根据Gartner于2013年第一季全球智能型手机操作系统终端销售量统计,Android市占率已成长至74.4%,远远超过iOS的18.2%。IDC近期公布全球平板与桌上型计算机的分析报告则显示,平板计算机今年预估总出货量将成长33%,并且在2015年将正式超过PC。
各式的移动设备可为移动工作者带来便利性,同时也增添了IT管理上的挑战。但普及率之高,已是无法抵挡的应用趋势,众家防毒软件厂商也相继基于过去在桌面端管理所累积的经验,进一步扩展到移动设备安全控管。
威胁集中于主流平台
就企业端应用来看,芬安全(F-Secure)大中华区总代理商翔伟资安科技总经理杜世鹏观察,移动设备平台中目前应用层面较广泛的系统的确是以Android为主。虽然仍有许多商务或中高阶主管偏好iOS系统,却因其封闭的特性,实用价值略显不足。而Android具开放与高自由度的特性,造就其成为移动设备世界中最多人应用的平台系统,相对的,安全威胁也最多。
巴斯基技术支援中心工程师刘沂政指出,据卡巴斯基实验室(KasperskyLab)针对移动设备威胁感染平台统计,属于Android系统的威胁就占了93.94%之高,几乎已是黑客制造恶意程序的首要标的。从威胁型态来看,以“Trojan-SMS”为首的木马程序占多数,其运作机制是会自动背景发送付费简讯,只是金额不大,除非用户每个月查询通联明细,否则不容易发现。其次是传统木马程序,目的在于窃取资料,象是联络人、邮件账号等,一旦使用者连上网络,就会被打包传送到恶意程序中继站,使用者根本无从得知。
对此,湛扬科技总经理史脉蒂即指出,近年来所发现的恶意程序已逐渐趋向获利为目的,看准了有人潮就会有商机,因此以最多人使用的操作系统、应用程序为主要研究目标,建立可获利的商业模式,才会造就网络地下经济犯罪的兴起。杜世鹏亦认为,地下经济的兴起的确是重要的威胁来源,但细看黑客攻击事件,在个人端的设备较容易遭受到的是诈欺,象是钓鱼网站、简讯内容夹带恶意连结、自动发送付费简讯等。商务人士警觉性相对较高,不会轻易点选非正常管道取得的连结,因此才会发展出目标式攻击模式,来窃取机密档案或情资。
集中管理完整防护
横跨企业端与消费端产品线的卡巴斯基实验室,因应企业所面临移动设备控管需求,所研发设计的KasperskySecurityforMobile,从一开始的安装部署、设备管控、防窃盗,到资安防护、应用程序控管派送、资料加密等机制,可说是安全与管理兼备。刘沂政表示,产品设计初期,就是针对员工于公务上使用智能型手机时常见的行为模式,例如收发电子邮件、连接计算机上网、记录公司资料、连接企业内部网络存取资料等方面来发展。
为了简化IT管理者部署移动安全防护机制的麻烦,不管是虚拟环境、服务器、端点设备以及移动设备,皆可整合到卡巴斯基安全管理中心(KasperskySecurityCenter)单一控管平台。管理者可藉由邮件或简讯发送该部署程序的连结位置,使用者只要点选后即可自动下载与安装,之后只需经由卡巴斯基安全管理中心来检视使用者是否确实安装即可,不需人力介入操作设定。
安全防护除了基本防病毒机制外,还有网页防护与过滤(WebFilter)功能。其内建提供十六项非生产力网站的分类项目,例如若公司政策不允许员工使用Facebook等社群服务,只要在设定画面中勾选后即可自动过滤。无论员工的网络连线是透过内部无线基地台,或是直接从电信网路连接,只要设备上的KasperskySecurityforMobile侦测比对为禁止连结的网址,就会被拦阻,同时留下记录。对于常见被黑客利用获利的垃圾简讯,同样可进行过滤。此外,亦添加MAM(MobileApplicationManagement)机制,也就是针对App存取档案行为进行限制,例如指定LINE收到的档案都必须经过加密传递,尽管只是一般.txt的文字档,此份档案就只能从LINE开启,其他App即使开启也只能看到乱码。以避免企业重要资料因App可任意存取而外泄。
至于设备本身提供的功能项目,象是制造业对设备上具有相机功能较敏感,就可透过政策规范的设定,强制锁定蓝牙、相机、网络等硬件功能。只是目前功能可最完整发挥的系统平台只有Android,刘沂政表示,虽然WindowsMobile、Symbian、iOS、BlackBerry系统都可支援,但实际可执行的防护功能仍然受到各系统平台本身的限制。
幕后防御不干扰用户
尽管智能型手机普及率高,可应用范围相当广泛,但商务人士或移动工作者主要对外沟通管道仍旧相当仰赖电子邮件。杜世鹏认为,在移动设备上监控电子邮件附加档案开启的动作,以及浏览网站的网址是否为恶意连结,可说是最必要的防范机制,在F-SecureMobileSecurity8版本均已具备,跟其他类似产品的作法较不同的地方在于,F-Secure大部分的安全控管动作都是在背景执行,以尽量避免干扰使用者为核心理念设计防护机制,而不是直接强制关闭应用程序执行等方式处理。
他进一步说明,F-Secure主要是搭配行为模式数据库,自动判断并调整防护等级。一旦发现有中毒或非法行为发生,会主动通知管理者处理,而不是在使用者端不断出现警告讯息干扰。“终端用户关注的是病毒或恶意程序要『扫得到、清得掉』,其他更多琐碎的功能,只是在规格书上看似好用,对于商务人士而言并不实用。终端用户期待的是在事件发生时能及时察觉并处理,如果连这件事都做不好,提供再多的功能都是枉然。”而F-Secure这家防毒厂商的特色是拥有多引擎与多数据库。
所谓多数据库意思是按照不同资安威胁分类处理,例如档案、网页、木马、间谍程序等不同来源,近年来更进展到云端平台。而引擎的部份是跟诺曼(Norman)合作提供沙箱式(Sandbox)防御,且在四年前就已将该专利技术整合至F-Secure。在移动设备方面,目前F-Secure会着重在档案、网络连线行为侦测、系统核心安全性,至于资料外泄防御等安全机制,则会是未来新版本的发展方向,待确认功能运行不致影响运作设备效能后才会正式推出。
CIO之家 www.ciozj.com 公众号:imciow