信息來(lái)源：51cto

如今，移動(dòng)安全是每家公司最擔(dān)心的問題——而且理由很充分:幾乎所有員工現(xiàn)在都經(jīng)常使用智能手機(jī)訪問公司數(shù)據(jù)，這意味著讓敏感信息不落入壞人之手是一個(gè)越來(lái)越復(fù)雜的難題。可以說(shuō)，風(fēng)險(xiǎn)比以往任何時(shí)候都要高:根據(jù)波耐蒙研究所(Ponemon Institute) 2018年的一份報(bào)告顯示，企業(yè)數(shù)據(jù)泄露的平均成本高達(dá)386萬(wàn)美元，這比一年前的估計(jì)成本高出6.4%。

雖然人們很容易把注意力集中在惡意軟件這個(gè)轟動(dòng)一時(shí)的話題上，但事實(shí)是，手機(jī)惡意軟件感染在現(xiàn)實(shí)世界中極其罕見——根據(jù)一項(xiàng)估計(jì)，你被感染的幾率大大低于被閃電擊中的幾率。這要感謝移動(dòng)惡意軟件的本質(zhì)，以及現(xiàn)代移動(dòng)操作系統(tǒng)內(nèi)置的固有保護(hù)。

更現(xiàn)實(shí)的移動(dòng)安全隱患存在于一些容易被忽視的領(lǐng)域，隨著2019年的到來(lái)，這些問題預(yù)計(jì)只會(huì)變得更加緊迫：

1. 數(shù)據(jù)泄漏

這聽起來(lái)像是機(jī)器人泌尿科醫(yī)生的診斷，但數(shù)據(jù)泄露被廣泛認(rèn)為是2019年企業(yè)安全最令人擔(dān)憂的威脅之一。還記得那些幾乎不存在的被惡意軟件感染的幾率嗎?好吧，根據(jù)Ponemon的最新研究，當(dāng)涉及到數(shù)據(jù)泄露時(shí)，公司有近28%的幾率在未來(lái)兩年內(nèi)經(jīng)歷至少一次事件——換句話說(shuō)，幾率超過四分之一。

是什么讓這個(gè)問題特別棘手?因?yàn)樗举|(zhì)上并不是邪惡的; 相反，這是用戶在無(wú)意中做出了不明智的決定，決定哪些應(yīng)用程序能夠查看和傳輸他們的信息。

Gartner移動(dòng)安全研究主管Dionisio Zumerle說(shuō)：“主要的挑戰(zhàn)是，如何實(shí)現(xiàn)一種既不會(huì)讓管理員不知所措、也不會(huì)讓用戶感到沮喪的應(yīng)用審查流程?！?他建議轉(zhuǎn)向移動(dòng)威脅防御(MTD)解決方案——如賽門鐵克的Endpoint Protection Mobile，CheckPoint的SandBlast Mobile和Zimperium的zIPS保護(hù)等產(chǎn)品。Zumerle表示，這些實(shí)用程序可以掃描應(yīng)用程序的“泄漏行為”，并可以自動(dòng)阻止有問題的進(jìn)程。

當(dāng)然，即使這樣也不會(huì)總是涵蓋由于公開的用戶錯(cuò)誤而導(dǎo)致的泄漏——一些簡(jiǎn)單的事情，比如將公司文件轉(zhuǎn)移到公共云存儲(chǔ)服務(wù)上，將機(jī)密信息粘貼到錯(cuò)誤的地方，或者將電子郵件轉(zhuǎn)發(fā)給一個(gè)意想不到的收件人。這是醫(yī)療行業(yè)目前正在努力克服的一個(gè)挑戰(zhàn):據(jù)專業(yè)保險(xiǎn)公司Beazley稱，“意外泄露”是2018年第三季度醫(yī)療機(jī)構(gòu)報(bào)告的數(shù)據(jù)泄露的首要原因。在這段時(shí)間內(nèi)，這一類別再加上內(nèi)部消息泄露，占所有報(bào)告的泄密事件的近一半。

對(duì)于這種類型的泄漏，防止數(shù)據(jù)丟失(DLP)工具可能是最有效的保護(hù)形式。此類軟件明確設(shè)計(jì)用于防止敏感信息的暴露，包括在意外情況下。

2. 社會(huì)工程

這種屢試不爽的欺騙策略在移動(dòng)端和臺(tái)式機(jī)上一樣麻煩。盡管人們很容易認(rèn)為社會(huì)工程的弊端是可以避免的，但它們?nèi)匀痪哂畜@人的效果。

