太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?

有大量的BYOD設備被用來儲存、連接和處理公司機密資料。如果設備落入壞人之手就會產生很大的風險。除了惡意竊取資料的駭客,員工若是將設備遺忘在大眾運輸系統上也可能會暴露敏感資料。

很多人只在自己的設備上設定最低程度的認證,以為自己永遠不會遺失或被竊。這意味著只要花點功夫就可以拿到儲存在這些設備上的重要資料。企業該怎麼做?

資訊安全指南:處理自帶設備(BYOD)環境所面臨的威脅

自帶設備(BYOD)在過去幾年大大地盛行,因為企業也想要提高工作效率並且降低營運成本。雖然BYOD為員工和企業都帶來了不少好處,但也在安全方面帶來些問題。本指南會將重點放在企業因為BYOD所會面臨的主要威脅、以及如何解決這些威脅的最佳實作和解決方案。

 

惡意行動應用程式

隨著行動設備形成企業BYOD生態系的很大一部分,企業必須認識到使用者從這些設備下載惡意行動應用程式所會造成的風險。透過第三方應用程式商店和分享網站下載的使用者往往不會檢查所下載應用程式的真實性,不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者,如Super Mario Run。讓某些應用程式特別危險的是,它們運作起來看似很像真正的應用程式,但會包含其他的惡意程式碼,如垃圾廣告,甚至是惡意軟體。

《延伸閱讀》超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

 

防禦惡意應用程式:對於行動設備,企業應該考慮提供具備應用程式信譽評比技術的端點安全解決方案,可以偵測應用程式是否可以安全使用。此外,企業解決方案應該包含設備管理和應用程式管理功能,讓IT專業人員能夠從單一的中央控制台來管理應用程式安裝。

此外,企業還可以利用網路解決方案來在問題出現前先封鎖惡意行動應用程式,可以透過網路活動來先一步偵測惡意軟體。

 

網路釣魚

雖然網路釣魚(Phishing)並不僅是BYOD的問題,但它在BYOD生態系造成特別顯著的威脅,因為企業偏好將重點放在自己網路內設備的安全防護。網路犯罪分子往往先從安全鏈最脆弱的一環著手 – 最終使用者。網路釣魚攻擊是誘騙員工將惡意電子郵件或訊息誤以為正常的有效方法。

雖然有許多公司都會部署安全解決方案來有效過濾自己系統上可能的網路釣魚攻擊,但極少數會對員工設備做相同的事。這讓他們面臨針對個人帳號的攻擊,可能會影響到他們自己的設備。

避免網路釣魚攻擊:企業的首要任務是教育使用者。要教導員工偵測網路釣魚攻擊以及當收到可疑訊息或電子郵件時該怎麼做。作為多一層的安全措施,企業還應該考慮安裝安全軟體,可以防止或至少最大程度地減少網路釣魚攻擊對員工設備造成的影響。對於行動設備,這包括整合了資料外洩防護、應用程式控制和網頁過濾等工具的解決方案

 

設備遺失或被竊

有大量的BYOD設備被用來儲存、連接和處理公司機密資料。如果設備落入壞人之手就會產生很大的風險。而且危險並不僅來自於想惡意竊取資料的駭客,光是將設備留在大眾運輸系統上也可能會暴露敏感資料。

 

在許多案例中,糟糕的BYOD設備管理和資料外洩間是有正相關的。根據趨勢科技2015年的一項研究指出,有46.5%允許員工透過BYOD設備存取網路的公司出現某種形式的資料外洩,設備被竊和遺失是資料外洩的主要原因。

減少設備遺失的風險:加入BYOD計劃的員工應該被要求使用可以加密設備資料的安全解決方案。完整磁碟加密可以確保即使設備落入壞人之手,裡面包含的資料除非具有解密工具,不然是無法讀取。

安全認證是BYOD安全防護的另一重點。很多人只在自己的設備上設定最低程度的認證,以為自己永遠不會遺失或被竊。這意味著只要花點功夫就可以拿到儲存在這些設備上的重要資料。企業還應要求將公司資料儲存在設備上的人啟用多因子身份驗證,確保儲存在員工設備上的任何資料都無法被輕易取得。

 

針對性攻擊和漏洞

對BYOD設備的針對性攻擊/鎖定目標攻擊(Targeted attack )和漏洞攻擊是企業的重要安全問題。DressCode惡意軟體(趨勢科技偵測為ANDROIDOS_SOCKSBOT.A)會在行動市場上偽裝成遊戲和主題軟體,顯示出惡意分子如何滲透進公司網路來竊取資料。BYOD被當作攻擊載體可能會相當危險,讓公司本身陷入危險之中。

《延伸閱讀》Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

 

除了針對性攻擊,使用者自己經常因為忽略自己的個人設備更新而讓公司陷入危險。這些設備上未安裝修補程式或未更新的軟體可能具有會被惡意攻擊的漏洞。越獄或破解過的行動設備通常會很慢、很難或乾脆不進行修補,雖然這些優化可以替使用者帶來更加強大的功能和客製化能力,但也可能會危及其安全性

打敗針對性攻擊:對於行動設備,企業可以使用行動設備管理(MDM)軟體來阻止惡意應用程式被安裝。對於其他BYOD設備如桌機和筆記型電腦,企業應該考慮能夠提供全面性功能的端點安全解決方案,如行為監控、漏洞和瀏覽器漏洞防護,網頁信譽評比技術和防惡意軟體功能。有鑑於BYOD設備所可能面臨的攻擊很多,企業應該投資在多層次安全解決方案來幫助解決。

 

雖然應該要鼓勵使用者盡快升級他們的系統,但這並不能保證員工就真的會更新自己的設備。雖然公司可能無法硬性規定員工所能使用的設備型號或作業系統版本,但可以提供對公司和員工雙方都合理的可支援設備和作業系統列表。太過老舊,不支援的設備以及越獄破解過的手機應該勸阻加入公司的BYOD計劃。

針對BYOD計畫的最佳實作

想要成功地實施BYOD計劃並不只是IT部門和網路管理員的問題,而是該由企業以整體考量來處理的問題。因此,需要有全面性的BYOD政策來確保計畫不僅可以成功,而且還很安全。這裡有些建議能夠幫助企業與他們的BYOD計畫。

實施正式的BYOD政策

許多企業傾向於“非正式”的BYOD政策 – 允許員工攜帶自己的設備,但沒有制定任何規則或甚至沒有提供任何指南。在員工設備被允許存取公司網路和資料前,應該要有正式的加入計劃。企業網路設定也該在員工成功註冊其設備後派送給員工以確保一致性。

只允許企業設備存取高敏感性資料

雖然個人使用的BYOD設備將不可避免地具有公司資料儲存在其設備上,最機密的檔案應該被限制在公司內部設備。如果敏感資料必須儲存在BYOD設備上,企業必須確保資料被安全解決方案適當的加密。

員工只能存取自己所需的資訊

為了盡量減少任何可能的安全事件影響,企業應該只允許員工存取自己所需的資料。例如,人力資源部門應該不會有行銷部門的檔案儲存在他們的BYOD設備上。

 

企業應該想辦法分隔公司和個人資料

透過使用虛擬化行動基礎設施(VMI)系統,企業可以讓使用者在自己的行動設備透過公司伺服器上運行的虛擬行動作業系統來存取公司資料。這讓使用者可以從根本分隔個人檔案(經由自己設備的實際作業系統存取)跟公司檔案(經由VMI存取)。

 

@原文出處:Infosec Guide: Dealing with Threats to a Bring Your Own Device (BYOD) Environment