不管人們是否愿意，智能手機、平板電腦等移動設備已經(jīng)開始進入公司。這些設備為惡意軟件打開一扇新的大門，老的安全工具和過程不能完全關(guān)閉這扇門。安全專家必須將教育培訓、策略制定、現(xiàn)有工具的使用、新移動設備的管理系統(tǒng)結(jié)合起來，在移動設備的風險和工作效率的提高之間實現(xiàn)有效平衡。

　　移動設備無處不在：從公司總裁到普通員工都可用移動設備上網(wǎng)沖浪、檢查郵件、安裝應用程序、玩游戲、發(fā)送文本消息等。這就給IT專家增加了管理移動設備同時又能減輕其威脅的任務。有些公司正使用其現(xiàn)有的安全工具來應對移動設備的惡意軟件威脅，同時又等待著移動設備的管理市場能夠開發(fā)出更好地滿足其需要的產(chǎn)品。還有些公司使用黑莓或Windows Mobile，使用支持其它移動操作系統(tǒng)的移動設備管理。本文將探討感染移動平臺的惡意軟件類型，以及公司使用現(xiàn)有的安全控制可以部署的保護措施，并討論移動設備管理系統(tǒng)保護企業(yè)網(wǎng)絡免受惡意軟件威脅的能力。

　　移動軟件威脅日益加劇

　　不要以為如果公司不提供設備，而且阻止個人設備訪問資源就萬事大吉了。公司信息仍有可能進入個人設備。員工可以將敏感信息從工作郵件轉(zhuǎn)存到他們在移動設備使用的個人賬戶上。在公司開會期間，員工可以使用基于云的應用程序來記錄信息，而這些信息最終也有可能被存放到移動設備上，因而所有的安全專家必須準備解決移動設備的安全問題。

　　惡意軟件這個詞主要用于描述病毒、僵尸網(wǎng)絡組件、廣告軟件或間諜軟件等，但是根據(jù)其行為，還有其它的惡意程序。在移動設備領(lǐng)域，最常見的惡意軟件類型是那些導致私密信息問題的軟件。例如，一個應用程序可能擁有超出其正常實現(xiàn)功能所需要的權(quán)利，具有了允許應用程序訪問個人信息或從設備的麥克風記錄數(shù)據(jù)的功能，或者可以通過GPS數(shù)據(jù)跟蹤用戶等。有一些移動應用程序會請求用戶信息(如用戶在谷歌的賬戶)，并將這些信息存儲到移動設備上。最后，某個應用程序會使用一個唯一的標志符(如一個電話號碼)來將用戶的移動設備和用戶活動鏈接到一個網(wǎng)站，從而泄露用戶的身份或其它的個人信息。

　　那么，惡意軟件是如何到達移動設備上的?這個問題幾乎都是由于一些免費的游戲或程序?qū)е碌?，如：能夠備份即時通信消息的程序，或者允許用戶修改桌面背景的程序等。即使免費軟件的設計目的不是惡意的，由于其捆綁的廣告等仍可導致?lián)p害。許多開發(fā)人員在將捆綁廣告時，往往并不清楚他們的應用程序?qū)Π踩挠绊憽ｉ_發(fā)人員推出免費游戲和軟件，通過包含在其中的廣告獲得收入。問題是，他們在軟件或游戲中包括了一個廣告框架，卻不知道此框架如何處理它收集到的用戶信息。

　　廣告公司可以跟蹤用戶，描述用戶概況，將收集到的信息賣給垃圾郵件制造商，獲得額外利潤，而開發(fā)者卻一無所知。從公司的觀點來看，這可能意味著將敏感信息泄露給有可能濫用或出售信息的第三方。這種狀況已經(jīng)引起許多公司的高度關(guān)注。

　　企業(yè)如何應戰(zhàn)

　　在移動設備應用程序的開發(fā)之前，對開發(fā)者的教育和明確的安全開發(fā)策略是首要的步驟。在IT人員能夠有效地防護移動設備的安全威脅之前，必須徹底了解安全問題和可能感染移動設備的惡意軟件。對于建議管理階層制定策略來保護公司資源和提升用戶安全意識，教育也至關(guān)重要。同時，還要教育終端用戶在依賴移動設備進行業(yè)務或個人應用時，使用移動設備面臨的風險。

　　當然，公司的IT還可以依靠專業(yè)的安全公司所發(fā)布的工具，來了解和評估移動設備的安全狀況。不過，IT必須知道有效地保障移動設備的安全，與保障終端用戶(如桌面和筆記本電腦)的安全有很大不同。由于桌面計算機的功能日益強大，安全廠商已經(jīng)以代理和軟件控件的形式將安全保護推向桌面和筆記本電腦，并能夠在后臺運行。然而，這種模式并不能簡單地在移動環(huán)境中使用。

　　如果傳統(tǒng)的設備保護方法并不能完全在移動平臺上奏效，那么還有什么選擇呢?答案是，安全公司需要找到檢查和保護正在傳輸?shù)臄?shù)據(jù)的更好方法，而不是僅重視移動設備內(nèi)部正在發(fā)生什么。實現(xiàn)方法之一就是利用現(xiàn)有的網(wǎng)絡訪問控制和監(jiān)視工具。

　　有些公司已經(jīng)搭建了移動設備的無線網(wǎng)絡，并與公司網(wǎng)絡隔離。這可以有效地阻止移動設備訪問公司網(wǎng)絡，同時又可以使其連接到一個快速無線網(wǎng)。有些公司甚至在這個無線網(wǎng)上提供了數(shù)據(jù)泄露監(jiān)視功能，以及限制性的Web代理服務器。還有很多公司基本不監(jiān)管此無線網(wǎng)。