根據(jù)安全公司FireEye 2018年的一份報(bào)告，91%的網(wǎng)絡(luò)犯罪始于電子郵件。該公司將此類事件稱為“無(wú)惡意攻擊”，因?yàn)樗鼈円揽磕７碌炔呗詠?lái)欺騙人們點(diǎn)擊惡意鏈接或提供敏感信息。該公司稱，網(wǎng)絡(luò)釣魚在2017年期間增長(zhǎng)了65%，移動(dòng)用戶因?yàn)樵S多移動(dòng)電子郵件客戶端僅顯示發(fā)件人名稱的方式而面臨最大的風(fēng)險(xiǎn)。

事實(shí)上，根據(jù)IBM的一項(xiàng)研究，用戶對(duì)移動(dòng)設(shè)備上的網(wǎng)絡(luò)釣魚攻擊的回應(yīng)是桌面的三倍——部分原因僅僅是因?yàn)槭謾C(jī)是人們最先看到消息的地方。根據(jù)Verizon的2018年數(shù)據(jù)泄露調(diào)查報(bào)告顯示，雖然實(shí)際上只有4%的用戶點(diǎn)擊網(wǎng)絡(luò)釣魚相關(guān)鏈接,但那些輕信的用戶往往是慣犯:公司指出,如果有人點(diǎn)擊釣魚活動(dòng)鏈接越多,他們就越有可能在未來(lái)多次點(diǎn)擊。Verizon此前曾報(bào)道稱，15%的成功釣魚的用戶將在同一年內(nèi)至少再釣魚一次。

“我們確實(shí)看到移動(dòng)計(jì)算整體上的移動(dòng)敏感度普遍上升以及BYOD工作環(huán)境的持續(xù)增長(zhǎng)，”PhishMe的信息安全和反網(wǎng)絡(luò)釣魚策略師John“Lex”Robinson說(shuō)道。使用真實(shí)世界的模擬訓(xùn)練工人的公司識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)釣魚。

羅賓遜指出，工作和個(gè)人電腦之間的界限也在不斷模糊。他指出，越來(lái)越多的員工在智能手機(jī)上同時(shí)查看多個(gè)收件箱(連接到工作和個(gè)人賬戶的組合)，而且?guī)缀趺總€(gè)人在工作日都會(huì)在網(wǎng)上處理一些個(gè)人事務(wù)。因此，在收到工作郵件的同時(shí)收到私人郵件在表面上看起來(lái)一點(diǎn)也不奇怪，即使這實(shí)際上可能是一個(gè)詭計(jì)。

3. 無(wú)線干擾

移動(dòng)設(shè)備的安全性取決于它傳輸數(shù)據(jù)的網(wǎng)絡(luò)。在一個(gè)我們都在不斷連接公共Wi-Fi網(wǎng)絡(luò)的時(shí)代，這意味著我們的信息往往不像我們想象的那么安全。

這個(gè)問題究竟有多重要?根據(jù)企業(yè)安全公司W(wǎng)andera的研究，企業(yè)移動(dòng)設(shè)備使用Wi-Fi幾乎是使用蜂窩數(shù)據(jù)的三倍。近四分之一的設(shè)備可能連接到開放且不安全的Wi-Fi網(wǎng)絡(luò)，并且有4%的設(shè)備在最近一個(gè)月內(nèi)遭遇了中間人攻擊——其中有人惡意攔截雙方之間的通信。與此同時(shí)，邁克菲表示，網(wǎng)絡(luò)欺騙最近“急劇增加”，但在旅行和依賴公共網(wǎng)絡(luò)時(shí)，只有不到一半的人愿意保護(hù)他們的連接。

“現(xiàn)在，加密流量并不困難，”Syracuse大學(xué)計(jì)算機(jī)科學(xué)教授凱文杜說(shuō)，他專門研究智能手機(jī)安全問題。“如果你沒有VPN，那么你的周邊就會(huì)打開很多門戶?！?

