管出現在新行動平台上的惡意軟體數量呈現指數性的成長（特別是Android），但這些使用者中只有一小部分安裝安全軟體在自己的智慧型手機（16%）上，平板電腦上則更少（7%）。

透明度和充分披露是企業自帶設備計劃的成功關鍵。然而，只有一小部分使用者（8%）曾被雇主告知，他們的個人檔案和隱私可能會因為將自己的個人設備連到企業網路而受到影響。

更糟的是，有大部分使用者（54%）承認將自己的個人設備給別人使用。個人電腦是最可能讓家人或朋友一起使用的設備（40%），接著是智慧型手機（20%）和平板電腦（10%）。這也是主要的擔心，企業資料可能會暴露給並不瞭解企業自帶設備政策的第三者。此外，雇主發起遠端鎖定和資料擦除時也可能會影響到第三者的個人檔案，進一步讓公司需要擔負責任或訴訟之中。

繼續閱讀

數以百萬的iOS 越獄，你怎麼知道執行長沒有一支被駭過的iPhone？

2013 年 03 月 11 日2013 年 03 月 11 日 Trend Labs 趨勢科技全球技術支援與研發中心

一個針對蘋果iOS的例子，FinFisher International的FinSpy Mobile，可以監視使用者位置、聯絡人清單、電話、網路歷史記錄、簡訊，甚至在特定位置打開iPhone麥克風來進行竊聽。

你怎麼知道執行長沒有一支被駭過的iPhone？你怎麼知道有多少「沉默的聽眾」參加最新一次的董事會議？在過去幾年裡，不僅僅是美國能源部（設計和製造核子武器的部門），還有美國聯邦儲備委員會和華爾街日報也都被駭客攻擊。你憑什麼認為你們的高階主管不會受到相同的待遇？

作者：Cesare Garlati

Apple iOS被越獄的紀錄大概就跟它本身的歷史一樣長，但是IT主管們依然低估了這個問題．以及它對企業資料和網路所帶來的安全風險。

最新的iOS 6.1越獄程式在二月四日被釋出。根據將最新破解程式公布在evasi0n.com的作者 – Cyril（又稱pod2g）所提供的網站統計數字，僅僅在前四十八小時就有高達五百萬次下載。在這頭兩天，這些網站出現四千萬次的點閱率。其中有超過一半不重複訪客（約兩百五十萬）來自美國。

這個和我在數月前，在舊金山JailbreakCon 2012（全世界越獄界的代表大會。沒錯，的確有這大會）上遇到Jay Freeman（又稱Saurik）時所得到的數字相符合。Jay Freeman是Cydia的創始者，這是個完全合法而獨立的應用程式商店，以滿足那些解放他們Apple設備的使用者。Jay向我說明，根據他的網站統計資料，無論在什麼時候，都有約5%到10%的Apple iOS是越獄過的。

這有什麼好擔心的呢？因為這代表這些設備很脆弱。Apple如此有名的安全措施可以在短短幾天內就被破解 – iOS 6.1是在一月廿八日正式發表：只花了Cyril和他的朋友們不到一個禮拜的時間就打了Apple一巴掌。即使越獄社群並不是為了金錢目的而這樣做，但我們可以確信壞傢伙們（有組織的犯罪集團和商業間諜軟體廠商）都準備好要加以利用了 – 事實上，可能已經這樣做了。

從根本來說，越獄是當你太過限制使用者時會發生什麼事情的典型例子。他們會加以反抗。我們在許多其他消費性電子產品上都看到類似的模式，從電視遊樂器到電視機上盒都有。蘋果的問題在於它想要完全控制這生態系統的每個環節，從印表機到使用者可以下載的應用程式。這些使用者喜歡他們的Apple設備，但他們卻被當成小孩子對待。有了Android，使用者被當成大人對待：他們被允許下載任何應用程式，從任何自己信任的來源下載。Android作業系統的安全功能和權限模型固然並不完美，使用者被要求透過彈跳視窗來授權應用程式去存取使用者的行事曆、電話簿等。而Apple會事前審閱所有的應用程式，所以沒有這樣的彈跳視窗。但我們將在後面了解到，這會因為越獄過的設備而出現不好的後果。

