如何突破防盜版的管理困境(上)
近年來大部分企業都已經認知使用正版軟體的重要性,卻由於長期的積習總是會有同仁有意或無意間使用盜版軟體,成為資安的漏洞,也給企業帶了巨大的資訊安全風險。企業雖然想方設法對盜版軟體展開防制和管理,但目前大部分的工具或系統並不是針對盜版軟體安裝和使用的偵測、防制來設計,透入很大的資源還是存在很多漏洞,需要不一樣的管理方式。
一, 盜版軟體因何而來?
現代企業的工作型態幾乎無時無刻離不開個人電腦,而電腦的使用從一開機開始就需要用到各式各樣的軟體,包括管理電腦硬體操作使用的 '作業系統(Operating System)',用於開發程式的 '電腦語言'、'公用程式',或是提供我們日常工作的應用軟體,如文書處理、試算表、簡報、網頁瀏覽、社群通訊軟體、繪圖軟體及影像處理軟體,或是資料庫軟體等,還有為特殊目的設計企業專用的商業軟體如 ERP、CRM、PLM等,這些軟體的使用可以大幅提高個人及企業運作的效率。
另外還有各種電腦輔助設計(CAD/CAE)或電子設計自動化(EDA)軟體已為各個企業以及廣大工程技術人員所熟悉,這類特殊軟體的應用不僅是衡量企業產品開發、設計、製造能力和技術先進性的重要標誌,更進一步影響著企業在激烈的市場競爭中的生存空間和發展潛力。
軟體成本不一而足,甚至有些可以免費取得,但大部分有特殊功用的軟體都不可能免費,譬如大量被使用的桌面應用及繪圖軟體,或是主流的CAD/EDA軟體,它們的價格昂貴。早期大部份企業無力承擔全部正版化的費用,盜版的使用十分普遍。近年來大部分企業都已經認知使用正版軟體的重要性,也紛紛對盜版軟體展開管理,但卻由於長期的積習總是會有同仁有意或無意間使用盜版軟體,成為資安的漏洞,也給企業帶了巨大的資訊安全風險,主要表現在以下幾個方面。
1. 大部分高階軟體內建的保全設計,一旦聯網就會收集到這些授權軟體的使用狀況,可以完全掌握盜版軟體使用。再搭配軟體原廠授權時合約上列明的稽核機制,會成為原廠處理盜版軟體重要的證據。
2. 盜版軟體可能本身帶有病毒和木馬程式,有對企業內網電腦造成系統或檔破壞的風險,這種事件一旦發生,後果不堪設想。
3. 盜版軟體所形成的文件檔,內含有一些關於電腦的附加資訊,這些檔一旦流到公司外部,會造成公司資訊的洩漏。或是有些軟體,如果用正版軟體打開由盜版軟體所產生的文檔,軟體會報警,這樣會造成對外合作開發時,損害公司的名譽。
二, 反盜版軟體管理的工具
對於正版軟體合規使用管理,以及如何偵測盜版軟體的安裝和使用是現今企業反盜版資安管理的一大課題。目前市面上最常用的反盜版管理工具,一般都以通稱 IT資產管理工具(Gartner 定義為 ‘ITSM’ 終端安全管理系統,如 SmartIT, WinMatrix, OCS…)來處理。不過這裡所稱的「資產」其實是以硬體為主的資產及安全管理系統,原來的目標並非針對軟體合規使用的偵測。對於軟體,這種工具是以「黑白名單」管理為主。「白名單」是以公司內有申請使用特定軟體使用授權的使用者名單為基礎來比對,「黑名單」則以那些軟體不能使用為基礎來管制。維護黑白名單,管理員最困擾在它是一項耗費人力,又無法即時更新的管理程序,導致無法精準獲得不合規資訊。但其實更大的潛在風險,是這種工具對軟體的管理太粗放,面對現在不時更新的軟體授權規則無法與時俱進,存在很大的管理漏洞。
要解決這個困擾,就需要用 SAM (Software Asset Management, 軟件資產管理) 工具來處理。由字面定義就可以知道SAM管理的對象是軟體,Gartner 這樣定義SAM:『SAM為有助於優化軟件和 SaaS (軟體即服務 Software as a Service) 支出的產品,同時支持維護軟件許可和 SaaS 訂閱使用權利合規所需的任務自動化。 SAM 工具通過解析軟件許可權利的使用、自動收集軟件使用數據、建立對特定供應商的有效許可證 (ELP)、管理軟件資產、優化軟件價值,並將對軟件資產的深入分析和管理信息提供其工具和利益相關者共享。』
Gartner原文連結:https://www.gartner.com/reviews/market/software-asset-management-tools