易璽科技 ECNETWORKER

堅持不採用 BYOD 政策已經成了一場在逆境中求勝的戰役。光是在過去五年間，技術和工作場所的習慣模式就出現了一些重大轉變。這些新的轉變暗藏著新的安全風險，我們該如何因應？

雲端運算技術興起後，連帶使得個人智慧型裝置及在家工作模式蔚為盛行，於是，BYOD 政策 (自備個人裝置) 成了相當受歡迎的做法。這類政策允許員工使用自己慣用的行動裝置 (筆記型電腦、智慧型手機等) 工作，不需受限於公司配發的裝置。這類政策當然有很多優點…能讓員工開心，再者，公司往往因為如此而不需要提供 (及採購) 新裝置，尤其是行動電話。但是，凡事都有一體兩面。BYOD 趨勢除了帶來優點，也衍生出一定程度的安全隱憂。以下探討最主要的安全隱憂，以及企業該如何擬定 BYOD 策略才能解決相關問題。

何謂 BYOD？其運作方式是什麼？

BYOD 是一種相當新穎的措施，企業組織透過這項措施允許員工使用自己的個人裝置處理工作。智慧型手機是最常見的例子，不過，BYOD 模式的範圍還包括筆記型電腦、平板電腦，甚至也適用於穿戴裝置。時下流行所謂的「IT 消費化」，也就是在企業環境中使用消費性軟體和硬體，而 BYOD 就是其中一種模式。在 BYOD 模式下，企業組織通常會同時管制員工自備的裝置及公司提供的裝置，不過，也有其他企業選擇採用「影子 IT」這樣的做法。「影子 IT」是指企業開放使用硬體和軟體，但組織的中央 IT 部門並不提供支援。

> 瞭解 MOVEit 何以能夠防範貴公司發生資料外洩事件。

BYOD 有何優點？

對 BYOD 使用者而言，能夠自由運用自己選擇的個人裝置、不分時間地點都能工作，這就是相當大的優勢。而從雇主的立場來看，公司既不需要提供行動裝置給員工，還能讓個人裝置與中央通訊系統保持連線，從而省下不少成本，這些也都是 BYOD 的優點。

BYOD 有何風險？企業該如何因應？

BYOD 政策既有其優點，難免也會導致一些相當棘手的問題。IT 團隊需要設法熟悉隨著 BYOD 而來的各種安全問題。以下舉例說明幾項最嚴重的 BYOD 相關隱憂，以及組織做好自我防護的方式。

管理遺失或遭竊的裝置

您是不是經常因為將手機遺忘在餐廳座位上而必須回頭去拿？假設您回到原地卻找不到手機，這才發現手機被偷了。此時此刻的心情真是焦躁難安，對吧？再想像一下，要是手機中存了機密的業務資料，風險豈不是馬上倍增？由於價值的緣故，行動裝置本來就是容易遭竊的物品，現在，為了盜用並轉售或利用個人資料而偷竊手機的情形更是越來越普遍。一台裝置同時存放了個人資料和非公開的公司資料，資訊外洩的風險真的很大。

為降低遺失 BYOD 裝置可能引發的風險，使用者最好登錄「尋找我的裝置」及遠端清除服務。這類服務不但能夠讓使用者追蹤不小心遺落在某處的裝置，不得已時還能將裝置中的資料清除得一乾二淨。話雖如此，所有企業使用者仍應養成定期備份資料的習慣。擬定備份與復原程序有助於大幅減輕裝置遺失或遭竊引發的餘波。

密碼保護

許多使用者並未運用基本常識保護智慧型裝置。無論是公司裝置或私人裝置，所有裝置都該採用強式密碼保護。許多人不使用密碼保護自己的裝置，但也有許多人用了密碼卻未奉行最佳實務，只為了方便而使用簡易密碼。試想：如果您是小偷，要猜到密碼數字組合是「1-2-3-4」一點也不難，不是嗎？事實上，小偷嘗試輸入的第一個密碼很可能就是這個組合。只要為裝置設定強式密碼/通行碼，組織就等於做好了遏止攻擊活動的第一道防線，這也是一道更重要的屏障。再者，若能運用指紋或臉孔識別之類的生物辨識出入控制技術，安全程度相對更有保障。

網路監控與 BYOD

只要是在設想週到的前提下採行 BYOD，就能給予員工更大的自由。不過，要是實施方式不恰當，對 IT 團隊而言，除了必須努力追趕不斷變化的產能需求、應用程式及網路使用量之外，無疑又多了一層負擔。IT 團隊可以運用網路監控工具完整存取這類資訊，也能存取 BYOD 和位置之類的其他資訊。只要能掌握這類指標，IT 團隊就能實施更好的安全防護措施，還能規劃更完善的 Wi-Fi 及發揮其他功用。

透過管理行動裝置保護裝置安全

實施 BYOD 政策的企業組織應採行完善的行動裝置管理 (MDM) 解決方案，以利保護使用者的裝置。Enterprise Mobility 管理軟體能強制實行特定公司資安原則，保證只允許獲准的裝置存取公司網路。

MDM 軟體也能在裝置下載惡意行動應用程式時發揮防護作用。許多危險的行動應用程式只有一個目的：破壞裝置軟體並存取儲存在裝置中的非公開資訊。若企業組織在辦公室裡採行 BYOD 計畫，由於公司和個人資料全都儲存在同一台裝置中，這類應用程式確實是非常大的隱憂。MDM 解決方案可以保證只能將可信任的應用程式下載至裝置中，讓企業組織安心無虞。值得注意的是，即使是公司內部開發的應用程式，仍有可能出現易遭攻擊的漏洞。企業應確定自己的行動應用程式符合特定安全防護標準，以利防範資料外洩。

加密的重要性

加密絕對是裝置安全防護不可或缺的重要措施。未加密的資料很容易在傳輸中或閒置時遭到攔截。除了能防範攻擊者存取行動裝置上的非公開資訊之外，加密技術還能發揮其他功能。密碼確實能夠阻止攻擊者存取裝置，而加密技術還會將攻擊者仍有能力規避密碼的可能性列入考量。倘若能採行所謂「深度防禦」的多層次安全防護機制，企業組織就能進一步強化 BYOD 裝置的防禦功能。傳輸中的資料往往是最容易遭受攻擊的一環。企業組織若願意投資採購深度夠強的加密工具，就有能力保護自己的網路基礎架構，也能保護所有需經由公用 Wi-Fi 網路傳輸的公司資料。

行動裝置易有助長 DDoS 攻擊之虞

行動裝置 API 鮮少設定適度的速度限制，往往容易遭受 DDoS 攻擊。利用 DDoS 攻擊產生的要求源自網路內部，因此更難以偵測。未來的 DDoS 可能會利用行動裝置入侵特定的應用程式層資源瓶頸。這類攻擊往往採用典型的查詢，比「外來的 DDoS 攻擊」更難防，因此，資安團隊應留意這種手法。

此文章轉載自IPSWITCH中文官方部落格 https://blog.ipswitch.com/tw/the-it-guide-to-handling-byod-security-risks-in-the-workplace