觀點

打造多樣化的行動安全策略

2009 / 01 / 19
iseditor
打造多樣化的行動安全策略
各種預防措施都是要制止在企業中快速擴張、蔓延的各種移動設備。然而,面對快速成長的威脅,必須要打一場有策略的正規戰。

管理的多樣性
企業IT安全團隊根本無法阻擋在他們企業中快速成長行動裝置浪潮,不論是 Symbian或BlackBerry,甚至是每一季銷售出3,200萬隻的智慧手機已經侵略到每一個角落中,根據Gartner的統計比起去年已經成長了30%。尤其是蘋果電腦的iPhone大賣,強迫企業重新思考如何處理員工自己擁有的行動裝置對企業造成的新問題。不僅要在這波浪潮中生存下去,還要考量行動的工作力,企業必須發展出創新的策略以利用這些還無法完全管理與確保其安全的智慧手機和PDA變出超越別人的創意和優勢。
BigFix技術長Amrit Williams表示,要在企業環境中阻擋各種新型態的行動裝置已經是吃了很大的敗仗。我們發現IT已經不是站在禁止科技為企業提供更好的營運產能的角色,而是要找出一個好的做法,太多無所不在的行動裝置已經是生活中不可缺少的。你要找一個方法禁止iPhone連線到Salesforce.com不如好好想個合適的方法,不要抹殺這些知識工作者可以提供更高價值的機會。

兼顧彈性與管理的能見度
但是,組織如何保護企業資料,同時兼顧移動設備熱潮呢?許多筆記型電腦打著的安全以及精心製作的「企業標準」平台的功能。這種做法是否也適用於移動手持設備,特別是黑莓機,我想目前公司也只能這樣做。智慧手機和PDA有更多的版本和形態,要如何選擇你有辦法控管的版本呢?幾乎是不可能的。此外,要阻擋員工使用各種行動裝置作為商務使用也是幾乎辦不到的。
現在的企業不能再忽略行動裝置設備的安全問題,但是卻沒有一個一了百了的戰略。包含從用戶的分層教育、支持跨平台的管理,以及其他許多方法來處理不同的行動辦公人員之約束管理。
這就是J. Gold Associates 的首席分析師 Jack Gold為什麼建議要採取有彈性的行動安全策略,針對不同的裝置與平台濤調整理的戰略,不同於個人電腦市場,因為公司無法為個人行動裝置挑選出一個標準裝置(像PC一樣),一旦訂下規矩就表示你的員工都拿不到最新、最棒的行動裝置,因為行動裝置市場幾乎每週一變。
事實上,組織往往很難強制要求大家都用相同的標準設備。 行動管理廠商Trust Digital 的行銷副總Dan Dearing表示,資訊科技部門都面臨著員工都有權去購買自己喜愛的行動設備。
當越來越多的員工使用不安全的個人設備,對於企業來說都是一點滴在累積著巨大的風險,如果你遺失了筆記型電腦你必須要跟IT人員通報,但是你遺失了智慧型手機呢? 我們永遠不會知道有哪些損失。
Williams看到類似的發展趨勢,雖然我們有給員工BlackBerrie但是他們還是會去買iPhone,實際上還有更多不知名的行動裝置被採用,我們第一步要做的就是讓這個狀況浮出水面、可視化,搞清楚到底有哪些裝置連結到公司網路上,哪些資料會流入這些裝置?你要進行控管之前必須先了解這些資訊。他建議採取三階段步驟已獲得這些資料流的能見度,監控資料傳輸的起始點,包含應用軟體、端點,最重要的一點是企業內重要的應用系統必須要有提供稽核記錄以了解用戶與軟體間的互動行為,這是最容易提升資料流能見度的方法。

