強化行動裝置安全才能免於新型態資安威脅

2015 / 04 / 14

編輯部

    隨著智慧型手機連續兩年出貨量超過10億支大關，平版電腦銷售量亦持續攀升的前提下，不少企業為應因BYOD（Bring Your Own Device）時代的到來，紛紛開始著手造行動辦公室平台，便滿足商務人士隨時存取公司內部資料的需求。

    正因為如此，行動裝置已成為駭客侵入企業的最佳管道之一，根據Palo Alto Networks Unit 42研究中心的調查結果顯示，Android作業系統中存在許多系統漏洞，駭客可藉此挾持行動裝置上的Android應用程式，並在使用者不知情的狀況下，替換為攻擊者使用的應用程式，預計有高達49.5%用戶會受到威脅。

    Palo Alto Networks Unit 42情報總監Ryan Olson表示，現階段從Google Play商店下載的應用程式尚且不會受到影響，該漏洞主要會影響從第三方來源下載的Android應用程式，所以建議不要讓員工自行安裝應用程式。其次，建議行動裝置要升級到Android4.3_r0.9或更高版本的作業系統，即可減少漏洞的存在。

行動裝置漏洞多傳統資安工具無能為力

    仔細分析企業在BYOD風潮下所面臨的資安威脅，除了作業系統本身的漏洞之外，也有可能來自於未經官方認證，來自於第三方商店的app，或者員工自行 root/jailbreak 手機,安裝來路不明惡意程式所致。另外，日前也曾經爆發手機製造商在出貨時，不小心已直接在手機中內建惡意程式等等，顯見光是升級到最新版本作業系統的消極作法，絕對無法有效阻擋惡意程式入侵。

    Palo Alto Networks 台灣區技術顧問曾國偉指出，傳統資安防護並非針對移動式裝置作業系統所設計，可提供防護能力相當有限，加上駭客會利用欺瞞方式讓用戶手動認可安裝含惡意行為之應用程式。此外， MDM(mobile device management) 主要是提供企業行動裝置的管理功能，並不具備保護設備安全的功能。

    仔細分析現今行動裝置平台上的資安威脅種類，不外乎是惡意程式及系統漏洞兩大類，然而要杜絕型態多變的惡意程式，企業需要仰賴一套自動化分析未知的應用程式工具，才能在發現到未知的潛在威脅時，藉由自動生成特徵碼的方式自動移除惡意程式。至於作業系統本身的問題，則需仰賴於資安研究團隊對各大手機平台進行漏洞探測，並於發現重大漏洞之後，儘快安裝新版的作業系統修復程式。

    數位資安系統總經理蘇隄認為，智慧型手機因具備容易拍照，與具備行動上網的特性，所以不易被傳統資安防護設備監控，導致公司內部一些視覺化的資訊會很容易被記錄，只要離開內部網路之後，即可即時被傳出、隨即刪除。另外，部分App只要經使用者同意，即可隨時監控手機狀態，像是錄音錄影、取得檔案文件，因資料是在合法管道中取得，所以就算公司內部有安裝MDM或MAM工具，也無法解決員工刻意夾帶未受控手機進入管制區域的問題。

三大面向著手保護行動裝置安全

    要讓企業在競爭激烈商務保有競爭力，又要免於新型態資安攻擊手法的威脅，資安人員應該要從裝置管理、保護裝置、控制資料等三大面向，對移動裝置進行完整管控及保護，才能建立一套企業所需的資訊安全平台。在裝置管理方面，需確認裝置中的設定是否符合公司資安要求，如需設定裝置密碼及密碼符合一定複雜度、裝置內資料需以加密方式儲存等等。在保護裝置方面，得有一套可偵測及移除儲存在移動式裝置上惡意程式的工具。最後，在控制資料封面，則需能控制裝置內資料的複製及搬移,並可移除應用程式內儲存公司資料內容的軟體。

    蘇隄表示，資安人員首先應該對智慧型手機底層進行相機的權限控管，讓所有App皆無法拍照，只有在離開公司後才能使用。第二步驟則是當同仁進入公司時，得將強制手機連上公司網路，讓所有上網行為能被管理，確保智慧行手機無不正常狀態。最後，則是可以搭配VMI(Virtual Mobile Infrastructure)方案使用，讓企業資料永不落地手機，即可減少資料外洩之虞。

    曾國偉認為，企業可以先從確認員工是否從透過授權認證之線上APP商店進行下載及安裝著手，再來則是檢查行動動裝置是否已經被root/jailbreak，並且禁止被root/jailbreak 的行動設備，存取公司網路及裝置中公司資料的能力。最後，則是選購一套可針對行動裝置中己安裝app，進行惡意行為分析及檢查,並針對有問題之app進行移除，確保企業整體網路安全。

    智慧型手機的風潮還是會持續延燒下去，同時，隨著行動辦公的趨勢下，企業的公務使用者也會持續的增加，因此智慧型手機的安全管控，不但需要技術上的底層來協助安全上的保護外，人員的安全觀念的教育訓練也需要一併納入。

行動裝置 BYOD 行動裝置安全