2019年你應(yīng)該認(rèn)真對(duì)待這7個(gè)移動(dòng)安全威脅 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2019-03-16 瀏覽次數(shù): |
信息來源:51cto 如今,移動(dòng)安全是每家公司最擔(dān)心的問題——而且理由很充分:幾乎所有員工現(xiàn)在都經(jīng)常使用智能手機(jī)訪問公司數(shù)據(jù),這意味著讓敏感信息不落入壞人之手是一個(gè)越來越復(fù)雜的難題。可以說,風(fēng)險(xiǎn)比以往任何時(shí)候都要高:根據(jù)波耐蒙研究所(Ponemon Institute) 2018年的一份報(bào)告顯示,企業(yè)數(shù)據(jù)泄露的平均成本高達(dá)386萬美元,這比一年前的估計(jì)成本高出6.4%。 雖然人們很容易把注意力集中在惡意軟件這個(gè)轟動(dòng)一時(shí)的話題上,但事實(shí)是,手機(jī)惡意軟件感染在現(xiàn)實(shí)世界中極其罕見——根據(jù)一項(xiàng)估計(jì),你被感染的幾率大大低于被閃電擊中的幾率。這要感謝移動(dòng)惡意軟件的本質(zhì),以及現(xiàn)代移動(dòng)操作系統(tǒng)內(nèi)置的固有保護(hù)。 更現(xiàn)實(shí)的移動(dòng)安全隱患存在于一些容易被忽視的領(lǐng)域,隨著2019年的到來,這些問題預(yù)計(jì)只會(huì)變得更加緊迫: 1. 數(shù)據(jù)泄漏 這聽起來像是機(jī)器人泌尿科醫(yī)生的診斷,但數(shù)據(jù)泄露被廣泛認(rèn)為是2019年企業(yè)安全最令人擔(dān)憂的威脅之一。還記得那些幾乎不存在的被惡意軟件感染的幾率嗎?好吧,根據(jù)Ponemon的最新研究,當(dāng)涉及到數(shù)據(jù)泄露時(shí),公司有近28%的幾率在未來兩年內(nèi)經(jīng)歷至少一次事件——換句話說,幾率超過四分之一。 是什么讓這個(gè)問題特別棘手?因?yàn)樗举|(zhì)上并不是邪惡的; 相反,這是用戶在無意中做出了不明智的決定,決定哪些應(yīng)用程序能夠查看和傳輸他們的信息。 Gartner移動(dòng)安全研究主管Dionisio Zumerle說:“主要的挑戰(zhàn)是,如何實(shí)現(xiàn)一種既不會(huì)讓管理員不知所措、也不會(huì)讓用戶感到沮喪的應(yīng)用審查流程?!?他建議轉(zhuǎn)向移動(dòng)威脅防御(MTD)解決方案——如賽門鐵克的Endpoint Protection Mobile,CheckPoint的SandBlast Mobile和Zimperium的zIPS保護(hù)等產(chǎn)品。Zumerle表示,這些實(shí)用程序可以掃描應(yīng)用程序的“泄漏行為”,并可以自動(dòng)阻止有問題的進(jìn)程。 當(dāng)然,即使這樣也不會(huì)總是涵蓋由于公開的用戶錯(cuò)誤而導(dǎo)致的泄漏——一些簡(jiǎn)單的事情,比如將公司文件轉(zhuǎn)移到公共云存儲(chǔ)服務(wù)上,將機(jī)密信息粘貼到錯(cuò)誤的地方,或者將電子郵件轉(zhuǎn)發(fā)給一個(gè)意想不到的收件人。這是醫(yī)療行業(yè)目前正在努力克服的一個(gè)挑戰(zhàn):據(jù)專業(yè)保險(xiǎn)公司Beazley稱,“意外泄露”是2018年第三季度醫(yī)療機(jī)構(gòu)報(bào)告的數(shù)據(jù)泄露的首要原因。在這段時(shí)間內(nèi),這一類別再加上內(nèi)部消息泄露,占所有報(bào)告的泄密事件的近一半。 對(duì)于這種類型的泄漏,防止數(shù)據(jù)丟失(DLP)工具可能是最有效的保護(hù)形式。此類軟件明確設(shè)計(jì)用于防止敏感信息的暴露,包括在意外情況下。 2. 社會(huì)工程 這種屢試不爽的欺騙策略在移動(dòng)端和臺(tái)式機(jī)上一樣麻煩。