於資訊安全領域擁有 25 年經驗的 IBM 的全球資訊安全部門資深安全總顧問 Diana Kelley 日前就近年度受到討論及關注的物聯網與 BYOD 的資安措施發表意見。Kelley 長期與 IBM Security 產品管理團隊密切合作,並曾為 IBM X-Force 撰寫報告,於多個資安網站上發表文章。
Diana 指出其工作主要著重於消費者層面,確保他們得到的產品均具完善的資安保障、沒有漏洞,且會就相關資安組織與第三方廠商合作,推動共通資安標準。防毒公司一般會根據已知的惡意程式特徵碼,以揭露惡意程式;但作為企業資安人員如 Diana 而言,更著重於軟件行為的監控。並會針對軟件的 IP 連線作出診斷。
物聯網含巨大潛力同時安全防護不能馬虎
IBM 提出的物聯網模型,具有不同的層次,Diana 提到他們會注重不同層次所面對的安全議題,並對期一一提出對應的安全防護措施。
由於物聯網的概念為各種裝置均會連上網絡:除家中的家具外,醫療等專業環境的器材亦會加入,令物聯網的資安更不容錯誤,各界都必需確保其裝置安全運作。故此若物聯網需要於醫療器材領域普及運用,安全問題為首項需要解決的問題。
BYOD 的風潮意味企業需訂明相關管理規章
現時各企業均歡迎 BYOD,甚至為節省支出成本而鼓勵員工自行購買,如自行攜帶手提電腦。Diana 認為企業需建立明確的公司規定,以確保資安概念未如完善的員工亦不會因疏忽而導致企業受連帶的風險所影響:如網路、設備中毒,被外部入侵等。
另外,Diana 亦認為可以於各種 BYOD 的裝置上引入 sandbox,將公司相關的資料儲存在其中,一旦員工離職後就能直接刪除,避免公私資料儲存不明、意外流出的情況發生。
夥伴交換情報,對手亦正通風報信
大家都知道合作的好處,黑客亦不例外:如 Heartbleed 被發現時,黑客領域中就有通風報信的行為,提醒其「夥伴」要把握關鍵的數小時進行入侵,在漏洞被堵塞前完成。
未來世界資安防護的環境
Diana 指由於未來發展將為裝置越來越多,攻擊者的能力亦將越來越強大;但與此同時攻擊者留下的蹤跡亦同時增加,黑客來源的追查亦相較擇容易。而當情報日益增加,亦有助針對情報作出更敏捷的反應。
(本文由 TechNews 授權轉載)