但是，選擇正確的企業(yè)級(jí)VPN 并不容易。與大多數(shù)與安全相關(guān)的考慮因素一樣，幾乎總是需要權(quán)衡。Gartner的Zumerle指出：“移動(dòng)設(shè)備的VPN交付需要更加智能，因?yàn)樽畲笙薅鹊販p少資源消耗(主要是電池) 是至關(guān)重要的。” 他說(shuō)，一個(gè)有效的VPN應(yīng)該知道只有在絕對(duì)必要時(shí)才能激活，而不是當(dāng)用戶訪問類似新聞網(wǎng)站或在已知安全的應(yīng)用程序中工作時(shí)。

4. 過時(shí)的設(shè)備

智能手機(jī)、平板電腦和更小的聯(lián)網(wǎng)設(shè)備【通常被稱為物聯(lián)網(wǎng)(IoT)】——對(duì)企業(yè)安全構(gòu)成了新的風(fēng)險(xiǎn)，因?yàn)榕c傳統(tǒng)的工作設(shè)備不同，它們通常不能保證及時(shí)和持續(xù)的軟件更新。在安卓方面尤其如此,絕大多數(shù)制造商在保持產(chǎn)品更新方面都令人尷尬無(wú)效,無(wú)論是操作系統(tǒng)(OS)更新還是每月更小的安全補(bǔ)丁,以及物聯(lián)網(wǎng)設(shè)備,其中很多甚至沒有設(shè)計(jì)為首先獲得更新。

杜說(shuō):“他們中的許多人甚至沒有內(nèi)置補(bǔ)丁機(jī)制，而這在如今正成為越來(lái)越大的威脅?！?

Ponemon表示，撇開攻擊可能性增加不提，移動(dòng)平臺(tái)的廣泛使用提高了數(shù)據(jù)泄露的總體成本，而大量與工作相關(guān)的物聯(lián)網(wǎng)產(chǎn)品只會(huì)導(dǎo)致這一數(shù)字進(jìn)一步攀升。據(jù)網(wǎng)絡(luò)安全公司雷神介紹，物聯(lián)網(wǎng)是一扇“敞開的大門”。該公司贊助的一項(xiàng)研究顯示，82%的IT專業(yè)人士預(yù)測(cè)，不安全的物聯(lián)網(wǎng)設(shè)備將在公司內(nèi)部引發(fā)數(shù)據(jù)泄露——很可能是“災(zāi)難性的”。

同樣，一項(xiàng)強(qiáng)有力的政策將大有裨益。有些Android設(shè)備確實(shí)能及時(shí)、可靠地接收正在進(jìn)行的更新。在物聯(lián)網(wǎng)領(lǐng)域變得不那么像蠻荒的西部之前，必須由一家公司圍繞它們建立自己的安全網(wǎng)絡(luò)。

5. Cryptojacking攻擊

作為相關(guān)移動(dòng)威脅列表的一個(gè)相對(duì)較新的補(bǔ)充，cryptojacking是一種攻擊，有人使用設(shè)備在用戶不知情的情況下挖掘加密貨幣。如果所有這些聽起來(lái)像是很多技術(shù)性的，那請(qǐng)記住一點(diǎn)：加密過程使用你公司的設(shè)備來(lái)獲取別人的收益。它嚴(yán)重依賴于您的技術(shù)——這意味著受影響的手機(jī)可能會(huì)遇到電池壽命不佳甚至可能因組件過熱而受損。

雖然密碼竊取起源于桌面，但從2017年末到2018年初，它在移動(dòng)端出現(xiàn)了激增。Skybox的一份安全分析報(bào)告顯示，2018年上半年，不受歡迎的加密貨幣挖掘占所有攻擊的三分之一，與前半年相比，這段時(shí)間的突出程度增加了70%。根據(jù)Wandera的一份報(bào)告顯示，2017年10月至11月，針對(duì)移動(dòng)設(shè)備的加密攻擊爆發(fā)了，受影響的移動(dòng)設(shè)備數(shù)量激增了287%。

自那以后，情況有所降溫，特別是在移動(dòng)領(lǐng)域——這一舉措主要得益于蘋果iOS應(yīng)用商店和android相關(guān)的谷歌Play商店分別在6月和7月禁止使用加密貨幣挖掘應(yīng)用。不過，安全公司指出，通過手機(jī)網(wǎng)站(甚至只是手機(jī)網(wǎng)站上的流氓廣告)和從非官方第三方市場(chǎng)下載的應(yīng)用程序，攻擊繼續(xù)取得一定程度的成功。

分析人士還指出，通過互聯(lián)網(wǎng)連接的機(jī)頂盒進(jìn)行加密的可能性，一些企業(yè)可能將機(jī)頂盒用于流媒體和視頻播放。據(jù)安全公司Rapid7稱，黑客已經(jīng)找到了一種方法來(lái)利用一個(gè)明顯的漏洞，使Android Debug Bridge(一個(gè)僅供開發(fā)人員使用的命令行工具)變得容易訪問，而且濫用這類產(chǎn)品的時(shí)機(jī)已經(jīng)成熟。