順帶一提，不要將越獄和解鎖搞混了，解鎖是因為行動設備有綁約特定電信商，為了讓它可以使用其他電信商的網路而作。在另一方面，越獄則是去破壞或繞過iOS設備的安全措施。它可以跟下載一樣地簡單，今天的越獄數量也在不斷地成長，因為有專門的越獄社群會在最新iOS版本出來時，盡快地合作加以破解。

所以使用者因為被當成小朋友對待，被告知可以安裝和下載什麼應用程式，而採取極端手段來反抗，但這有什麼壞處呢？在法律上，因為數位化千禧年著作權法案的關係，越獄智慧型手機是完全合法的（Android上的越獄被稱為Root），但在平板電腦上是違法的。蘋果顯然強烈地反對使用者（還有開發商）透過這方式來掙脫其控制，也警告這會帶來縮短電池壽命、資料不穩和其他不好的後果。而在其中百分百正確的是，越獄的確會帶來不可接受的安全風險。

繼續閱讀

自帶設備（BYOD）：企業用戶的安全缺口？

2012 年 08 月 23 日2012 年 08 月 13 日趨勢科技 TrendMicro

自帶設備（BYOD）：企業用戶的安全缺口？

作者：Cesare Garlati（趨勢科技消費化資訊傳播者）

這篇文章來自筆者2012年8月7日在東京Direction 2012大會上發言的一部分。

長久以來，我一直都在講消費化和自帶設備（BYOD）。而從我上次在新加坡CIO研討會上演講之後，過去這一年有什麼樣的變化呢？

發生的變化就是有越來越多企業都允許自帶設備。高階主管和IT經理第一時間地學到了自帶設備所帶來的好處和風險。

趨勢科技一直都和產業分析師（如Decisive Analytics和Forrester Research）共同合作去替IT決策者診斷問題，幫助我們了解他們的困難以及可以提供什麼樣的解決方案。他們也讓我們對於自帶設備有著深刻的了解。

因此，讓我們從最明顯的問題開始：自帶設備有多普遍？在去年，從我們的消費化報告裡可以看出，剛剛好超過一半的受訪者（56％）說他們的公司允許自帶設備。而從我們2012年最新的研究裡可以看到，這個數字已經顯著的增加了：Forrester的研究發現，這個數字目前超過了76％。最有趣的是，過去有些抗拒的國家，現在都變得比較接受自帶設備了。

自帶設備都是指哪些呢？大多數人都認為是：筆記型電腦、智慧型手機和平板電腦。而就是後兩者會導致企業最多的問題。企業的IT了解如何保護和管理安裝傳統作業系統的筆記型電腦。但很多企業還不知道要如何妥善管理來自非傳統IT廠商的行動平台，像Apple（iOS）和Google（Android）。

即使企業接納了自帶設備，他們也面臨了危險以及現實上可能產生的問題。到目前為止，最大的擔憂是資料安全、法規遵從和員工隱私。不僅如此，大約有一半受訪企業都承認，曾經因為自帶設備而遺失資料。

企業會做些什麼來確保自帶設備不會成為安全上的噩夢呢？一般來說，幾乎在所有案例裡，IT管理者會安裝安全和遠端管理軟體到使用者的設備上。讓IT更容易去抹除個人設備上的資料，一旦公司資料處於危險中時。

這些都是很好的開始，但想要妥善保護自帶設備，管理者必須了解兩件事情：要保護什麼以及威脅是什麼？

IT管理者普遍認為，當談到安全性和管理性時，受歡迎的這些行動作業系統在根本上是一樣的。然而，這並不完全正確。

在消費化報告裡，趨勢科技也檢視了這四種行動平台的安全特性：黑莓機、iOS、Windows手機和Android。這同時也是我們對這四個作業系統的評比順序：從最安全到最不安全。

如果你是IT管理者，這成了一個大問題：最安全的作業系統正在死去，而最普及的手機作業系統卻有著最多的漏洞！IT經理必須要了解，每種行動平台上的威脅狀況都有些許的不同，而要如何做好保護也就會跟著有所改變。

讓我們看看兩種最普及的行動作業系統以了解有哪些風險。第一是Apple iOS平台。

一般印象都認為Apple是個封閉、安全的平台。然而，這並不會因此讓它對危險免疫：如果你會去看那些被公開披露的漏洞，iOS在2012年的數字是大幅飆高的。還有越獄（JB），會打破Apple所築的圍牆，也降低了安全性。因此，iOS也有其危險性。

然而，Android才是真正需要擔心威脅的。來看看下圖：