https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

即時通訊軟體企業安全的防護死角?

2004 / 09 / 07
編輯部
即時通訊軟體企業安全的防護死角?

即時通訊(Instant Message, IM)軟體的魅力何在?為什麼會有這麼多人利用MSN在線上做交流?一般人心目中對MSN這類IM軟體的認定,都還是認為只是一種聊天的工具。不可否認的,IM的使用在企業之間已經是一種非常普遍的電子溝通方式,而且仍持續的成長中。而根據IDC的調查報告預估,到了2005年全球使用IM的人數將超過2億。
即時通訊的影響力
就好比當初IE瀏覽器的竄起,IM軟體已成為網際網路另一波明星級產物,由微軟對MSN產品砸下大筆廣告預算更可以看出,IM軟體未來在網際網路的使用將更普遍。 一項針對IM軟體使用情況所做的調查報告指出,有39%的使用者認為可以提升工作效率;若以即時溝通的觀點出發,有82%的使用者認為網路即時通訊可以快速解決工作上溝通的問題;另有70%認為可以快速知道對方是否在線上。由這些數據可以看出,IM軟體對企業還是有正面的效益,並非全然都是負面的影響。

便利與安全之間的取捨
一直被企業所忽略的IM軟體,對企業網路而言,其實已經形成一個不設防的安全漏洞。 根據Osterman Research的調查報告顯示,目前所有企業中,已有超過80%的企業員工使用IM軟體,而IM軟體也漸漸成為企業營運系統中的工具之一,但相對的也是一項危險的工具。Gartner分析也指出,目前全球有30%以上的企業使用IM來從事商業溝通,但是只有少於1%的企業對IM有做控管。對企業的管理者而言,多半還是不喜歡員工進行工作以外的事情,因此企業需要在便利及安全之間作選擇。 雖然如此,大部份企業還是把IM定義為聊天而非溝通。因此國內有些大企業還是以限制與監控網路通訊過程,做為員工考績與獎懲的依據。不少企業為了避免員工在上班時沒事就跟人聊天閒扯,便主張禁止IM軟體的使用;然而把IM軟體列為禁忌,可能有點因噎廢食,畢竟,使用IM軟體好比刀有兩面刃,利弊參半,企業主如何取其長避其短,可說是一項智慧的考驗。

即時通訊的潛在風險
由於大部份的企業對MSN等即時通訊軟體的部署未加以管制,所以,員工在網路上註冊其私人的帳號,做為與客戶或企業夥伴的聯絡窗口,一旦員工離職,企業並無法防止其繼續使用此代表公司的帳號。 雖然企業極為重視公司機密性資料的防護,對於每一環節的防護可說是滴水不漏;但是對於IM的防護幾乎是無人問津,殊不知,藉由IM傳送檔案的方式也是一大漏洞所在。 IM軟體在使用上可能遇到的幾種風險,包括: 1. 法律上風險︰由於即時通訊傳送檔案的方便性,以致於使用者常將好玩有趣的資料相互分享,如MP3、非法軟體等,都是可能造成企業面臨重大法律風險及成本。 2. 工作效率的降低︰因員工將即時通訊當作私人使用,加上公司無法對合法使用及非法使用作有效分別,以致員工上班聊天,影響工作效率。 3. 機密資料外流的風險︰即時通訊的文字及檔案傳送功能比電子郵件系統快速,使企業面臨更大的挑戰。 4. 資訊安全上的風險︰經由即時通訊傳到公司內部的文件資料,可能包含病毒及有害的程式碼,使用者不經意開啟,將有可能造成企業嚴重的資訊安全問題。

事後處理不如事前管理
就如同Web和Email,在Internet上IM將成為是繼兩者之後另一種既便利又有效率的網路服務。對企業主而言,在不願全面禁止使用的情況下,如何不影響員工權利,又能讓企業達到控制和管理的目的,除了做好對員工的教育外,事前做好規劃及管理政策,要比事後發生事情再來處理來的好。 據微軟的分析表示,目前有23%的企業管控IM軟體的方式是採用全開或全關,所以無法就細項作管控,因此企業無法一方面允許員工使用IM,一方面又不允許其傳送檔案。如果要做到細項的管控,針對IM,防火牆是做不來的,即便只是要用防火牆來做偵測或攔阻,也有困難。因此需要特別的解決方案,才能做好IM的控管。 目前對於IM控管軟體的接受度普遍不高,主要還是以高科技產業為主,傳統產業次之。而他們之所以會考量選用並接受此類管理產品,重點在於提升員工的生產力以及保護企業重要的資訊資產。

