多年前,行動電話、筆記型電腦、個人數位助理 (PDA) 等行動裝置在企業環境當中盛行了數十年。然而,隨著 Apple 的智慧型手機的推出,沒多久,企業員工就人手一台自己購買或公司配發的智慧型手機,而企業行動化的樣貌也徹底改觀。
儘管行動裝置管理領域多年來已有長足的進展,但仍有一些尚待解決的問題。例如,許多企業的資安措施多年來未曾更新,但駭客的技巧和手法卻不斷日新月異。
根據 2016 年 Ponemon Institute 針對企業資安人員所做的一份調查,67% 的受訪者表示其企業肯定或很可能已經發生資料外洩。此外,有 64% 的受訪者承認其企業在敏感資訊的防護方面缺乏戒心,有 63% 對於哪些公司資料可以儲存在員工行動裝置缺乏明確規範。
有四種情況,行動裝置很可能威脅企業並洩漏敏感資料:
1.使用者未能落實企業政策
員工是網路攻擊最大的外洩管道之一。儘管員工並非心懷惡意,但員工若未確實遵守公司或產業規範,就很可能讓公司大門敞開並引來駭客。根據 2016 年 Ponemon Institute 針對「全球 2000 大」(Global 2000) 企業所做的一份調查,67% 的受訪者表示其公司肯定或很可能已經因為使用行動裝置而發生資料外洩。此外,有 64% 的受訪者承認其企業在敏感資訊的防護方面缺乏戒心,有 63% 對於哪些公司資料可以儲存在員工行動裝置缺乏明確規範。
某些智慧型手機用戶並未使用鎖定畫面或者使用者驗證。
即使企業已經制定了良好的規範,但使用者若未能落實,還是會讓企業陷於資料外洩的風險當中。根據 2017 年 Pew Research Center 的一份報告指出,有些智慧型手機用戶並未養成一些簡單的良好習慣,例如隨時保持裝置更新,或是啟用裝置的使用者驗證功能。事實上,28% 的智慧型手機用戶未使用鎖定螢幕,40% 的用戶只有在覺得方便的時候才會更新裝置。這些懶惰的習慣,會讓不肖人士很容易掌握裝置並取得敏感資訊。
2.應用程式與裝置漏洞
手機應用程式在部署之前,理應先經過一段期間的嚴格審查,以確認軟體的安全性與對企業的價值。然而,員工有時為了方便會自行安裝某個應用程式來使用,讓「影子 IT」(Shadow IT,非 IT 部門所部署的軟硬體) 的問題逐擴大。同樣地,企業也可能只根據書面上的資料就挑選了某個看似不錯的應用程式,但其程式裡面卻可能暗藏一些表面看不出來的錯誤或不安全的設計。
根據 2017 年 Ponemon Institute 的一份調查指出,受訪者認為物聯網 (IoT) 應用程式更難確保安全,因為這類程式並未經過良好的測試與品質管制。除此之外,與手機應用程式相比,受訪者更反而擔心駭客會經由 IoT 應用程式入侵。
不過,相較於 IoT 軟體,行動應用程式的威脅反而更受到關注。這項調查特別點出了影子 IT 的威脅,63% 的受訪者不太確定或者根本不確定其公司是否完全掌握人員在工作場所內使用了哪些 IoT 裝置和行動裝置應用程式。一些未經許可的應用程式很可能含有重大漏洞,讓駭客有入侵的機會。
「第三方應用程式商店越來越知道如何避開審查。」
3.第三方應用程式商店越來越狡猾
iOS 和 Android 的官方應用程式商店對於上架的應用程式都有一套嚴格的規範。然而,第三方應用程式商店的應用程式卻能躲過這些審查,甚至搖身一變,成了官方應用程式商店內的正常應用程式。
一個例子就是 iOS 平台的「海馬」應用程式商店,該商店非常積極地在社群網路上替其店內重新包裝的熱門應用程式打廣告,利用這些遊戲和應用程式的知名度來吸引使用者。趨勢科技指出,海馬刻意利用了 Apple「開發者企業方案」(Developer Enterprise Program) 的機制,偽裝成一家企業來避開 Apple 的應用程式審查機制。為此,Apple還特別修改其演算法與審查流程。
但不幸的,百密仍有一疏,還是有某些應用程式成了漏網之魚。趨勢科技就發現某個第三方應用程式商店的程式在 iOS 官方 App Store 上架。這個偽裝成正常程式的商店專門提供一些越獄程式和其他軟體。雖然該應用程式目前已被下架,但卻顯示審查機制出現了重大漏洞。
4.未妥善部署的認證工具
敏感的企業資訊和使用者資料必須受到妥善保護以防外人存取。例如,手機若能使用加密和雙重認證,就算失竊或遭駭,歹徒也無法進入手機畫面。但是,就如前面的討論所說,許多使用者根本未設定鎖定畫面來保護手機,因此萬一手機遺失或失竊,任何人都能輕易使用該手機。如此一來,企業很可能將陷入嚴重的法規遵循風險,同時也危及手機用戶的安全。
除了不肖應用程式的問題之外,某些受信賴的應用程式也缺乏充分的安全措施來控管存取。根據 項針對前 1,000 大熱門應用程式的分析,只有 3% 的應用程式確實遵守最佳實務原則 (例如採用雙重認證)。至於其他的,則是將所有資料都儲存在裝置上相同位置,且缺乏適當的保護。不但如此,90% 的應用程式也未遵循適當的認證與驗證流程。專家認為,法規並無法徹底解決這項問題。反倒是一連串的不幸事件與消費者的意識,或許才是資安變革的最大動力。
企業機構必須花費時間來建立更強大的行動裝置管理程序,並且落實更明確安全政策。透過這樣的措施,再配合一些威脅偵測工具,企業就能迅速發掘並即時阻止資料外洩發生,同時又能讓員工享受到行動裝置的工作彈性。