[產業經驗] 黑莓機打擊行動Java 惡意軟體

隨著智慧型手機的普及率和功能提昇,行動技術也逐漸成為惡意軟體攻擊的目標。業者討論這類惡意軟體的潛在影響已有多年,其對企業資產和資料的威脅實已逼近眼前。各組織與他們的客戶們除了須採取妥善的預防措施以保護自己免受攻擊,同時也需確保用戶能完整獲得使用行動裝置所需的工具與服務。

隨著智慧型手機的普及率和功能提昇,行動技術也逐漸成為惡意軟體攻擊的目標。業者討論這類惡意軟體的潛在影響已有多年,其對企業資產和資料的威脅實已逼近眼前。各組織與他們的客戶們除了須採取妥善的預防措施以保護自己免受攻擊,同時也需確保用戶能完整獲得使用行動裝置所需的工具與服務。

行動惡意軟體可被歸類為是惡意設計來破壞行動裝置如手機的應用程式。目前智慧型手機的第三方應用程式大多以Java 程式為主,可能造成的威脅舉例如下:

病毒會附在手機的正常應用程式上並進行複製。
木馬程式: 會偽裝或藏在看似無害或可信賴的應用程式中。木馬程式的傳播途徑和手機用戶的使用情況息息相關,主要透過社交活動,而非經由目標裝置在安全設計及結構上的漏洞。

蠕蟲:會自行複製且散播在各網絡上, 並可能覆蓋整個電腦系統。蠕蟲是自給自足的程式, 無需附在另一個程式底下即可進行散佈。

間諜軟體:被設計來記錄裝置使用者的動態和個人資料, 並將其傳送給駭客。換言之, 駭客經常利用惡意軟體進行攻擊並藉此竊取個人和企業資料,製造「拒絕服務」狀態來癱瘓企業網路, 或藉此透過公司的手機入侵企業網路。

反惡意軟體攻擊的危機管理

為了減少遭受惡意軟體攻擊的風險,企業的IT管理者首先需要設計安全的網路架構,並妥善部署安全政策。而在規劃和架設公司網路時,則需設定安全政策以保護網路元件,在與多種外部網路,如網際網路、外部系統及其他如BlackBerry 智慧型手機等網路客戶端連結時避免其遭受攻擊。

IT 管理人員亦可考慮以防火牆將公司網路架構區分為不同的數位區間,並對內外部用戶進入各區間的權限進行管制。此作法可能需要配合多種安管產品和方法, 來管理各內部網路區間及網際網路的進出通道。

由於安全措施的設計應該包含保護公司網路和裝置的安全,每支連結公司網路的智慧型手機上皆需加裝安全解決方案的配套及相關安全政策,以完整維護並實施公司網路安全政策。

防禦惡意軟體的偵察與封鎖

在電腦上,如要預防惡意軟體攻擊,方法是對其進行偵察與封鎖。偵察在於檢測程式是否為惡意軟體,這個步驟需要具備完整並經常更新的近端資料庫,或與類似的合格網路資料庫保持連線,始能有效進行。然而以目前的科技,行動裝置無法如電腦般建立惡意軟體的防護資料庫,一來是儲存空間有限,二來是無法確保隨時處於上網連線的狀態。

因此,在行動裝置的安全部署上,封鎖是最佳的選擇,亦即斷絕所有導致資訊外洩的可能。因為雖然智慧型手機目前已被視為和筆電一樣重要,其功能和可能面臨的風險卻截然不同。例如,手機的電池壽命、儲存容量和處理效能十分有限,體積較小也容易遺失。因此,封鎖策略可確保手機即使在資源受限的情況下,仍能有效防止惡意軟體的攻擊。

據此,解決方案如BlackBerry Enterprise Solution就能夠透過控制第三方Java程式對手機資源和其他應用程式的存取,利用IT政策、應用程式控制政策,與密碼輸入等方式來封鎖惡意軟體。這些封鎖方法是專門設計來防止惡意軟體藉由破壞智慧型手機、應用程式、資料,或公司網路,以侵入裝置。

實施有效的政策管控

IT 管理者應該針對第三方Java 應用程式在手機上的安裝許可,設定控制政策規則,以限制第三方Java 應用程式在下列功能的權限:存取智慧型手機重要資源,如包括email、電話,和行事曆;與本機、內部與外部網路建立連線的方式,及對智慧型手機定位資訊的存取 。

舉例來說,駭客可採取下列流程,利用裝置上的第三方Java 程式來控制企業內部伺服器的連線:一、確定已啟動「允許內部連線」的IT 政策;二、建立一個應用程式控制政策,來防止應用程式自指定處進行內部連線;三、將此應用程式控制政策應用在單一使用者或某使用團體的軟體組態上。

實施網路分區架構

可將企業網路或區域網路(LAN)用防火牆區分為數個網路區段,透過各個企業網路區段的流量管制,過濾非屬於該區段的數據,將會有助提升該網路區段的安全性與效能表現。

若要在數個網路區段上安裝智慧型手機管理方案的話,IT管理者必須先在遠端電腦上安裝各個管理元件,再將管理元件配置在所屬網路區段。這種根據網路分段架構安裝管理元件的作法,是為了預防惡意軟體在攻擊遠端電腦的元件後,又透過公司區域網路轉移至另一臺電腦。

保障未來

無庸置疑地,在未來數月甚至數年間,行動惡意軟體攻擊事件將會越來越多。隨著產業持續保護手機技術和提升解決方案的防護力,資深的IT管理者們也將繼續擬定反映各公司安全規範與道德的政策,以謹慎部署和管理行動科技。更應注意的是,業者宜同時兼顧手機的安全性和實用性,畢竟一個過度受限的行動平臺組態,將會影響裝置的功能性與實用性;然而相對的,過少的安全措施部署,意味著行動裝置中的重要資訊將更容易受到攻擊。

對於希望確保公司行動安全的管理者而言,若要成功防止惡意軟體攻擊,就必須確保Java應用程式已經過安全程序設定(sandboxed),安全管控皆到位、防止用戶下載遭到病毒感染的第三方應用程式,更需實施網路分段以確保攻擊成功遭到封鎖。

(作/RESEARCH IN MOTION 亞太區副總裁勞偉強)
(…未完,更多精采內容請參閱網路資訊雜誌225期8月號)

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416