管理解決方案
和Web及Email等內容過濾產品一樣,IM控管軟體除了對使用者的權限做管控,如誰能使用、什麼時候使用外;也可以針對傳輸檔案的大小、名稱及類型等做控管,同時結合防毒軟體進行掃描,以降低遭病毒感染的可能性;至於不當對話內容,也可以做即時監控(Log機制)和保存,做為法律上的依據;報表功能,提供管理者相關資訊,如頻寬的使用、員工的使用情況等,可做為公司稽核之用。 面對IM控管軟體市場,廠商一致的看法是,目前還處在教育的階段,依廠商樂觀估計還要到明年市場才會較為熱絡。當然,也需要IM軟體的配合,正如所羅門系統應用事業處管理師李玉美所言,待IM軟體功能強大到夠成為一個誘因,企業才會意識到威脅所在,願意去購買建置IM的控管解決方案。 IM相關的控管軟體,目前在市場上還不多見,已推出的有:一高商務代理的SurfControl IM及Akonix、所羅門代理的Face Time Communications的IM Gardian、IM Director和IM Auditor,以及精誠資訊代理的NetIQ之imMarshal等解決方案。以下就各家的產品做介紹:

一高
在Internet上提供完整解決方案的一高商務,所代理的SurfControl內容過濾產品中,IM Filter是屬Gateway端的控管軟體,利用其block功能,做人員使用IM軟體的管控,例如哪些人可使用、或哪些人不可使用哪些IM軟體,是屬於較為簡易的控管軟體。除此之外,個人IP、IP範圍或子網域也可以做定義加以管控。 而另一款Akonix ,則是進階的IM控管軟體。可以進一步做好管理,如:使用者的管理,哪些人在什麼時間、什麼地方做什麼事?以及檢查記錄進出的訊息內容等。對於檔案傳輸也可做限制,整合了防毒軟體,可在線上即時針對傳輸中的檔案做病毒掃描。監控功能,可讓管理者即時了解及查看有哪些使用者在使用IM,或是交談內容。

所羅門
針對IM的控管軟體,所羅門所提供的解決方案較為完整。於今年正式代理美國Face Time Communications的IM控管軟體,分別是:IM Gardian、IM Director及IM Auditor。 依功能及需求的不同,Face Time分別推出三種不同版本的產品,其中的IM Gardian是屬於較為陽春的版本,可以做到檢視IM的使用者行為,但是對於通訊內容則無法做管制;IM Gardian另一優點如同安全閘道器,除了防火牆應有的TCP/IP封包階層的管理之外,甚至可以透過port 80 tunneling重新封裝過的封包,同時也可以做偵測管理。 而加強版的IM Director,則可針對通訊內容做管理,其主要是藉由政策做為管理機制。可以整合企業目錄伺服器,做好分層控管;另外也能將IM對話匯出到企業內部的郵件系統,整合企業既有的系統架構。 IM Auditor則強化在可稽核所有通用的即時通訊網路;可將IM身分對應到員工的IM,做好身分管理;同樣也可整合企業內部的目錄伺服器,並且可延申整合企業現有的防火牆及伺服器。

精誠
精誠資訊所代理NetIQ的imMarshal for MSN,是最早引進的IM控管軟體。現有版本只針對MSN,但精誠表示,今年下半年會推出所有IM軟體皆適用的新版本。 NetIQ的imMarshal for MSN可控管IM使用權、管理檔案傳送、對話內容全程存證、不當對話內容的即時分析、發佈違反使用規則警訊,以及整合防毒軟體做病毒掃描等功能。此外,使用閘道式的控管機制,讓管理人員可以更方便的定義出管理的政策,例如,可設定IM使用時間為早上8點到下午5點,在5點之後便不可使用,或者可設定一天只能傳送檔案三次等。

即早正視問題並做好防範
對企業而言,IM軟體是免費的,卻要企業主花錢購買解決方案來解決可能遇到的風險,其實是滿困難的。「一般人都在發生事情時,才會去注意問題;出事情後,才會知道資安產品的效益。」正如一高商務經銷業務部經理魏誠厚所言,目前大多數的企業主對IM的認知,也還是停留在唯有資安事件的發生才能感受到其重要性。 精誠資訊安全暨效能事業部產品經理江奇寯也表示,垃圾郵件問題的嚴重性,是造成反垃圾郵件過濾軟體之所以受到企業重視的原因;而IM控管軟體,目前尚屬萌芽階段,要等到MSN受到如駭客攻擊及中毒事件的增加、公司機密文件隨MSN等IM軟體洩漏出去,才會開始注意到其間的問題及重要性。 很有可能成為繼Web、Email之後的第三大網路服務的IM,可以預期的是,將成為另一個明星級的網路服務產品,以其即時性及互動的功能,甚至還有可能取代Email。因此,企業主如果能預先做好IM的控管準備,除了可以真正享受使用IM軟體的便利性,更重要的是可以降低企業在使用上的風險。