資安新趨勢-行動網路安全探析

作者/王識超



前言 行動裝置近幾年持續地快速成長,且從以通話為主的單一功能,擴展到多樣的聯網應用。以IDC預估的銷售數據顯示,行動裝置在2014年將繼續熱賣,平板電腦成長率約為18%,智慧型手機約為12%。根據Gartner的預估,至2017年,唯獨平板電腦的銷售,就可能是個人電腦加上筆記型電腦的1.7倍。而IDC也在(2013/5/20)預估平板電腦的銷售量在2015年將會超過個人電腦與筆記型電腦。相信大家不難發現,我們生活周遭的人使用行動裝置的比例正不斷地提升,一些人甚至開始擁有多項的行動裝置。IDC預測,未來全世界平均每個人將擁有4.8台行動裝置。行動裝置已成為人們使用科技的主要工具,這個趨勢將帶來過去無法想像的營運模式與商業價值,更帶動了嶄新階段的管理需求。 由行動科技引領的管理革命已蓄勢待發,帶領企業走向行動革命的新時代。政府與企業治理朝向行動化的發展,顛覆了過去對於工作場域的定義。善用行動科技,將可打造高度自由化與協同作業的虛實整合工作環境,不再局限於辦公室一隅,可以視業務端的需求做出最佳的選擇。新興的消費者端新技術已擴散到企業組織內部,IT及消費電子合併成同一個工作及遊戲的環境,工作場所、時間與使用的工具正逐漸的轉變,期間的界線與區別不再是那麼的明顯,單位希望員工能及時處理公事,員工期望彈性上班時間地點,都因行動運算有了可能。行動運算不但帶來個人通訊的便利,也已成為未來商業應用不可或缺的一環。 行動應用普及下的安全性問題 在行動應用普及化的環境下,除了追逐且擁抱帶來的改變外,我們也要勇敢去面對承襲而來的安全性議題,以免因為安全上的疏漏而蒙受損害。底下僅以二則新聞為例,簡單說明行動網路安全上的問題與建議的因應之道: 一、手機間諜軟體侵犯個人隱私:(2014/3/14) 『網路近來出現一套有「抓猴神器」之稱的手機間諜軟體,每套要價三萬元,但安裝在手機內,就會自動將通聯、臉書、LINE等內容全都備份到雲端資料庫,也能強制開啟相機錄影,北市一名女子擔心男友偷吃,將間諜軟體安裝在男友手機裡,男友日前獲知氣得怒告女友,兩人婚期告吹,女子當場淚灑警局,她與販售軟體的嫌犯都被警方送辦。』(資料來源:http://www.appledaily.com.tw/appledaily/article/headline/20140314/35699946/) 因應之道: .手機不離身 .不下載、開啟不明軟體 .系統升級至最高等級 .不要破解手機執行系統程式 .定期檢查執行中程式,是否有不明軟體。 二、不法集團透過手機小額付款進行詐騙:(2014/2/12) 『消基會接獲民眾申訴電信帳單小額付費遭詐騙案例,著手調查中華電信、遠傳、威寶、亞太、大眾等6家行動電信業者,發現3家業者預設開啟電信帳單小額付費服務,且小額付費認證機制漏洞可能使用戶曝露於詐騙風險中,呼籲業者主動關閉服務,消費者也應主動確認,並謹慎避免手機遭駭。』(資料來源: http://www.ithome.com.tw/node/85166) 因應之道:電信業者檢討小額付費安全機制,例如預設關閉服務,由有需求的用戶提出申請開通,或是主動詢問預設開通的用戶是否需要此功能。另外,為避免手機被駭客竊取個資,民眾應避免安裝不明或要求簡訊編輯權限的App,以及陌生人傳來「裝熟」的簡訊,偽造宅急便領貨通知等,防止手機被植入惡意程式。若不幸遭到小額付費詐騙損失應報案向電信業者反映處理。 筆者本身就曾收過如下圖的詐騙簡訊,諸如此類偽裝成快遞簽收單與水電費帳單等手法,可說是不勝枚舉。最簡單的脫險之道就是絕對不要點擊來路不明的網址URL。

《圖一》
行動網路安全趨勢 如果我們從資訊安全的角度來看,行動裝置安全日趨成為關注的焦點。首先,我們發現行動裝置的惡意程式大幅成長。McAfee研究指出,Android惡意軟體數量成長快速,2011年第四季其總量約600種,但2012年第一季結束時已經接近7000種,成長率為1200%。行動裝置的安全威脅95%集中在Android系統,惡意軟體主要來自Android市集。McAfee也發現針對蘋果系統的惡意軟體有上升的趨勢,雖然該報告稱這一趨勢目前還不明顯。Sophos在2014年行動全球會議(Mobile World Congress)的報告裡指出,已發現超過65萬個Android惡意程式,其成長速度非常驚人,如下圖所示。

