公布日期：2019-05-27 發布單位： 資訊科  
資訊設備端點安全在公務部門及企業IT的管理上並不是什麼新鮮議題，其中盤點資安五大風險，仍以資訊設備端點的問題最多。

近年來拜行動科技的成長，公務部門及企業員工使用智慧型手機、平板電腦等智慧行動裝置的數量大幅增長。雖說如此，但在追求高效率作業的領域則仍然多購置個人電腦主機或筆記型電腦，這些端點裝置透過網路連接彼此，也與公務部門或企業內部的伺服器等系統連接。 端點安全泛指多種安全措施，大致上可以歸納於網路安全之下。

端點安全措施指的是在他人透過遠端、無線或行動裝置 (如筆記型電腦、平板電腦和行動電話) 存取企業網路時，用於確保企業網路安全的措施。單是 2018 年就有將近 1 億次的網路入侵事件，由此可見網路安全的重要性。端點安全管理則是實施一組定義安全等級的規則，限制每部連接企業網路的裝置都必須符合規範。這些規則可能包括使用核准的作業系統 (OS)、安裝虛擬私人網路 (VPN) 或執行最新的防毒軟體。如果連接網路的裝置不具備理想的保護等級，就可能必須透過來賓網路連線，而且只能享有有限的網路權限。

根據市場調查機構Forrester於2015至2017年的統計指出，企業外洩或遺失重要資料，有很多時候都是端點設備出狀況導致的，這其中主要有五大資安風險：包含未授權的存取、使用公共的WiFi等五大端點風險，都可能對企業整體資安造成重大衝擊。以下概述風險分類：

一、未經授權的裝置存取 (Unauthorized Device Access) 公務部門或企業的端點電腦，如未設置帳號密碼登入，很有可能遭人直接存取資料，造成機密資料外洩的風險。一般來說中小企業會設置單一電腦帳號密碼管控。

公務部門或較大型的企業則設置微軟（Microsoft）主動式目錄伺服器登入(Active Directory，簡稱AD)，以OU的方式來建構不同部門的帳號密碼。除了清楚的分類出各單位外，主動式目錄伺服器易能做為日後帳號單一簽入登入的後續支援使用。 主動式目錄伺服器雖然方便，但若當駭客取得了主動式目錄伺服器中較高權限帳號與密碼後，就可以取得許多電腦控制權，如駭客開啟了遠端連線設定，即連線至主動式目錄伺服器中任何一臺伺服器或電腦，亦是高風險之所在。

在這個高資安風險的資訊世代，除了帳號密碼保護外，仍有其他許多安全機制可供使用，例如指紋及虹膜等生物識別技術也受到廣泛應用，不少品牌的商務型筆記型電腦可支援多種生物特徵辨識認證，包含臉部辨識與指紋識別等，並有間諜防範技術可阻止有心人士窺視、存取機密資料，而在Input及Output的部分，也能以硬體的方式限制連接埠存取，避免駭客透過USB埠竊取資料(即未經驗證的USB無法存取該設備資料)。 除了筆記型電腦外，現今最廣泛使用的智慧型手機除了支援帳號密碼外，也紛紛可使用臉部辨識登入及指紋辨識技術登入，可開啟多重防護將遭盜用之門檻一併提高。

二、使用公共的WiFi (Using Public WiFi) 這邊要先提到的是中間人攻擊（英語：Man-in-the-middle attack，縮寫：MITM），在密碼學和電腦安全領域中，是指攻擊者與通訊的兩端分別建立獨立的聯絡，並交換其所收到的資料，使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話，但事實上整個對談都被攻擊者完全控制。在中間人攻擊中，攻擊者可以攔截通訊雙方的通話並插入新的內容。在許多情況下這是很簡單的（例如，在一個未加密的Wi-Fi 無線存取點的接受範圍內的中間人攻擊者，可以將自己作為一個中間人插入這個網路）。

