觀點

別讓行動裝置成為資安死角

2006 / 05 / 22
LISA PHIFER
別讓行動裝置成為資安死角

小東西會有什麼風險
許多企業以為像是PDA、智慧型手機這類行動裝置,並不會造成多大的安全危害,但是現今行動裝置的計算能力、儲存容量、和連接能力,已可與桌上型電腦匹敵了。許多企業應用程式與資源,也都可藉由無線行動裝置來進行存取與使用。
根據Gartner統計資料,40%的企業資料在手持式裝置存有一份副本,這造成一個非常嚴重的風險—如果這些裝置不小心遺失或是遭竊,該怎麼辦?而人們很容易遺失這些小巧的掌上型電腦和手機。2005年由Pointsec Mobile Technologies提出一份研究報告指出,6個月內在倫敦就有高達63,000隻手機與6,000台PDA在計程車上遺失。
去年波音公司就曾因為行動裝置遭竊事件,導致近161,000筆員工資料外洩。而在2003年,一位摩根史坦利的副總裁也因為他在eBay上拍賣個人BlackBerry,卻沒意識到上面仍存放重要公司資料,而上了報紙頭條。這些安全事件都讓企業警惕到必須遵守資料隱私法案(例如加州SB 1386) 的規範,留意是否有資訊外洩的風險。
另外,這些在辦公室不起眼的小裝置可能對企業網路造成威脅,舉例來說,一個未受控管掌上型裝置,可能不小心與桌上型電腦同步後,就將病毒傳入企業網路中,或是將機密資料給帶走了。其他舉凡藍芽耳機、Wi-Fi設備、或未控管的無線網路設備,都有可能是企業網路的『後門』而成為安全死角。內建在手機上的視訊攝影裝置,也能輕易地將企業機密資料拍攝後並帶出。
姑且不論上述這些風險,一般人通常都使用密碼來保護行動裝置,但是在一份美國Pepperdine大學的調查報告發現,每四個人當中就有一個使用者的PDA曾遺失或遭竊,而且裡頭存放著公司資料的PDA。另外,近半數的使用者並未設定密碼來保護其行動裝置。

如何偵測出資安死角
保護企業不受這些行動裝置威脅的第一步,便是設法找出它們。
「首先,你至少要有能力評估這類威脅。」CREDANT公司產品管理部主任Jason Jaynes說道,「公司想知道,現在到底使用了那些裝置、誰在使用它們、以及它們會造成多大的危害。」藉由掌握使用清單,公司可以清楚地了解,該保護那些裝置、以及該針對哪些設備來進行控管。
但是,要找出那些連上企業網路的行動裝置並不是想像中那麼容易。目前針對有線網路架構的網路檢測工具,像是通訊埠掃描工具nmap、弱點掃描工具ISS的Internet Scanner、HP的網管軟體OpenView,這些工具軟體也許可以擔任搜尋行動裝置的角色,但是卻不能有系統地監控整各行動網路的狀況。
如上圖所示,行動裝置可能利用不同的技術、方式,由本地端或遠端接上網路,以Pocket PC來說,它可能利用CDMA2000連上企業郵件主機、或由WiFi 連上企業VPN、或利用企業內的無線網路與企業內網路連接、或是利用PDA底座連到企業裡的桌上型電腦。而這不過是一個員工的一種行動裝置而已,如果在考量到不同類型的行動裝置或作業系統,要偵測出這些行動裝置更是難上加難。
當要設計一套偵測機制時,要考量行動裝置所有可能的網路存取方式。舉例來說:微軟的Exchange郵件系統還可利用Outlook Web Access來進行存取。Bluefire Security Technologies的CEO,Mark Kominsky提到這類型架構之所以難以偵測的原因是—當使用你的PDA來收信時,你需要鍵入帳號密碼與伺服器名稱,但是如果你有辦法取得某人的Outlook link的話,便可直接登入Exchange伺服器,目前並無方法偵測這樣的存取方式,也只能從該使用者的行為來判斷。
另一個被忽視的問題,桌上電腦郵件轉送問題(desktop mail redirection),若有一個員工去手機店買了一台行動裝置,然後利用非公司所提供的無線網路與郵件伺服器,便可將郵件或檔案傳送到公司外部,而不被偵測到,目前很多公司都對此無計可施。

