太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?

2017 年 08 月 10 日2017 年 08 月 01 日趨勢科技 TrendMicro

有大量的BYOD設備被用來儲存、連接和處理公司機密資料。如果設備落入壞人之手就會產生很大的風險。除了惡意竊取資料的駭客，員工若是將設備遺忘在大眾運輸系統上也可能會暴露敏感資料。

很多人只在自己的設備上設定最低程度的認證，以為自己永遠不會遺失或被竊。這意味著只要花點功夫就可以拿到儲存在這些設備上的重要資料。企業該怎麼做?

資訊安全指南：處理自帶設備（BYOD）環境所面臨的威脅

自帶設備（BYOD）在過去幾年大大地盛行，因為企業也想要提高工作效率並且降低營運成本。雖然BYOD為員工和企業都帶來了不少好處，但也在安全方面帶來些問題。本指南會將重點放在企業因為BYOD所會面臨的主要威脅、以及如何解決這些威脅的最佳實作和解決方案。

惡意行動應用程式

隨著行動設備形成企業BYOD生態系的很大一部分，企業必須認識到使用者從這些設備下載惡意行動應用程式所會造成的風險。透過第三方應用程式商店和分享網站下載的使用者往往不會檢查所下載應用程式的真實性，不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者，如Super Mario Run。讓某些應用程式特別危險的是，它們運作起來看似很像真正的應用程式，但會包含其他的惡意程式碼，如垃圾廣告，甚至是惡意軟體。

《延伸閱讀》超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

防禦惡意應用程式：對於行動設備，企業應該考慮提供具備應用程式信譽評比技術的端點安全解決方案，可以偵測應用程式是否可以安全使用。此外，企業解決方案應該包含設備管理和應用程式管理功能，讓IT專業人員能夠從單一的中央控制台來管理應用程式安裝。

此外，企業還可以利用網路解決方案來在問題出現前先封鎖惡意行動應用程式，可以透過網路活動來先一步偵測惡意軟體。

網路釣魚

雖然網路釣魚（Phishing）並不僅是BYOD的問題，但它在BYOD生態系造成特別顯著的威脅，因為企業偏好將重點放在自己網路內設備的安全防護。網路犯罪分子往往先從安全鏈最脆弱的一環著手 – 最終使用者。網路釣魚攻擊是誘騙員工將惡意電子郵件或訊息誤以為正常的有效方法。

雖然有許多公司都會部署安全解決方案來有效過濾自己系統上可能的網路釣魚攻擊，但極少數會對員工設備做相同的事。這讓他們面臨針對個人帳號的攻擊，可能會影響到他們自己的設備。繼續閱讀

《總經理看資安趨勢》BYOD端點亦應納管

2013 年 05 月 20 日2013 年 05 月 09 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者:洪偉淦趨勢科技台灣暨香港區總經理

行動裝置出貨量目前已凌駕傳統PC，展望未來，此類設備現身於企業網路的機率，已是不可避免的趨勢。企業應重新定義企業的端點裝置的範圍，不管是桌機、筆電、伺服器或行動裝置，皆應被涵蓋在內，任何一項端點，都沒有自外於中央控管機制之理，行動裝置也應不例外。

自帶設備（Bring Your Own Device，BYOD）不僅是熱門辭彙，也的確是當前頗為盛行的趨勢，在企業內此現象已十分普遍；但在此同時，大多資訊主管其實很清楚，BYOD最大隱憂就在於資料外洩，未加以管制的行動裝置一開放使其存取公司網路、收取公司電子郵件及其他資訊，便可能成為資料外洩或駭客入侵的重要管道。

行動裝置遺失率高，內存的資訊外洩的風險也相對升高。此外，駭客可運用惡意App或弱點攻擊等方式，以受害的行動裝置為切入點，一路取得企業資料的存取權限，屆時受駭企業的個人資料、甚或價值更高的機密資料，都可能成為竊賊的囊中之物，企業輕則陷入個資外洩訟訴，重則因智財權外洩導致競爭力驟降，資訊主管不能漠視其影響。繼續閱讀

自帶應用程式（BYOD）：管理風險才能真正得到好處

2013 年 03 月 22 日2013 年 03 月 12 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Erica Benton

