調(diào)查顯示，很多手機(jī)殺毒軟件應(yīng)用程序是沒有用的。本文中移動設(shè)備管理和移動應(yīng)用程序管理專家將教你應(yīng)對手機(jī)安全問題。BYOD政策讓企業(yè)對這些風(fēng)險引起高度重視。我們看到很多關(guān)于移動設(shè)備管理(MDM)和移動應(yīng)用程序管理(MAM)工具，以及這些工具如何防止數(shù)據(jù)盜竊的文章。即便如此，由于MAM/MDM仍然是新興產(chǎn)業(yè)，人們很自然地會質(zhì)疑，獨(dú)立的殺毒軟件是否能夠提供足夠的保護(hù)。

最近由AV-Comparatives、AV-TEST和PC安全實(shí)驗(yàn)室進(jìn)行的測試發(fā)現(xiàn)，很多產(chǎn)品未能防止惡意程序，只有少數(shù)“佼佼者”表現(xiàn)不俗。Savid Technologies公司首席執(zhí)行官M(fèi)ike Davis表示，很多手機(jī)殺毒應(yīng)用程序都深陷于基于簽名的跟蹤方法—這是PC廠商十年前使用的陳舊的方法，而沒有采用行為分析—著眼于程序試圖執(zhí)行的活動，而不是代碼中預(yù)定義的標(biāo)識符的更現(xiàn)代的方法。 基于簽名的手機(jī)殺毒產(chǎn)品善于發(fā)現(xiàn)已知的威脅，但是如果設(shè)備下載一個新的病毒，安全泄露將無法被發(fā)現(xiàn)，直到已經(jīng)造成損害。

Davis表示，這并不全是供應(yīng)商的責(zé)任，因?yàn)橐苿硬僮飨到y(tǒng)并沒有被設(shè)計(jì)為適應(yīng)基于行為的惡意軟件追蹤。他說：“沒有根級管理用戶，所以殺毒軟件不具有完全的控制來執(zhí)行這種分析。”

Gartner研究公司副總裁Peter Firstbrook警告說，即使智能手機(jī)和平板電腦采用了基于行為或者啟發(fā)式的掃描，也不一定能確保移動設(shè)備無懈可擊。行為分析經(jīng)常出問題，因?yàn)?ldquo;壞的應(yīng)用程序或者好的應(yīng)用程序的行為，是一個見仁見智的問題”。為了說明這一點(diǎn)，他提到使用擊鍵顯示器讓用戶知道其聊天對象正在輸入的程序，這種程序體現(xiàn)了“合法的API和系統(tǒng)調(diào)用”可能會出現(xiàn)偏差。

正因?yàn)槿绱死щy，F(xiàn)irstbrook表示，當(dāng)涉及抵御惡意軟件時，對移動操作系統(tǒng)的選取的重要性要高于安全軟件的選取。他表示，iOS比Android更安全，因?yàn)樘O果打造了一個基本封閉式的系統(tǒng)平臺，攻擊者更難以滲透。

他認(rèn)為，企業(yè)面臨的主要iOS安全挑戰(zhàn)包括密碼保護(hù)、加密、遠(yuǎn)程擦除和其他MDM/MAM問題，因?yàn)閿?shù)據(jù)被盜通常源自設(shè)備丟失，而不是病毒。對于Android設(shè)備，F(xiàn)irstbrook指出，情況有所不同，因?yàn)楦嘤脩魪姆欠ㄊ袌鱿螺d應(yīng)用程序。事實(shí)上，最近的Arxan調(diào)查發(fā)現(xiàn)，幾乎所有流行的Android應(yīng)用程序都已經(jīng)被黑客攻擊，這說明用戶使用認(rèn)可來源的程序的重要性。該調(diào)查還發(fā)現(xiàn)，大多數(shù)iOS應(yīng)用程序受到攻擊，但所幸的是，iPhone和iPad用戶不太鐘情于非官方市場。

根據(jù)安全廠商趨勢科技核心技術(shù)營銷高級經(jīng)理Jon Clay表示，即使是合法應(yīng)用程序市場也不足夠。他在接受記者采訪時指出，攻擊者主要依靠第三方應(yīng)用程序商店來傳播他們的攻擊程序，但仍然有相當(dāng)多的惡意程序滲透到Google Play，Google Bouncer是Android生態(tài)系統(tǒng)提高安全性的很好的一步，但并沒有完全消除威脅。

Firstbrook表示，很多企業(yè)因此盡量遠(yuǎn)離Android，這也是為什么開發(fā)人員更愿意為蘋果的操作系統(tǒng)開發(fā)程序，盡管Android擁有更大的用戶群。

盡管存在平臺差異和根權(quán)限限制，Clay表示，手機(jī)殺毒程序仍然是雞肋：“如果你不能檢測出惡意軟件，就可能被攻擊。”企業(yè)需要的不僅僅是局部解決方案，隨著企業(yè)將注意力轉(zhuǎn)移到MAM/MDM，安全廠商應(yīng)該如何應(yīng)對?

后端方法是一個不錯的選擇，F(xiàn)-Secure實(shí)驗(yàn)室安全顧問Sean Sullivan表示，其公司的產(chǎn)品對客戶端采用有限的啟發(fā)式掃描，但全面的行為分析將需要企業(yè)對設(shè)備進(jìn)行越獄。因此，F(xiàn)-Secure在后端使用仿真和自動化來分析潛在的新威脅。

趨勢科技以及賽門鐵克等公司采用了類似的方法，即評估應(yīng)用程序來源的聲譽(yù)。

這種技術(shù)具有“啟發(fā)式般的氣質(zhì)”，不僅可以評估應(yīng)用程序的惡意性，還能夠評估其對電池壽命、代碼和其他變量的影響。他表示他的團(tuán)隊(duì)試圖與應(yīng)用程序供應(yīng)商合作，允許他們訪問基于信譽(yù)的數(shù)據(jù)以及授權(quán)應(yīng)用程序，這種方法可以讓企業(yè)避免給最終用戶帶來負(fù)擔(dān)。它還提供了潛在的安全網(wǎng)，以檢查開發(fā)人員無意留下的漏洞利用機(jī)會、企業(yè)內(nèi)部開發(fā)的應(yīng)用程序，以及最初以合法形式發(fā)布，隨后又以“惡意形式”重新發(fā)布的應(yīng)用程序。

Lookout公司首席安全工程師Tim Wyatt同樣主張采用后端的做法。在接受采訪時，他指出，Lookout對超過2500萬個注冊設(shè)備建立了移動威脅網(wǎng)絡(luò)，“該網(wǎng)絡(luò)不斷地分析世界各地的威脅數(shù)據(jù)以盡快識別和主動阻止新威脅”。

總言之，很多殺毒應(yīng)用程序不能提供充分的保護(hù)，但一些安全廠商能夠順逆而上，主要是通過補(bǔ)償根級訪問限制。然而，Wyatt表示，并不存在放之四海而皆準(zhǔn)的解決方案，企業(yè)必須采取全面的戰(zhàn)略以滿足其企業(yè)需求。