哪些工具可管理行動裝置
要偵測企業內行動裝置並進行控管,需要靠有線網路偵測工具、無線網路偵測工具、桌上主機代理程式(Agent)、與遠端存取點監控(remote-access monitoring)種種技術的配合。
無線網路偵測工具利用主動式紅外線、藍芽、或是Wi-Fi來偵測附近是否有無線設備。辦公室可以利用Network Chemistry公司的 BlueScanner或AirMagnet公司的 BlueSweep來檢測是否有藍芽設備。而Wi-Fi AP無線存取點則可利用stumblers來偵測,但是如果打算全天候偵測是否有非法無線存取點,則須利用像是AirDefense的Enterprise或AirTight Networks的SpectraGuard這類的wireless IPS。
另外,桌上型主機與行動裝置的連結,也必須列入監控項目,可以藉由監控桌上型主機與PDA或是智慧型手機之間的同步行為。譬如,Bluefire的 Access Manager 和 CREDANT的 Mobile Guardian Enterprise,利用在桌上型主機上安裝代理程式(Agent)的方式,來監控任何Windows Mobile ActiveSync的同步行為。所有的同步行為都會被記錄,亦可根據裝置身分或狀態來決定可否同步。如果員工使用了一台從沒登錄過的PDA,或查無該PDA登錄資料,該員工會被提示要進行登錄,如果登錄成功,相關的保護措施便會同步至該行動裝置。
另外有一種做法,不需安裝代理程式,仍可定期檢查所有主機上是否有安置行動裝置,Trust Digital的Enterprise Discovery利用遠端檢測的方式,當員工的桌上型主機登入網域時,便會檢查該主機的註冊機碼與相關記錄,然後將結果送到資料庫製作成報表。
遠端存取監控(remote-access monitoring)這部分的監控重點,是在找出那些不是利用行動裝置底座,而使用遠端存取與企業網路連接的行動裝置,像連接企業郵件系統。以市面上的產品而言,尤其是CREDANT和Trust Digital,皆可偵測並保護經由行動企業應用程式伺服器像是BlackBerry、GoodLink、Intellisync and CommonTime上網的行動裝置。
另外亦可從公司VPN伺服器、入口網頁或是任何企業網路進出點來監控,Cisco Systems的Network Admission Control 與TCG Trusted Network Connection,可以監控進出點來偵測端點(endpoint)並執行安全規範,行動裝置安全產品可以藉這個功能來管制行動裝置出入企業網路,並且藉由管制來建立註冊與登記制度。
行動裝置的偵測工具有三種運作模式:第一種,僅產生報表、第二種,阻擋並產生報表、第三種,要求註冊並產生報表。報表能力也是很重要的一部分,這部分建議購買能提供過濾功能,且能產生良好細節報表的偵測工具軟體。另外,資料輸出的功能也很重要,能輸出資料提供其他工具進行後續分析。
遠端存取監控可藉由分析登入資訊或透過SIM卡來追蹤行動裝置的使用狀況,而無線網路偵測利用MAC位址、IMEI、UUID來追蹤行動裝置使用行為,這些工具大多可列出IP位址,但注意行動裝置多使用DHCP來取得IP,藉由這些識別資訊與特徵,來找出個人行動裝置是不太容易,所以試著選購一個可以整合這些資訊,並找出行動裝置的好工具。
也許對一個只要求看報表的公司來說,能檢測出行動裝置已經足夠,但是公司老闆最後仍會想要限制那些未授權使用的行動裝置,並且能有效地辨識出該行動裝置的擁有者,分析其行為避免可疑威脅。

訂定使用規範
根據市場研究機構TNS NFO的調查,86%企業主允許企業員工使用自己的行動裝置,但是84%尚未設定使用規範,這無疑是一個潛在威脅。要降低行動裝置對企業造成的可能危害,企業必須定義哪些裝置,在哪些使用範圍內是可以被允許的。至少,行動裝置的使用規範需定義下列項目:
◎所允許使用設備及作業系統版本。
◎所允許使用的無線技術。
◎行動裝置上可以存放哪些公司資料。
◎行動裝置上必要的保護措施。
◎執行安全規範的方式與懲罰條文。
可藉由偵測企業內目前現有的行動裝置,來訂立出這些使用規範,目前的使用狀況也可以作為風險分析的依據,來決定該如何採取預防措施。無論如何,建立使用規範最好不要限制行動裝置種類和擴充性,也許目前針對現有環境所制定出來的安全方案,過一陣子就無法適用了。
在企業環境內執行這些規範需要靠中央部署軟體和設定,為了節省成本與相容性,盡量利用現有架構與資訊。找一個行動安全方案套用在現有架構與員工資料庫上,並利用現有的資產管理系統或軟體派送系統來達成。
舉例來說,Utimaco的SafeGuard的安全設定可利用Windows Group Policy Objects,再藉由微軟Active Directory派送到員工個人主機上,最後再同步到個人PDA上。另外,SafeGuard的軟體與設定也可利用Afaria的XcelleNet或 Extended Systems的XTNDConnect派送到行動裝置上。


