數位化時代每個企業都脫離不了資訊化系統、電子化文件,然而4G、5G來臨行動化應用將更為普及,很多企業已開放員工使用手機或平板連網使用公司的資訊系統或是運用坊間通訊軟體做為公司傳遞訊息與文檔之用,然而卻有許多企業尚未準備好行動化應用的資安控管,導致資安事件發生或是因為行動裝置為自有裝置 (BYOD:Bring Your Own Device) ,企業推動行動裝置安控時涉及員工個人隱私而無法達到預期的效果。
首先,我們就企業資訊系統行動化應用與管理外部使用者時,經常碰到的幾個問題及可能潛在的風險(前提假設是公司內網NB與PC已部署對內及對外端點防禦系統,僅就行動化應用或管理外部使用者的狀況探討)進行探討…..
■ 公司沒開放手機或平板裝置連線使用,但未來誓必會開放使用
可能1=>沒錯,這是一個大趨勢,未來很可能會開放,或許很快就要面臨這個問題
■ 目前公司部份系統因為有RWD網頁設計或業務上需要,所以就有部份系統開放讓員工手機連網使用
可能風險1=>是用私人手機嗎? 端點手機有沒有安裝防禦系統以防止駭客透過手機植入惡意程式……(外洩可能來自於駭客由外而內竊取)
可能風險2=>手機連線使用公司系統,公司重要文件或資訊在手機使用是否進行安全控管;( (外洩可能被有心人士由內而外流出)
可能風險3=>手機及平板為BYOD裝置,無法禁止員工使用手機功能,公私文件無法分離,容易導致資料外洩而無法制止;(因要求不易,外洩可能被有心人士由內而外流出)
■ 公司有開放VPN供NB用者連線存取公司內部系統
可能風險1=> 外部使用者透過VPN連線使用公司系統,VPN無法辨識使用者真實身份既可進入到公司內網;(外洩可能有心人士由內而外流出或被駭客由外而內竊取)
■ 經常被忽略的供應鏈合作廠商連線
可能風險1=>當資訊服務廠商(如ERP/MES/專案系統….等)提供連線服務時,若服務商不知情已被植入惡意程式後,也可能導致駭客入侵;(外洩可能被駭客由外而內竊取)
以上幾個狀況都是我們在訪談客戶時所遇到的實際狀況,我們就針對這些狀況進行分析,大致可以得到幾項文件資安規劃時的參考重點
1. 端點安全很重要:以往大都在意主機端防護,但事實呈現大部份的駭客(由外植入)或資料外洩者(由內流出)都是因端點防護不足而發生。
2. 主動預防很重要: 預防駭客入侵,決戰境外,才能有效避免橫向擴散;在端點部署防止資料外洩解決方案,才能有效嚇阻及阻斷資料外洩行為發生。
3. 管理適法很重要: 員工自我意識高漲的時代,企業如何提供員工友善管理是很重要的,當員工私人行動裝置兼做公事使用時,若有一個機制及技術可以協助企業公私分離並保障員工個人隱私權及滿足公司行動資安管理要求才是最佳的解決方案。
4. 針對外部使用者須要強化管理: 企業面對外部VPN使用者連線的身份認證及供應鏈服務廠商的連線行為,都有必要進一步審視與管理。
5. 資安規劃要與時俱進: 當AI時代來臨,駭客行為已快速進化中,現今惡意程式攻擊,有超過80%以上都是未知的威脅,企業更須打破舊思維,改以新世代的防禦方式進行防護。
ISAI行動資安解決方案,以全新的行動APP資安框架來整合你原有的資訊管理系統,讓你打造一個統一的行動入口APP,將所有行動應用納入資安控管,改變原有必須針對每個系統主機端程式進行安控機制開發的作法,即省時又省力。
參考連結: https://www.qiso.com.tw/#ISAI
錡碩資訊有限公司
www.QISO.com.tw