說起來容易做起來難
控制在多種行動裝置上面的資料流是Integris Health資安官Rob Marti所面對的最大挑戰之一。它們是一家非營利的醫療機構,Marti必須面對至少400台BlackBerry以及300台Windows Mobile平台的PDA,以支持它們的行政與醫療流程順利進行。
雖然有許多人還未受到health care information (EPHI)保護電子資料的約束,但是資料流終究還是會進入我們組織,但是我們卻無法為這些用戶進行分級,任何會存取到電子郵件的裝置,都有可能會接觸到EPHI相關的內容,從這個角度來看,PDA其實和筆記型電腦沒啥不同。
Integris透過黑莓機BlackBerry OS提供的基本身分鑑別與加密方式提供資料基本的安全保護,而在Microsoft PDA上則使用Credant Mobile Guardian,在每一台裝置上都安裝用戶端程式,便進行集中化的企業加密管理。當然,企業要限制任何員工使用智慧型手機都繪有他的難度存在,但是可以透過ActiveSync和BlackBerry Enterprise Server (BES)對於用戶存取進行基本的權限控管,避免有些機敏資料被同步到用戶裝置中。但是許多醫生傾向於使用iPhone來收發郵件,它們認為這只是郵件,但是對我而言這就是我們必須要保護的EPHI資料。
我們一天會收到5~7件申請使用iPhone的請求,但我至今根本無法集中管理管理甚至進行任何加密。MARTI說,要是等到哪天我可以做到加密和控管,這些醫生也早就換了新的玩意兒,我們處在一個與新科技追逐的無線迴圈中。許多手持的行動裝置並無法對於EPHI提供保護措施,Marti認為使用者應該要被教育了解這些資訊資產的價值,最好是到基層員工的等級都要接受教育訓練,讓員工了解到保護在行動裝置上的病人資料也是醫療的一環,最後,一定要建立起一個觀念,就是這一類的行動裝置就像是一台在你掌上的筆記型電腦,表示組織的風險就在你手上。
分析師Gold透過資安意識訓練可以使得推動資安政策更為有效,讓用戶了解這些東西和功能為什麼被限制使用,為了可以保障他們的工作安全與權益,這其實不難,但是一般IT員工不認為教育訓練是一種策略活動, 最好是用實際的案例讓用戶了解這樣的風險到底有多大。大多數的使用者是願意接受這樣的安全考量,如果你一下子就要完全禁止,那用戶還是會找到機會破解你的防線。

分級─管理的多樣性
將行動裝置做分類可以幫助落實資安政策。

了解資料在何處以及如何被運用是要做好資安防護的必要了解,對於法規與隱私規範的安全稽核也是必須提供的資料項目之一,但是這些資料流進入行動裝置之後要如何被控管呢? Gartner分析師Ken Dulaney建議以下的多樣管理化策略,為行動裝置進行分類以提供不同等級的支援、存取方式以及風險評估參數:
1.可被信賴的 (Trusted):完全控管以及完全支援公司的系統和資料存取方法,像是IT部門配發給公司同仁的筆記型電腦,以及集中化管理的黑莓機。
2.可容許的(Tolerated):未完全管理與支援的裝置,僅提供有限的資料存取功能,像是透過行動裝置瀏覽公司網頁郵件內容,或者是一般的智慧型手機就是一例。
3.被忽略的(Despised):未受控制、未受管理的裝置,一般而言不被允許存取企業資料,因為風險過高,所以如果因為業務關係必須要使用, 還是會得到相關支援的例外服務。
 
Dulaney表示,以此3分類的管理分級,取代單一制式的標準架構,可提供企業更彈性的選擇,最主要的策略關鍵則在於僅允許個人採購的行動裝置有限的存取能力,當員工要求越來越多,IT部門也不知道該不該放行時,請拿出這個政策與策略跟他解釋,減少模糊空間,這樣才能確保在下次資安稽核時,看到政策被確實的落實。
LISA PHIFER