在這些日子裡，當我們談論到消費化趨勢時，注重的往往是設備方面，就是自帶設備（BYOD）裡的「設備」。但企業員工已經在工作場合裡使用消費性產品很長一段時間了 – 只要想想過去超過五年間，來自Yahoo、Google或其他公司大受歡迎的即時通或電子郵件產品。感謝雲端運算和強大的智慧型手機、平板電腦普及，自帶應用程式（Bring Your Own Apps，BYOA）的趨勢真正往前邁出一大步，IT也要更加的了解和加以管理。

現在熱門的消費性線上應用程式有著巨大的服務需求，包括線上儲存和檔案共享（Dropbox）、部落格（WordPress和Blogger）、電話（Skype）、社群媒體和參與（Twitter、Facebook、HootSuite）和協同合作（Huddle和Yammer）。但問題跟自帶設備一樣，這些未經批准的工具基本上都是偷偷地進入企業專案，只是臨時性的解決方案。它們的確是可以節省許多時間，讓使用者可以在家工作，直觀而能夠提高生產力的工具，但同時也會對組織帶來額外的風險。

這些風險主要來自於一個事實，就是這些應用程式大多數並不是設計給企業環境所用，沒有提供相關的安全政策和控制。他們主要提供給一般消費者，這可能會帶來資料隱私問題，如果將企業敏感資料放在第三方伺服器上。

雖然許多網路公司會嚴格審查和控制自己資料中心的安全性，但是如何挑選這些供應商也該是IT主管一開始就必須參與的。而且還有些其他的風險可能產生，如果雲端供應商倒閉或是被買走，或有員工帶著他們的私人網路帳號離職，那麼這些企業資料會發生什麼事？

繼續閱讀

在自帶設備(BYOD)冰山下所該注意的事

2013 年 03 月 21 日2013 年 07 月 01 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Cesare Garlati

新的數據顯示，企業正因為員工所帶入的各種消費性科技而越發暴露在危險中。

我剛從北歐旅行回來，在那我代表趨勢科技向當地媒體介紹 YouGov 最新的自帶設備（BYOD）問卷調查。裡面涵蓋了來自挪威、瑞典和丹麥所訪談收集到的3,012份資料，可以了解許多對這爭議IT趨勢的細節問題。最重要的是，這研究確認了一個不可否認的事實：世界各地的公司都因為員工將各種消費性科技帶入企業且不可避免地用在工作上而增加了安全風險。

消費化和自帶設備（BYOD）在北歐已經變成主流。大多數（56%）受訪者承認有將一或多個個人設備用在和工作上。筆記型電腦是最常被用在工作上的個人設備（42%），接下來則是智慧型手機（33%）和平板電腦（11%）。

和這數據一致的是，大多數雇主（56%）也接受消費化和自帶設備，而且允許員工在工作上使用自己的個人電腦（44%）、智慧型手機（36%）和平板電腦（15%）。然而，儘管大多數使用者（66%）會認真遵守企業政策，不過也有近三分之一（29%）受訪者承認會繞過企業規定，這也造成了公司無可避免的安全風險。這證明了不管企業喜歡或不喜歡，企業IT都對正在發生中的自帶設備和消費化趨勢都失去了控制。

這些個人設備訪問企業網路和資料時的安全性是最被關心的問題。事實上，有相當數量的受訪者（63%）都了解這風險，也在部分個人設備上安裝安全軟體。然而，儘管出現在新行動平台上的惡意軟體數量呈現指數性的成長（特別是Android），但這些使用者中只有一小部分安裝安全軟體在自己的智慧型手機（16%）上，平板電腦上則更少（7%）。

透明度和充分披露是企業自帶設備計劃的成功關鍵。然而，只有一小部分使用者（8%）曾被雇主告知，他們的個人檔案和隱私可能會因為將自己的個人設備連到企業網路而受到影響。

更糟的是，有大部分使用者（54%）承認將自己的個人設備給別人使用。個人電腦是最可能讓家人或朋友一起使用的設備（40%），接著是智慧型手機（20%）和平板電腦（10%）。這也是主要的擔心，企業資料可能會暴露給並不瞭解企業自帶設備政策的第三者。此外，雇主發起遠端鎖定和資料擦除時也可能會影響到第三者的個人檔案，進一步讓公司需要擔負責任或訴訟之中。