盡管人們很容易認(rèn)為社會(huì)工程的弊端是可以避免的,但它們?nèi)匀痪哂畜@人的效果。 根據(jù)安全公司FireEye 2018年的一份報(bào)告,91%的網(wǎng)絡(luò)犯罪始于電子郵件。該公司將此類事件稱為“無惡意攻擊”,因?yàn)樗鼈円揽磕7碌炔呗詠砥垓_人們點(diǎn)擊惡意鏈接或提供敏感信息。該公司稱,網(wǎng)絡(luò)釣魚在2017年期間增長(zhǎng)了65%,移動(dòng)用戶因?yàn)樵S多移動(dòng)電子郵件客戶端僅顯示發(fā)件人名稱的方式而面臨最大的風(fēng)險(xiǎn)。 事實(shí)上,根據(jù)IBM的一項(xiàng)研究,用戶對(duì)移動(dòng)設(shè)備上的網(wǎng)絡(luò)釣魚攻擊的回應(yīng)是桌面的三倍——部分原因僅僅是因?yàn)槭謾C(jī)是人們最先看到消息的地方。根據(jù)Verizon的2018年數(shù)據(jù)泄露調(diào)查報(bào)告顯示,雖然實(shí)際上只有4%的用戶點(diǎn)擊網(wǎng)絡(luò)釣魚相關(guān)鏈接,但那些輕信的用戶往往是慣犯:公司指出,如果有人點(diǎn)擊釣魚活動(dòng)鏈接越多,他們就越有可能在未來多次點(diǎn)擊。Verizon此前曾報(bào)道稱,15%的成功釣魚的用戶將在同一年內(nèi)至少再釣魚一次。 “我們確實(shí)看到移動(dòng)計(jì)算整體上的移動(dòng)敏感度普遍上升以及BYOD工作環(huán)境的持續(xù)增長(zhǎng),”PhishMe的信息安全和反網(wǎng)絡(luò)釣魚策略師John“Lex”Robinson說道。使用真實(shí)世界的模擬訓(xùn)練工人的公司識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)釣魚。 羅賓遜指出,工作和個(gè)人電腦之間的界限也在不斷模糊。他指出,越來越多的員工在智能手機(jī)上同時(shí)查看多個(gè)收件箱(連接到工作和個(gè)人賬戶的組合),而且?guī)缀趺總€(gè)人在工作日都會(huì)在網(wǎng)上處理一些個(gè)人事務(wù)。因此,在收到工作郵件的同時(shí)收到私人郵件在表面上看起來一點(diǎn)也不奇怪,即使這實(shí)際上可能是一個(gè)詭計(jì)。 3. 無線干擾 移動(dòng)設(shè)備的安全性取決于它傳輸數(shù)據(jù)的網(wǎng)絡(luò)。在一個(gè)我們都在不斷連接公共Wi-Fi網(wǎng)絡(luò)的時(shí)代,這意味著我們的信息往往不像我們想象的那么安全。 這個(gè)問題究竟有多重要?根據(jù)企業(yè)安全公司W(wǎng)andera的研究,企業(yè)移動(dòng)設(shè)備使用Wi-Fi幾乎是使用蜂窩數(shù)據(jù)的三倍。近四分之一的設(shè)備可能連接到開放且不安全的Wi-Fi網(wǎng)絡(luò),并且有4%的設(shè)備在最近一個(gè)月內(nèi)遭遇了中間人攻擊——其中有人惡意攔截雙方之間的通信。與此同時(shí),邁克菲表示,網(wǎng)絡(luò)欺騙最近“急劇增加”,但在旅行和依賴公共網(wǎng)絡(luò)時(shí),只有不到一半的人愿意保護(hù)他們的連接。 “現(xiàn)在,加密流量并不困難,”Syracuse大學(xué)計(jì)算機(jī)科學(xué)教授凱文杜說,他專門研究智能手機(jī)安全問題?!叭绻銢]有VPN,那么你的周邊就會(huì)打開很多門戶?!? 但是,選擇正確的企業(yè)級(jí)VPN 并不容易。與大多數(shù)與安全相關(guān)的考慮因素一樣,幾乎總是需要權(quán)衡。Gartner的Zumerle指出:“移動(dòng)設(shè)備的VPN交付需要更加智能,因?yàn)樽畲笙薅鹊販p少資源消耗(主要是電池) 是至關(guān)重要的?!?