用戶狀況大剖析
At Long and Foster地產公司的資訊長Michael Koval把各種行動裝置與勞動力分成兩個類別。一般員工以及業務銷售相關,他們公司有很大一個部分是透過15,000名房地產業務代表在外面簽約看房子,其中不乏獨立的業務承包商,其中有4,000人幾乎都會帶著個人隨身的BlackBerry、Windows Mobile、Palm與iPhone等可以傳輸資料的行動裝置。而一般員工約400名則攜帶公司配發的BlackBerry。
Koval表示,對於員工而言,當工作上已經須要一台行動裝置,公司會配給他一台黑莓機,如果你是資深的管理階層,還可以指定你要的型號,大多是超過公司制定的標準,像是Windows Mobile或 iPhone,我們有4台BES伺服器來處理這些流量,加上2部ActiveSync伺服器。
公司為了管理黑莓機,Koval提供了整套的管理與安全服務,像是線上的用戶隨需服務、身分鑑別機制、資料加密與監控與解除委任(decommission)。我們制定一個公司可管理的作業系統標準以及允許的應用程式,有時候可以從用戶端拉回一些資料,譬如接到一些搜索令而必須要提供檢調單位一些稽核記錄,如果有人不小心遺失了行動裝置,我們還可以遠端將其功能解除與資料銷毀。
但是這些作業目前還無法在iPhone上面執行,我們不認為iPhone足以成為企業的行動裝置,他僅能作為消費型態的網頁瀏覽器,如果要打入企業市場,蘋果電腦必須為這些裝置建立更好的集中管理與組態的控制中心。
然而,這還是擋不下Long and Foster的業務們使用iPhone的聲浪,Koval說,如果業務上有此需求,不論是 Palm、Windows Mobile 或 iPhone,我都會想辦法支援他,也許以後開始有人使用Google Android之後,我們也要將其列入考慮。
要提供用戶不同行動裝置的服務是很昂貴且需要一個全職的人力來維持,包含軟硬體以及和無線網路供應商緊密的結合,我們願意花人力物力來做,是為了提供更好的業務銷售力,讓她們有個更好的動機與本公司一同成長。
究竟Long and Foster如何管理這些裝置呢? 不論是公司發的或者個人擁有的,我們不需要在上面安裝其他軟體,而是透過網路供應商提供內容過濾的方式,限制部分的存取。此外,用戶想做甚麼都可以。而身分鑑別機制則是最基本的安全防護,透過SecureMLS的token來確認業務人員存取到可以存取的資料庫。
每天工作結束之前,我們要把這些行動裝置上面的資料作一個大掃除,包含刪除一些不該繼續存在的資料,因為這些裝置是企業IT環境的一部分,所以我們必須要能夠控管他們,同時也是避免這些裝置不小心遺失的風險。

跨平台的管理
IT部門在強化行動裝置安全與管理時,會面臨跨平台的問題,因此為了要解決這個問題,就必須在裝置上安裝特有的代理程式,可以讓IT人員管理與監控這台裝置的組態而不需考慮不同OS平台的差異與特殊性。
Stratapult是一家專門處理跨平台管理的技術服務公司,資深遠端系統管理經理Jeff Pack擁有15年遠端管理Sybase iAnywhere的經歷,從Pocket PC至今五年下來,各種行動裝置一直出現,但是限制與管理用戶的需求一直無法被滿足。
針對客戶持續的需求,我們發展出代管模式與集中管理服務,可以提供一個獨立的系統來管理這些每天增加的行動裝置,可以遠端派送新的資安規則以便持續地管理。
雖然有很多遠端管理功能,但是大多的客戶最想要的則是開機鎖碼的密碼保護以及遺失裝置時的解除與銷毀資料功能。如果用戶多次登入失敗或者一段期間內都無法與主機同步,就會觸發我們的鎖定規則,很多行動裝置在外面使用,以要能有效地抓住可以佈署和同步資料的機會,才能符合客戶實際的需求。
但是 Pack對於遠端刪除員工私人擁有的行動裝置之的資料頗有微詞,如果只是為了管理的原因,這樣做可能有點小題大作, 一旦你使用了公司的郵件那就有法律上的義務要進行資料加密,有些安全保險公司便會要求必須可以遠端處理員工行動裝置中的資料。
跨平台管理可以說是一個很大的挑戰,Pack目前還無法管理iPhone,但是客戶的需求是源源不絕的。

取得平衡點
Security Curve首席分析師Diana Kelly認為許多企業已經可以建立在人和時間任何地點的"強固資料保護",雖然這樣的成本還是很高,但是為了弭平行動裝置所帶來的風險和迎接其優點,這是每一家企業決定要採用行動裝置之前的必要考量。
因此,建立行動裝置管理的策略與戰術是非常重要的,根據Gold的說法,許多企業目前還沒有一套管理策略,不論是針對標準化的裝置或員工自行攜帶者,第一步就是要有策略,了解用戶的需求,告訴她們甚麼可以做甚麼不行。當有足夠的例外時,你就要考慮在你的安全清單與企業標準中去研議新的開放,這就是進步。

Lisa Phifer是Core Competence總裁,擁有超過25年的網路架構與安全技術經歷。
數字會說話
經過200位消費者的意見調查後發現,IT安全團隊地卻要更謹慎地面對行動裝置的多樣性挑戰。
89%─受訪者表示可以透過個人擁有或公司配發的智慧手機存取公司郵件與其他資料。
52%─受訪者表示認為如果公司配發的手機無法提供資料存放功能,公司將允許員工將工作相關資料存放在個人擁有的智慧手機。
82%─受訪者認為他們可以接受公司因為資料安全保護的關係在個人擁有或公司配發的智慧手機上安裝安全軟體或裝置,這是個好消息,用戶已經意識到這樣的風險。