《圖二》
行動裝置安全是2013年BlackHat研討會裡最熱門的主題之一。展望2014年資訊安全的趨勢來看,智慧型手機與裝置將會是駭客爭相競逐的一個新戰場。FireEye在其對2014年亞太區資安十項大預測裡,也強調會更多的行動惡意軟體出現。而在邁向物聯網(The Internet of Things)的進程中,也有一些智慧型家電、投影機與車載系統等被入侵或攻擊的案例發生。眾多資料都顯示我們須更加重視日益嚴重的行動安全問題。 對政府及企業來說,已無法對這行動運算的趨勢加以逃避,必須思索該如何因應的策略。根據IDC在2002年對2011-2015 全球行動工作者人口預測的報告指出,「亞太地區(日本除外)至2015年為止,將有8億3870萬員工(40%) 成為行動工作者」。順應將會有越來越多的行動工作者產生,公司必須針對環境與需求的改變,做出相對應的計畫與轉變措施。除了開放讓員工可便利使用行動裝置,得到效能與效率的生產力提升外,也要考慮到隨之所產生的風險控管,擁抱科技的便利與效率並非完全有利無害,必須有相關的配套措施做因應,以免公司也因此蒙受到損失。 我們可以從2013年Dimensional Research研究全球790個企業的報告中,參考到全球行動安全趨勢以及企業對此議題的看法與做法。
  • 有67%的受訪企業認為BYOD(Bring Your Own Device)所面臨的風險為保護企業資訊。
  • 2013年53%企業將機敏資訊置於行動裝置(對照來看在2012年為47%)。
  • 94%之企業認為客戶資訊遺失或遭竊,為行動安全中影響最嚴重的項目。
  • 2012年79%之企業曾遭遇行動安全事件,並有52%大企業表示花費50萬美元之資安事件成本。
  • 66%的企業認為內部散漫員工對於資料竊取或遺失之風險大於網路犯罪者。
行動運算與應用的資訊安全議題 政府及企業在評估開放並擁抱行動運算與應用時,最擔心的便是資訊安全的議題。行動運算的確會引進單位機密資料外洩的風險,不得不謹慎為之。而這當中制定合宜的資訊安全整體性政策,並教育所屬員工格外重要。根據Ponemon Institute的研究調查指出,64%企業資料外洩是人為疏失所造成的。而經由行動通訊管道所產生的資料外洩問題,正形成新型態的曝險危機。我們可不能小覷資料外洩所可能帶來的衝擊,根據2013年德州大學的一份研究指出,43%企業因資料外洩無法持續營運,51%企業在資料外洩後的2年歇業,其嚴重性可見一斑。 政府與企業的IT人員應該要審慎思考,面對行動運算的來臨,IT管理的難度與日俱增。如何在這新型態的環境上,除了提供方便與效率存取的基礎環境外,也能兼顧到保護公司的營業秘密資料。確保使用公司網路、資料及應用程式的裝置是安全的,強化並確保公司資料不致因資料備份或分享而外洩。即使當行動裝置遺失或遭竊,也能做到保護機敏資料免於外洩的安全防護。所以政府與企業必須設法在無界存取與資料安全的考量之間取得平衡,並在尋求解決方案時,降低管理這些裝置的成本及資源,以求行動應用在有效的管控下能充分發揮其便利性與效益。 政府與企業負責資安的單位,建議針對行動裝置可能暴露的風險,可將資訊資產列表做評估與檢討,並為每個風險項目擬定出相對應的安全政策。下表僅做個簡單的整理,供作參考。評估分析自身的安全需求,研擬合適的因應之道。

《圖三》
政府及企業在嘗試導入管理行動網路安全的計畫時,除了可找專業的資訊安全顧問或系統整合廠商來協助外,也可參考美國國家標準與技術研究院(NIST)所制定的移動設備安全管理指引(NIST Special Publication 800-124),以及國際電腦稽核協會(ISACA)的BYOD稽核與保證計畫(BYOD Audit/Assurance Program),讓所制定安全政策與計畫能更趨完備。因為即使購置了再好的資安設備,如果沒有良善落實的管理制度輔助,將無法有效地發揮其功能。 結語 在這科技日新月異的時代裡,不管對個人、企業及政府機關來說,除了可享受行動網路所帶來的各樣便利外,我們仍須關注隨之產生的資訊安全性議題,並做好準備來因應。這樣才能使行動網路在安全的保障下,創造出最大的成果,並避免資安事件而受害。(作者目前擔任凌群電腦專案管理及技術服務處專案經理) 參考資料 ‧柴惠珍,”行動網路安全 資料保險推動”,行政院科技會報辦公室,2014台灣網際網路趨勢研討會。 ‧叢培侃,”行動安全防護與偵查實務探討”,中央研究院,2014台灣網際網路趨勢研討會。 ‧吳韶卿,“擁抱IT消費者化、釋放無限商機”,趨勢科技,CSA Taiwan Congress 2012。