目前，沒有什么好的答案，除非仔細(xì)選擇設(shè)備并堅(jiān)持要求用戶僅從平臺(tái)的官方店面下載應(yīng)用程序的策略，其中密碼劫持代碼的可能性顯著降低。并且實(shí)際上，沒有跡象表明大多數(shù)公司受到任何重大或直接威脅，特別是考慮到整個(gè)行業(yè)采取預(yù)防措施。盡管如此，考慮到過去幾個(gè)月該領(lǐng)域的活動(dòng)起伏不定，而且人們對(duì)該領(lǐng)域的興趣不斷上升，2019年的進(jìn)展情況值得關(guān)注。

6. 密碼衛(wèi)生不良

你可能認(rèn)為我們現(xiàn)在已經(jīng)過了這一階段，但不知為何，用戶仍然沒有正確地保護(hù)他們的帳戶——當(dāng)他們攜帶的手機(jī)同時(shí)包含公司帳戶和個(gè)人登錄時(shí)，這可能會(huì)出現(xiàn)問題。

谷歌和哈里斯民意調(diào)查(Harris Poll)的一項(xiàng)新調(diào)查發(fā)現(xiàn)，根據(jù)調(diào)查樣本，超過一半的美國(guó)人在多個(gè)賬戶上使用相同密碼。同樣令人擔(dān)憂的是，近三分之一的人沒有使用雙因素身份驗(yàn)證(或者甚至不知道他們是否在使用它——這可能更糟一些)。而且只有四分之一的人在積極使用密碼管理器，這表明絕大多數(shù)人可能在大多數(shù)地方都沒有特別強(qiáng)的密碼，因?yàn)樗麄兛赡苁亲约荷珊陀洃浢艽a的。

事情只會(huì)變得更糟：根據(jù)2018年的LastPass分析，有整整一半的專業(yè)人士在工作和個(gè)人賬戶上使用相同的密碼。分析發(fā)現(xiàn)，如果這還不夠，一個(gè)普通員工在工作過程中會(huì)與同事分享大約六個(gè)密碼。

為了避免你認(rèn)為這完全是廢話，在2017年Verizon發(fā)現(xiàn)，在與黑客相關(guān)的企業(yè)入侵事件中，80%以上要?dú)w咎于薄弱或被盜的密碼。特別是從一個(gè)移動(dòng)設(shè)備,工作人員想快速登錄到各種應(yīng)用程序、網(wǎng)站和服務(wù)，考慮到組織數(shù)據(jù)的風(fēng)險(xiǎn)，即使只有一個(gè)人用他們用于公司帳戶的相同密碼，隨機(jī)零售網(wǎng)站，聊天應(yīng)用或消息論壇上的提示。現(xiàn)在，把這個(gè)風(fēng)險(xiǎn)和前面提到的Wi-Fi干擾的風(fēng)險(xiǎn)結(jié)合起來(lái)，乘以你工作場(chǎng)所的員工總數(shù)，并考慮快速累積的可能暴露點(diǎn)的層次。

最令人煩惱的是，大多數(shù)人似乎完全忘記了他們?cè)谶@方面的疏忽。在谷歌和哈里斯民意調(diào)查中，69%的受訪者為了有效保護(hù)他們的在線賬戶給自己一個(gè)“A”或“B”，盡管后來(lái)的答案表明不是這樣。顯然，您無(wú)法信任用戶自己對(duì)此事的評(píng)估。

7. 物理設(shè)備違反

最后但仍然重要的一點(diǎn)可能看起來(lái)特別愚蠢，但仍然是一個(gè)令人不安的現(xiàn)實(shí)威脅：丟失或無(wú)人看管的設(shè)備可能是一個(gè)主要的安全風(fēng)險(xiǎn)，特別是如果它沒有強(qiáng)大的PIN或密碼和完整的數(shù)據(jù)加密。

請(qǐng)考慮以下因素：在2016年的Ponemon研究中，35%的專業(yè)人士表示他們的工作設(shè)備沒有強(qiáng)制措施來(lái)保護(hù)可訪問的公司數(shù)據(jù)。更糟糕的是，接近一半的受訪者表示他們沒有密碼、PIN或生物識(shí)別安全保護(hù)他們的設(shè)備，大約三分之二的人說(shuō)他們沒有使用加密技術(shù)。68%的受訪者表示他們有時(shí)會(huì)通過移動(dòng)設(shè)備訪問個(gè)人和工作帳戶的密碼。

結(jié)論:僅僅把責(zé)任留給用戶是不夠的。不要通過假設(shè)制定政策，你以后會(huì)感謝自己的。