【COMPUTEX 2015】IBM 資深資安顧問談物聯網和BYOD 下的公司資安防護

作者 | 發布日期 2015 年 06 月 03 日 16:02 | 分類 資訊安全 follow us in feedly

Computex 除了是硬體大廠展出重要成果,高階主管出席重要活動的時間以外,還有其他領域的重要人士來臺。像是 IBM,他們的全球資訊安全部門資深安全總顧問 Diana Kelley。Diana 她在資訊安全領域有 25 年的經驗,長期跟 IBM Security 產品管理團隊密切合作。而她曾為 IBM X-Force 撰寫報告,以及多個資安網站發表文章。今天很高興來到 IBM 臺灣辦公室,專訪 Computex 期間來臺的 Diana。



大家應該很好奇 Diana 如何憑藉其自身資安專長,為 IBM 的產品以及解決方案提供全方位的,到底跟一般針對消費者提供安全防護的防毒軟體公司,有什麼不同。Diana 指出她的工作主要著重在消費者,確保他們得到的產品具有完善的資安保護,沒有漏同,並且會在相關資安組織和第三方廠商合作,推動共通資安標準。防毒公司一般會根據已知的惡意程式特徵碼,來糾出惡意程式,但他們做企業資安的人來說,他們會著重在軟體行為的監控。他們會針對軟體的連線 IP,假如都連線跑去暗網上的控制中心,那大概就有問題了。

物聯網有巨大潛大同時安全防護不能馬虎

IBM 提出的物聯網模型,具有不同的層次,Diana 提到他們會注重不同層次,所面對的安全議題,一一提出對應的安全防護措施。

ibm-model-for-the-internet-of-things-iot

▲ IBM 的物聯網架構模型

由於各項裝置會連上網路,除了家中的家具以外,還會有醫療器材也會加入,這讓物聯網更加容不得錯誤。以醫療器材為例,一失誤就有可能一條命過去了,影響相當大。大家對自己珍視的東西必需確保安全運作,不會輕易就被破壞。物聯網如果要能在醫療器材領域普及運用,必須解決安全問題。

BYOD 的風潮意味著公司要明訂相關管理規章

各家公司普遍面對 BYOD,甚至為了省錢而鼓勵自行購買,像是自行攜帶筆電。Diana 認為公司要明確確認公司的規定,如果沒有規範則要寫清楚。不然沒有資安概念的人,在公司裡仍舊會用原先的習慣做事情,公司網路、設備中毒、被入侵危害公司資安的事情也不會意外。

另外 Diana 則認為可以在裝置引入 sandbox,跟公司相關的資料存在上面,一旦離職後就能直接刪除,不會有公私資料不明的情形發生。

好人交換情報,壞人也在通風報信

大家都知道合作的好處,像是駭客他們在 Heartbread 漏洞時,就有通風報信,在暗網上的論壇提醒要入侵的話要在這幾個小時,不然大家就知道並且防堵漏洞了。

未來的資安防護,會是什麼光景呢?Diana 提到時代一直變得很快,以現在發展來看就是裝置越來越多,攻擊者的能力也越來越強大,但是攻擊者留下的蹤跡也越來越多了,追查之下也能找到來源,最後找到攻擊者。情報越來越多,也要能夠針對情報能更敏傑反應。

很可惜 Diana 得遵循公司的規定,上班時間得做跟公司相關的事情,對外發言也得是基於公司立場發言。Sony 影視發生的事情,也不能發表意見。不過我們也藉由 Diana 的口,得知像她這種角色的人,在一家大公司在做什麼。

發表迴響