他說,一個(gè)有效的VPN應(yīng)該知道只有在絕對(duì)必要時(shí)才能激活,而不是當(dāng)用戶訪問類似新聞網(wǎng)站或在已知安全的應(yīng)用程序中工作時(shí)。 4. 過時(shí)的設(shè)備 智能手機(jī)、平板電腦和更小的聯(lián)網(wǎng)設(shè)備【通常被稱為物聯(lián)網(wǎng)(IoT)】——對(duì)企業(yè)安全構(gòu)成了新的風(fēng)險(xiǎn),因?yàn)榕c傳統(tǒng)的工作設(shè)備不同,它們通常不能保證及時(shí)和持續(xù)的軟件更新。在安卓方面尤其如此,絕大多數(shù)制造商在保持產(chǎn)品更新方面都令人尷尬無效,無論是操作系統(tǒng)(OS)更新還是每月更小的安全補(bǔ)丁,以及物聯(lián)網(wǎng)設(shè)備,其中很多甚至沒有設(shè)計(jì)為首先獲得更新。 杜說:“他們中的許多人甚至沒有內(nèi)置補(bǔ)丁機(jī)制,而這在如今正成為越來越大的威脅?!? Ponemon表示,撇開攻擊可能性增加不提,移動(dòng)平臺(tái)的廣泛使用提高了數(shù)據(jù)泄露的總體成本,而大量與工作相關(guān)的物聯(lián)網(wǎng)產(chǎn)品只會(huì)導(dǎo)致這一數(shù)字進(jìn)一步攀升。據(jù)網(wǎng)絡(luò)安全公司雷神介紹,物聯(lián)網(wǎng)是一扇“敞開的大門”。該公司贊助的一項(xiàng)研究顯示,82%的IT專業(yè)人士預(yù)測(cè),不安全的物聯(lián)網(wǎng)設(shè)備將在公司內(nèi)部引發(fā)數(shù)據(jù)泄露——很可能是“災(zāi)難性的”。 同樣,一項(xiàng)強(qiáng)有力的政策將大有裨益。有些Android設(shè)備確實(shí)能及時(shí)、可靠地接收正在進(jìn)行的更新。在物聯(lián)網(wǎng)領(lǐng)域變得不那么像蠻荒的西部之前,必須由一家公司圍繞它們建立自己的安全網(wǎng)絡(luò)。 5. Cryptojacking攻擊 作為相關(guān)移動(dòng)威脅列表的一個(gè)相對(duì)較新的補(bǔ)充,cryptojacking是一種攻擊,有人使用設(shè)備在用戶不知情的情況下挖掘加密貨幣。如果所有這些聽起來像是很多技術(shù)性的,那請(qǐng)記住一點(diǎn):加密過程使用你公司的設(shè)備來獲取別人的收益。它嚴(yán)重依賴于您的技術(shù)——這意味著受影響的手機(jī)可能會(huì)遇到電池壽命不佳甚至可能因組件過熱而受損。 雖然密碼竊取起源于桌面,但從2017年末到2018年初,它在移動(dòng)端出現(xiàn)了激增。Skybox的一份安全分析報(bào)告顯示,2018年上半年,不受歡迎的加密貨幣挖掘占所有攻擊的三分之一,與前半年相比,這段時(shí)間的突出程度增加了70%。根據(jù)Wandera的一份報(bào)告顯示,2017年10月至11月,針對(duì)移動(dòng)設(shè)備的加密攻擊爆發(fā)了,受影響的移動(dòng)設(shè)備數(shù)量激增了287%。 自那以后,情況有所降溫,特別是在移動(dòng)領(lǐng)域——這一舉措主要得益于蘋果iOS應(yīng)用商店和android相關(guān)的谷歌Play商店分別在6月和7月禁止使用加密貨幣挖掘應(yīng)用。不過,安全公司指出,通過手機(jī)網(wǎng)站(甚至只是手機(jī)網(wǎng)站上的流氓廣告)和從非官方第三方市場(chǎng)下載的應(yīng)用程序,攻擊繼續(xù)取得一定程度的成功。 分析人士還指出,通過互聯(lián)網(wǎng)連接的機(jī)頂盒進(jìn)行加密的可能性,一些企業(yè)可能將機(jī)頂盒用于流媒體和視頻播放。據(jù)安全公司Rapid7稱,黑客已經(jīng)找到了一種方法來利用一個(gè)明顯的漏洞,使Android Debug Bridge(一個(gè)僅供開發(fā)人員使用的命令行工具)變得容易訪問,而且濫用這類產(chǎn)品的時(shí)機(jī)已經(jīng)成熟。 