面對企業(yè)移動安全 CIO不能目光短淺

申請免費試用、咨詢電話：400-8352-114

      研究機構(gòu)Gartner在2013年1月提出預測，預估在2016年前，全球?qū)⒂腥种髽I(yè)員工會攜帶智能型手機上班，其中有高達四成比例，將以自有設備執(zhí)行工作。如果任何企業(yè)看到這里，仍渾然不知資安危機將至，肯定是值得堪慮之事。




       事實上，IT業(yè)界每年“炒作”的信息安全議題，都不在少數(shù)，所謂“攜帶自有設備(Bring Your Own Device;BYOD)”或“IT消費化(Consumerization of IT)”，當然也曾是備受的話題。

       只不過，資安投資看在企業(yè)主眼里，屬于僅能防弊、無助興利的一環(huán)，在資源有限的前提下，企業(yè)還有很多要事正待推動，所以多不傾向?qū)⑦^多籌碼押注在資安之上，除非，該議題已經(jīng)嚴重到瀕臨動搖企業(yè)根本的程度;相形之下，由BYOD、IT消費化所牽引的移動安全議題，一來尚無驚天動地的震撼教育發(fā)生，二來其危害程度與迫切性，似乎不如進階持續(xù)性滲透攻擊(Advanced Persistent Threat;APT)、殭尸網(wǎng)絡(Botnet)、個資防護來得棘手，在考量輕重緩急的前提下，自然不會被列為優(yōu)先執(zhí)行的任務。

       甚至有若干供應BYOD解決方案的業(yè)者都坦言，他并不看好此類產(chǎn)品在臺灣市場的發(fā)展前景。

       眾多資安議題　彼此環(huán)環(huán)相扣

       然而，移動安全與APT、Botnet或個資防護等其他議題之間，果真各走的各的，彼此素無瓜葛?如果拼了命全力防堵其他缺口，卻始終罔顧移動安全這個環(huán)節(jié)，那么企業(yè)絕對不會遭受APT、Botnet入侵?也不會因而導致機敏個資外泄?答案顯然是否定的!

       主因在于，現(xiàn)今黑客發(fā)動惡意攻擊的目的，并不像過去一樣，只是想癱瘓受害者的計算機，證明自己是多么技藝高超，而是以利益作為基礎，在此情況下，他巴不得如同船過水無痕，悄悄偷走你的寶貴資料，實現(xiàn)個人利益所得，繞了這么一大圈，你還搞不清楚黑客早已到此一游!于是乎，舉凡任何端點，可讓黑客有機可乘的入侵管道，都很有可能成為黑客賴以潛伏APT暗樁、散播僵尸毒害、竊取個資的破口，智能型手機或平板計算機等移動設備，當然也不例外。

       更可怕的地方在于，移動安全將為企業(yè)IT管理帶來前所未見的嚴苛挑戰(zhàn)，比起過去任何資安議題，似乎都來得更加棘手。這些挑戰(zhàn)，主要源自于三個W，第一是“WHO”，只因BYOD設備及多元通訊方式，今后都將同時混雜于企業(yè)IT環(huán)境中，致使IT逐漸喪失終端設備的可視性與策略管控;第二是“Where”，企業(yè)難以預測內(nèi)部員工將會在哪些地點存取公司資料，從而增加敏感資料管理之難度;第三是“What”，BYOD將衍生“去標準化”疑慮，導致企業(yè)資料在不同的作業(yè)系統(tǒng)設備中傳輸，因而增加企業(yè)管理成本與難度。

       結(jié)論就是，基于上述情況對IT基礎架構(gòu)所產(chǎn)生的大幅改變，單憑傳統(tǒng)的IT管理，根本無計可施，很難提出有效的對應策略，因為源自于移動設備所產(chǎn)生的安全威脅，并不在以往IT管理所預設的劇本里頭。

       資安業(yè)者提醒，目前大家所設想到的移動安全情境，可能僅止于冰山的一角，換言之，它們只會是下一波大浪潮的開端，在此前提下，企業(yè)及組織必須以較長遠的眼光，看待此一新趨勢所帶來的變革。

       舉個最簡單的例子，某家資安廠商，暫且撇開任何病毒感染或惡意攻擊等變量，只單純地假設員工不小心在外遺失了智能型手機，并以此作為實驗主題，刻意制造50臺智能型手機遺失在外的情境，當然，每臺手機也都被置入了經(jīng)過變造的企業(yè)機敏個資。