因公接觸許多已導入或尚未導入資安端點防護系統的客戶,論及資產管理時,常聽到「我公司沒在做資產管理耶」、「我們不用資產管理喔」、「只要把檔案加密就好啦」…,聽起來,資產管理就像是一個選項,然而就資安而言,正是忽略了在資訊安全管理規範(ISMS)中,組織的資產責任、資產分類其實都是重要的控制目標,是企業為了達成、維持組織資產有適當的保護、確保資訊已受到適切等級的保護措施。
員工電腦隱藏了許多資安破口,未積極執行資產管理是主因之一。由於無法詳實掌控資訊軟體、硬體的版本、規格、HOTFIX更新、異動、保管人、異常事件,從而衍生帶來管理問題,持續成為企業資安防線弱點,IT人員亦疲於奔命應付揮之不去的隱藏破口。
軟體不升級、不修補漏洞
一份研究報告指出,近年大部分人還在使用平均6年的電腦,而使用舊電腦可能使軟體更新變得更加困難。例如,想省錢、沒有額外升級預算,舊程式、軟體可能無法在最新版的電腦作業系統下運行,且停止支援的過時舊軟體是駭客最好的朋友,惡意攻擊者善利用存在的漏洞,進行犯罪行為。通常已知的漏洞會迅速成為攻擊目標,在消息被發布的24小時內就開始有大量攻擊(零時差攻擊),因此,越多人使用、受歡迎的軟體,越要保持更新,避免成為駭客的目標。
微軟定期發佈安全性更新和軟體修補程式以關閉這些漏洞,忽略這些重大更新就像家門上了鎖、但窗沒關一樣有漏洞,IT人員如何能有效掌握內部更新的狀況十分重要。
然而想要能隨時掌握員工電腦的軟體版本、修補程式,光勤靠人工、免費工具收集是很難適用於企業組織的;IT人員需要自動化系統落實定期排程掃描、收集軟體資產、硬體資產、漏洞更新,並能記錄及盤點軟體、硬體各項異動、派送更新,還需要能定期產生軟體、硬體資產報表。
工作電腦公私不分
防毒業者一份調查報告顯示,有近四成的員工會使用個人裝置來存取企業資料。由於工作與家庭生活的界線正日益模糊,相關個人裝置、智慧家庭裝置與應用程式將會是企業網路資安防線的一大弱點。潛伏在組織中的私人裝置,不僅在上網安全防護方面不如企業所配發的設備,且通常不具規範的基本密碼保護,易擁有大量未更新、非法應用程式,一旦暴露於未保護的網路環境,就成了資安弱點。
也曾聽聞長期未具資產管理的客戶表示,員工為保障自己,將大量檔案存放在公司的個人電腦中,不願意主動歸檔到公司檔案伺服器上,而公司也畏懼得罪元老級員工不敢輕易做改變的窘況。
未經授權裝置存取內部網路
在缺乏良善管理的客戶公司內,攜入的私人電腦,不僅能以網芳存取公司機密資料,也易成非法跳板、駭客的溫床。一般員工具微軟ACL存取權限後,就可以私人電腦、裝置,透過網芳存取資料,除非公司有其他網路機制、認證方式,否則很難防守住機敏資料的外流。
針對私人電腦及裝置,要能定期掃描軟體資產、硬體資產,能區分出未安裝端點防護系統的電腦,對於企業而言,並非管控了USB、管控上網就足夠,組織內部的各伺服器,如何有效防止具權限之私人電腦裝置的網芳存取、攜出,都要靠專業系統來協助IT管控、記錄及防護。
私拆裝設備、私裝軟體
員工私自更換公司設備的零組件、週邊,或私自加裝硬碟,或將硬碟串接到私人電腦,拷貝走公司資料,都是公司資產的損失及洩密方式。
員工私裝軟體,造成版權問題帶來巨額賠償、影響公司聲譽已非新聞,更甚者是這些非法下載、盜版的軟體更是駭客、漏洞的重要來源,引進病毒、勒索軟體、跳板攻擊,都會嚴重造成企業營運中斷的風險。
IT人員透過有效的系統工具,能防止硬碟串接資料外洩、私自拆裝設備;透過資產的定期掃瞄、盤點,也能掌握軟硬體安裝、移除記錄,避免造成侵權問題,造成損失動搖國本。
工欲善其事,必先利其器
以上淺談了員工電腦隱藏的資安破口,多來自於一向低調的資產管理,IT人切勿大意,須小心應對,要知道資產管理是資安防護的重要基礎之一,選擇有效、穩定的端點防護、包含資產管理的系統,並且不能輕易的被員工反安裝移除,才能以符合資訊安全系統規範的PDCA方式,來持續改善公司的資訊安全隊。