保護資訊不受威脅
大致來說,PDA和智慧型手機的保護措施跟筆記型電腦差不多,但因作業系統、內建的安全機制、I/O方式和使用方式不同,保護措施在設計上有些許差異。開機密碼可以防止失竊後被讀取資料,但是卻仍有多數人沒有啟用開機密碼。一個良好的行動裝置安全設計應提供密碼保護、能夠執行安全規範的程式、自動上鎖設定、以及認證失敗自動消除資料的功能。但對於人們,要在PDA上鍵入夠長、複雜的密碼實在有點勉強,所以可以考慮使用影像或指紋辨識技術來進行認證。設計上如果要求使用者一再地進行認證是很擾民的,也要考量使用便利性的問題。而當PDA不小心被鎖住了,是不是有回復密碼的機制來重新設定密碼。
儲存資料的加密,對行動裝置而言非常重要。但是各方有不同的意見與作法。「這要取決於這台行動裝置的使用環境及其內存資料的重要性。」Pointsec的總經理Martin Allen說道。「有些企業就強迫所有儲存資料皆需加密,而有些僅針對那些敏感資料加密即可。」
資料傳輸的安全性可以靠特殊的安全通訊軟體來完成,像是BlackBerry 與 GoodLink,或使用加密通訊協定802.11i、或是行動VPN 像Aventail、Bluefire、Columbitech、NetMotion 或 Netseal等,這些解決方案也可混合運用。小心挑選自己所需的方案,並注意採用之方案可能造成的問題,像是規定主機平台可能讓將來擴充性降低;而規定網路使用限制,則可能讓員工無法便利地使用公司網路。 最近出現數隻行動裝置上的蠕蟲與後門程式,逐漸引起防火牆與惡意程式防禦廠商的興趣。PDA的防火牆可以是獨立程式,像是Airscanner、CREDANT Personal;PDA防火牆也可與其他防護程式互相合作。目前也有不少廠商開發PDA或智慧型手機上的防毒軟體,可用來降低病毒威脅,像是Kaspersky Labs, Symantec、McAfee、F-Secure以及Trend Micro都有這類產品。
行動裝置也有程式授權(Authorization)功能,像黑名單(Blacklists)可以避免使用者在PDA上安裝那些會儲存敏感企業資料的程式。白名單功能可要求行動裝置必須先安裝哪些程式後才能連上網路。目前許多產品可以執行使用規範,來限制行動裝置使用記憶卡、視訊攝影機功能、電話功能、以及可用的無線網路技術。


使用安全規範
一旦訂定安全規範就必須確實執行,要隨時檢查行動裝置是否有任何改變,像是裝置按下reset鍵而恢復工廠預設值這樣的改變。當裝置與員工電腦同步時,偵測工具可藉由自動重新安裝程式與恢復設定值來協助執行使用規範。如果沒有與公司網路或電腦連結時,可利用Flash記憶體或記憶卡裡備份資料來回復設定。
安全規範可以藉由規範管理者來下達或設定,舉例來說,當發現有行動裝置違反安全規範時,可設定刪除相關敏感檔案,使用者可設定安全規範,在發生特定事件時,刪除個人資料。或是規範管理者可設定在下一次同步時,刪除已報失之行動裝置上的敏感資料。另外有許多技巧可用來避免未授權的網路使用行為,利用主機上安裝代理程式可避免PDA與桌上電腦的同步行為、可在VPN Gateway與入口網站處,阻擋未授權的使用者(可以利用行動裝置上的身分資料,或在閘道器上,利用NAC,Cisco的Network Admission Control或TNC,TCG的Trusted Network Connection讓合法或修補好的設備連上網路。)
如果無線IPS偵測到非法的行動裝置,可藉由傳輸無線管理訊號來切斷無線連線。或是利用Traceroute來找出連接該AP的交換器,關閉該埠口來避免潛在威脅。甚至可以立刻自動採取措施避免損失發生,像切斷所有正在與非法AP溝通的使用者連線。
最後,安全規範的執行,需靠相關的行動裝置資訊,藉由收集與追蹤行動裝置的相關資訊與使用行為可以分析可疑威脅,並製作報表。這些相關資訊包括行動裝置的記錄檔、同步記錄、遠端存取記錄、無線網路使用記錄等。舉例來說,Bluefire可即時收集行動裝置相關記錄與事件,並統一彙整來分析潛在威脅並製作報表,Good Technology的 Monitoring Portal可以追蹤GoodLink的使用狀況,製作即時員工與行動裝置的使用狀態,Wireless IPS及stumblers可追蹤是否有非法的無線網路裝置與藍芽裝置,偵測出非法AP並移除。
雖然要掌握無線行動裝置的使用狀態並不是那麼簡單,但企業不能再輕易地讓這些小東西對企業造成威脅。當員工人數、行動裝置、企業網路存取點增加時,風險也向上提升。企業至少要能有效地偵測行動裝置使用狀態、評估裝置造成之影響、建立使用規範、並訂定企業所需之保護措施。由於科技不斷改變,如何面對行動裝置造成威脅,是一個非常艱鉅的挑戰,而這並不是一朝一夕便能達成。企業應從現在開始採取行動,避免這些小東西可能造成的資安威脅。
Lisa Phifer 是Core Competence顧問公司的副總裁,她撰寫許多網路架構規劃與安全技術的書籍,如對本文有任何建議請來信至iseditor@asmag.com