　　不幸的是，只要公司允許這些設備訪問公司的郵件，這種方法幾乎不能提供防御移動惡意軟件的真正保護。當用戶賬戶信息進入了一臺受到惡意軟件損害的移動設備時，用戶的登錄密碼等保護手段基本上就形同虛設了。

　　使用網(wǎng)絡訪問控制(NAC)或網(wǎng)絡隔離系統(tǒng)的公司可以充分利用現(xiàn)有的功能來控制移動設備。公司可以部署控制，允許公司網(wǎng)絡上的移動設備運行，但要對其限制，使其僅能訪問特定的網(wǎng)絡資源。公司可通過Web安全網(wǎng)關(guān)來監(jiān)視和限制移動設備的Web活動。理想情況下，任何惡意軟件活動都可通過網(wǎng)關(guān)、已有的入侵檢測系統(tǒng)或其它網(wǎng)絡監(jiān)視工具來檢測。

　　還有一個重要問題，即移動設備可以通過USB插入到公司系統(tǒng)的USB端口中。移動設備中的的惡意軟件可以利用系統(tǒng)的自動運行功能，在桌面系統(tǒng)中安裝新的惡意軟件，欺騙用戶認為要想使設備正常工作必須安裝專門的軟件?；蛘?，安裝惡意文件，以此來利用桌面應用程序(如閱讀器和瀏覽器)中的漏洞。

　　為防止通過USB連接的攻擊和損害，公司可以限制允許插入的USB設備的類型。例如，Windows的組策略還允許管理員決定可以連接和安裝哪些設備。

　　這些選擇提供了幾種保護途徑，然而，即使部署了上述所有措施，也不能完全阻止惡意軟件安裝到移動設備，或者從移動設備上竊取敏感數(shù)據(jù)。

　　移動設備管理系統(tǒng)的興起

　　IT專家認識到，在對付移動惡意軟件的戰(zhàn)斗中，他們需要新的工具。移動設備管理系統(tǒng)的廠商們正為此努力，并支持盡可能多的平臺。

　　在保護公司資源免受移動設備惡意的危害時，軟件的分發(fā)與部署、策略和安全管理功能都是最重要的因素。

　　軟件的分發(fā)與部署允許公司管理哪些軟件可以安裝以及如何安裝到移動設備上。公司控制著分發(fā)與部署，因而只能安裝經(jīng)許可的應用程序，而且可以限制任何有風險的或與業(yè)務無關(guān)的應用程序。在近幾年惡意應用程序正 “磨刀霍霍”，準備向基于安卓的智能手機等流行移動設備發(fā)起攻擊時，擁有這種控制顯得尤其重要。

　　軟件的分發(fā)與部署還有助于解決與惡意軟件有關(guān)的特定問題。許多廠商目前提供了允許用戶安裝應用程序更新的支持，通過無線通訊發(fā)送程序補丁，并掃描應用程序，從而確保其完整性和不受惡意軟件危害。保持應用程序更新并驗證它是否善意，有助于防止漏洞利用，而且在理想情況下，還可以防止安裝惡意程序。

　　安全和策略管理是移動設備管理的另外兩個關(guān)鍵領(lǐng)域，而且這兩方面需要配合行動。對移動設備的策略強化往往是特定的安全問題(例如，口令的長度和設備的加密)。有能力制定策略并將策略通過無線方式發(fā)布給移動設備非常重要，特別是在應對可通過策略或安全設置就可以減輕其危害的新惡意軟件威脅時，就更有意義了。

　　推行安全設置可以防止惡意程序發(fā)送惡意短消息，而通過加密又可以防止敏感信息的泄露，如果設備被感染或丟失，還可以遠程清除設備。而且還可以配置來自移動設備的通信，使其只能通過公司的安全網(wǎng)關(guān)傳輸和掃描，進而阻止惡意行為。

　　雖然IT專家可以利用大量的安全策略和設置來挫敗移動惡意軟件，公司仍需要認識到同樣的工具未必在所有的移動平臺中都可用。并非每一種平臺都支持嵌入到操作系統(tǒng)中，策略也是如此，這就使得移動設備管理系統(tǒng)的廠商在所有平臺中實施同樣的特性時面臨著很多困難。

　　試圖阻止移動設備只會使雇員不滿，甚至激怒他們。由于智能設備日益流行和普及，這種設備正昂首挺胸地進入企業(yè)，不管安全專家和公司的管理人員是否做好了準備。關(guān)鍵是要理解想要阻止移動設備的威脅(包括移動惡意軟件)就需要協(xié)調(diào)一致的努力，并必須增加新的管理工具。

　　不管管理者是否愿意，將來幾乎每個人都會使用智能設備。而如果在沒有移動設備管理系統(tǒng)的情況下就部署移動設備將會是一場艱難的戰(zhàn)斗。雖然必須實施集中管理，但這并不能提供完全控制。至少，公些需要擁有監(jiān)視功能，能夠監(jiān)視哪些設備易于遭受攻擊，并為其更新和打補丁。

　　在管理和監(jiān)視移動設備時，采取一種主動性的方法將比試圖阻止這種設備更有效率。通過提前滿足需求，惡意軟件將不太可能有機會進入企業(yè)。最終，公司將能夠接納移動設備，并部署策略和控制，從而可以保護公司數(shù)據(jù)免受日益強大的移動惡意軟件威脅。