舉例來說，自家申請的電信線路，多半會附贈免費的無線網路服務，而民眾如果未自行設定密碼，可能會讓人直接連線成功；連鎖速食店、咖啡廳等場所常提供免費的無線網路服務也是如此，這些無線網路大多沒有設定加密，很容易會讓有心人士從中竊取資料。這些「中間人」(Man-in-the-Middle, MitM)會蒐集公共無線網路上所傳輸的訊號，並從中解析出各種資料內容，特別是像登入系統的帳號與密碼、信用卡號等值錢的重要訊息。 Wi-Fi 通訊協定以及無線網路設備都可能存在著已知的安全漏洞，包括系統管理帳號安全性不足以及 Telnet、Universal Plug and Play (UPnP) 以及 Secure Shell 等內建功能的漏洞，這些都是殭屍病毒 (如 Mirasi 及其變種) 最喜歡利用的入侵途徑。舉例來說，網頁式系統管理介面經常會出現可略過認證步驟的漏洞，使得任何人都能進入其管理介面。

連網裝置預設組態不佳、出廠預設密碼太弱、加密強度不足，這些都是 IoT 裝置甚至網路遭到攻擊最常見的因素。每個連上網際網路的裝置都是駭客可能利用的入侵點。例如，假使監視攝影機在連上 Wi-Fi 網路時並未使用加密傳輸，那麼駭客就能偷窺攝影機所拍到的內容。 駭客攻擊時只需具備適當的裝置與工具、足夠的網路流量即可成功。攻擊時，駭客可以假裝正在用餐點、飲品，或者在講電話，或是正常的坐在星巴克用電腦，任何人從外觀來看都不會發現，因為他們的活動看起來就像正常人一樣：只要將裝置藏在包包裡，即可得手。

三、從未經授權的來源下載應用程式或軟體(Downloading Applications/Software from Unauthorized Sources) 「不要下載來路不明的軟體或應用程式」絕對是資安防護的首要觀念。以智慧型手機為例，不論是 Ios還是Android系統，下載 App 擴充功能是現代智慧型手機必備條件。消保處從2017年10月至2018年5月透過Android以及iOS兩大系統平臺，選定包括線上購物、保（壽）險類、線上支付類及線上購票等15款Apps，依經濟部工業局公告「行動應用App基本資安檢測基準V2.1」進行檢測，首次測驗卻全數都沒通過這項基本資安檢測。面對琳瑯滿目的Apps，民眾並不知道自己開放什麼樣的手機權限給所下載的應用程式，許多駭客會提供加料的軟體供人下載，裡面可能夾帶病毒或木馬程式，一旦下載啟動或安裝後，就會為駭客開啟後門，讓駭客透過網路入侵手機或電腦的內部系統，資料外洩事件的起因大多是下載了這些未授權的軟體所導致的。

四、意外損害(Accidental Damage) 相較前面三大風險，設備因為外力意外損害的非控制因素很多。例如資訊設備因天災(水災、火災、地震…等)造成CPU、主機板、硬碟上的損傷，以致於可用性下降。智慧型行動裝置則可能因為保存不慎，於路上行走或各種意外因素飛出，導致手機或電腦損壞無法使用，可算是意外損害的一環。

五、裝置被盜、遺失(Device Theft/Loss) 即如其名，裝置或設備因他人的偷竊或自己的疏忽導致遺失。若行動裝置在外整臺遺失或遭到盜走時，不僅有儲存資料與硬體設備的財產損失，資料也可能輾轉被有心人士盜用。例如近期美國與華為的各種糾紛即是，許多公司行號的筆電或平板電腦都曾發生設備遺失後，機密資料或個資檔案流落黑市等情況，在臺灣個資法、歐盟GDPR等規範下，侵犯個資的罰則非常重，設備遺失的風險很可能導致讓企業一整年白做工。 如今的網路犯罪集團在利益驅動下，勢必持續為害，類似WannaCry這類採用舊技術的新手法，未來還是會不斷地演變出更刁鑽的方式。

以防毒軟體為核心建構的端點安全保護平臺解決方案，更是為了迎戰資安威脅的轉變，紛紛祭出新世代產品，運用漏洞防護、應用程式管控、機器學習等技術，提供事前防禦、事中攔阻，以及事後偵測與回應，協助公部門單位及企業面對各種新型態威脅。