目前ATM盜領案發生已經忙翻金融IT單位,之後又陸續有企業的資訊系統遭駭客入侵且放話勒索;BYOD已經在企業普及,隱藏在App內的惡意程式碼更是資安最大的隱憂,這些藏有惡意程式碼的應用可讓手機成為監聽站,還會將程式碼埋在系統中,控制權限,再透過受感染的App連到企業伺服器,進一步威脅癱瘓整個IT環境。
傳統以PC為跳板的攻擊路徑在行動應用普及後危險性加劇,作業系統或程式碼漏洞、使用有漏洞的SDK、安裝有漏洞的第三方App、或App被當成熱點分享網路等,都讓駭客有機可趁。趨勢科技研究團隊日前發現,透過感染行動裝置進一步取得路由器控制權的駭客攻擊事件的次數,台灣在全球名列前茅;在趨勢科技最新發布的報告指出,在Google Play應用商店中,400多款App內隱藏惡意程式碼,這些藏有惡意代碼的應用可使感染手機變成監聽站,用戶敏感資料隨時都有外洩潛在風險。
建立行動VPN,是否能有效隔離個人和公司應用環境存取,阻隔這些潛在的資安風險呢?行動工作者透過VPN來存取內部應用系統,一旦行動裝置啟動VPN通道,反而打開方便之門,更讓駭客可長驅直入,一旦VPN通道建立後,任何App皆可進入企業內部,當一個系統遭入侵,其他系統也無法避免遭波及,損失更難以計數。
越來越多企業導入行動管理平台,管理公司業務有關的行動裝置、應用和內容的安全,結合公司應用情境如門禁系統;智慧安全通道(AirWatch Tunnel)提供安全的方式,讓內部與公共應用程式都可依個別狀態,存取在安全內部網路的企業資源,設定僅允許特定App可以使用VPN通道。
如果駭客功力高強,即使不是透過手機入侵,可能是應用成是漏洞,還是掌握了某個重要的應用系統,IT還是可以將災情控制到最小的範圍;傳統IT架構的安全防護僅著重邊界防護,但現今多數IT環境已經虛擬化,IT部門也面臨雲端環境的資安挑戰,各個虛擬機器都要求獨立的保護。透過網路及安全虛擬化管理技術「微分段」(Micro-Segmentation),為個別工作負載提供精密的安全性,實現更安全的資料中心;安全性原則隨工作負載一併移動,不受網路拓撲中所在位置限制。
整合「智慧安全通道」和「網路虛擬化技術」,可以建立應用程式層防火牆,將分散式防火牆延伸至行動App,可細緻至僅允許某一裝置存取某一服務,例如透過管理平台設定特定某群人才能連接某個虛擬機、只允許某個App能連接到此虛擬機、只允許某個裝置能連到該虛擬機等。細緻化的安全設定,才能做到零信任安全策略期望達到的目標。
(本文作者陳學智為VMware台灣總經理)