目前,沒有什么好的答案,除非仔細(xì)選擇設(shè)備并堅(jiān)持要求用戶僅從平臺(tái)的官方店面下載應(yīng)用程序的策略,其中密碼劫持代碼的可能性顯著降低。并且實(shí)際上,沒有跡象表明大多數(shù)公司受到任何重大或直接威脅,特別是考慮到整個(gè)行業(yè)采取預(yù)防措施。盡管如此,考慮到過去幾個(gè)月該領(lǐng)域的活動(dòng)起伏不定,而且人們對(duì)該領(lǐng)域的興趣不斷上升,2019年的進(jìn)展情況值得關(guān)注。 6. 密碼衛(wèi)生不良 你可能認(rèn)為我們現(xiàn)在已經(jīng)過了這一階段,但不知為何,用戶仍然沒有正確地保護(hù)他們的帳戶——當(dāng)他們攜帶的手機(jī)同時(shí)包含公司帳戶和個(gè)人登錄時(shí),這可能會(huì)出現(xiàn)問題。 谷歌和哈里斯民意調(diào)查(Harris Poll)的一項(xiàng)新調(diào)查發(fā)現(xiàn),根據(jù)調(diào)查樣本,超過一半的美國人在多個(gè)賬戶上使用相同密碼。同樣令人擔(dān)憂的是,近三分之一的人沒有使用雙因素身份驗(yàn)證(或者甚至不知道他們是否在使用它——這可能更糟一些)。而且只有四分之一的人在積極使用密碼管理器,這表明絕大多數(shù)人可能在大多數(shù)地方都沒有特別強(qiáng)的密碼,因?yàn)樗麄兛赡苁亲约荷珊陀洃浢艽a的。 事情只會(huì)變得更糟:根據(jù)2018年的LastPass分析,有整整一半的專業(yè)人士在工作和個(gè)人賬戶上使用相同的密碼。分析發(fā)現(xiàn),如果這還不夠,一個(gè)普通員工在工作過程中會(huì)與同事分享大約六個(gè)密碼。 為了避免你認(rèn)為這完全是廢話,在2017年Verizon發(fā)現(xiàn),在與黑客相關(guān)的企業(yè)入侵事件中,80%以上要?dú)w咎于薄弱或被盜的密碼。特別是從一個(gè)移動(dòng)設(shè)備,工作人員想快速登錄到各種應(yīng)用程序、網(wǎng)站和服務(wù),考慮到組織數(shù)據(jù)的風(fēng)險(xiǎn),即使只有一個(gè)人用他們用于公司帳戶的相同密碼,隨機(jī)零售網(wǎng)站,聊天應(yīng)用或消息論壇上的提示?,F(xiàn)在,把這個(gè)風(fēng)險(xiǎn)和前面提到的Wi-Fi干擾的風(fēng)險(xiǎn)結(jié)合起來,乘以你工作場(chǎng)所的員工總數(shù),并考慮快速累積的可能暴露點(diǎn)的層次。 最令人煩惱的是,大多數(shù)人似乎完全忘記了他們?cè)谶@方面的疏忽。在谷歌和哈里斯民意調(diào)查中,69%的受訪者為了有效保護(hù)他們的在線賬戶給自己一個(gè)“A”或“B”,盡管后來的答案表明不是這樣。顯然,您無法信任用戶自己對(duì)此事的評(píng)估。 7. 物理設(shè)備違反 最后但仍然重要的一點(diǎn)可能看起來特別愚蠢,但仍然是一個(gè)令人不安的現(xiàn)實(shí)威脅:丟失或無人看管的設(shè)備可能是一個(gè)主要的安全風(fēng)險(xiǎn),特別是如果它沒有強(qiáng)大的PIN或密碼和完整的數(shù)據(jù)加密。 請(qǐng)考慮以下因素:在2016年的Ponemon研究中,35%的專業(yè)人士表示他們的工作設(shè)備沒有強(qiáng)制措施來保護(hù)可訪問的公司數(shù)據(jù)。更糟糕的是,接近一半的受訪者表示他們沒有密碼、PIN或生物識(shí)別安全保護(hù)他們的設(shè)備,大約三分之二的人說他們沒有使用加密技術(shù)。68%的受訪者表示他們有時(shí)會(huì)通過移動(dòng)設(shè)備訪問個(gè)人和工作帳戶的密碼。 結(jié)論:僅僅把責(zé)任留給用戶是不夠的。不要通過假設(shè)制定政策,你以后會(huì)感謝自己的。 |