繼續閱讀

數以百萬的iOS 越獄，你怎麼知道執行長沒有一支被駭過的iPhone？

2013 年 03 月 11 日2013 年 03 月 11 日 Trend Labs 趨勢科技全球技術支援與研發中心

一個針對蘋果iOS的例子，FinFisher International的FinSpy Mobile，可以監視使用者位置、聯絡人清單、電話、網路歷史記錄、簡訊，甚至在特定位置打開iPhone麥克風來進行竊聽。

你怎麼知道執行長沒有一支被駭過的iPhone？你怎麼知道有多少「沉默的聽眾」參加最新一次的董事會議？在過去幾年裡，不僅僅是美國能源部（設計和製造核子武器的部門），還有美國聯邦儲備委員會和華爾街日報也都被駭客攻擊。你憑什麼認為你們的高階主管不會受到相同的待遇？

作者：Cesare Garlati

Apple iOS被越獄的紀錄大概就跟它本身的歷史一樣長，但是IT主管們依然低估了這個問題．以及它對企業資料和網路所帶來的安全風險。

最新的iOS 6.1越獄程式在二月四日被釋出。根據將最新破解程式公布在evasi0n.com的作者 – Cyril（又稱pod2g）所提供的網站統計數字，僅僅在前四十八小時就有高達五百萬次下載。在這頭兩天，這些網站出現四千萬次的點閱率。其中有超過一半不重複訪客（約兩百五十萬）來自美國。

這個和我在數月前，在舊金山JailbreakCon 2012（全世界越獄界的代表大會。沒錯，的確有這大會）上遇到Jay Freeman（又稱Saurik）時所得到的數字相符合。Jay Freeman是Cydia的創始者，這是個完全合法而獨立的應用程式商店，以滿足那些解放他們Apple設備的使用者。Jay向我說明，根據他的網站統計資料，無論在什麼時候，都有約5%到10%的Apple iOS是越獄過的。

這有什麼好擔心的呢？因為這代表這些設備很脆弱。Apple如此有名的安全措施可以在短短幾天內就被破解 – iOS 6.1是在一月廿八日正式發表：只花了Cyril和他的朋友們不到一個禮拜的時間就打了Apple一巴掌。即使越獄社群並不是為了金錢目的而這樣做，但我們可以確信壞傢伙們（有組織的犯罪集團和商業間諜軟體廠商）都準備好要加以利用了 – 事實上，可能已經這樣做了。

從根本來說，越獄是當你太過限制使用者時會發生什麼事情的典型例子。他們會加以反抗。我們在許多其他消費性電子產品上都看到類似的模式，從電視遊樂器到電視機上盒都有。蘋果的問題在於它想要完全控制這生態系統的每個環節，從印表機到使用者可以下載的應用程式。這些使用者喜歡他們的Apple設備，但他們卻被當成小孩子對待。有了Android，使用者被當成大人對待：他們被允許下載任何應用程式，從任何自己信任的來源下載。Android作業系統的安全功能和權限模型固然並不完美，使用者被要求透過彈跳視窗來授權應用程式去存取使用者的行事曆、電話簿等。而Apple會事前審閱所有的應用程式，所以沒有這樣的彈跳視窗。但我們將在後面了解到，這會因為越獄過的設備而出現不好的後果。

順帶一提，不要將越獄和解鎖搞混了，解鎖是因為行動設備有綁約特定電信商，為了讓它可以使用其他電信商的網路而作。在另一方面，越獄則是去破壞或繞過iOS設備的安全措施。它可以跟下載一樣地簡單，今天的越獄數量也在不斷地成長，因為有專門的越獄社群會在最新iOS版本出來時，盡快地合作加以破解。

所以使用者因為被當成小朋友對待，被告知可以安裝和下載什麼應用程式，而採取極端手段來反抗，但這有什麼壞處呢？在法律上，因為數位化千禧年著作權法案的關係，越獄智慧型手機是完全合法的（Android上的越獄被稱為Root），但在平板電腦上是違法的。蘋果顯然強烈地反對使用者（還有開發商）透過這方式來掙脫其控制，也警告這會帶來縮短電池壽命、資料不穩和其他不好的後果。而在其中百分百正確的是，越獄的確會帶來不可接受的安全風險。

繼續閱讀