移動(dòng)設(shè)備逐漸模糊了工作和個(gè)人生活之間的界限。然而，如果員工不知道攻擊者是如何瞄準(zhǔn)移動(dòng)設(shè)備以及利用移動(dòng)通信松散的性質(zhì)來(lái)感染其設(shè)備的話，他們?cè)谝苿?dòng)設(shè)備上同時(shí)保存企業(yè)和個(gè)人數(shù)據(jù)將給企業(yè)帶來(lái)巨大風(fēng)險(xiǎn)。企業(yè)應(yīng)該將改善用戶行為作為緩解戰(zhàn)略的一部分，這是是至關(guān)重要的，并且會(huì)對(duì)緩解日益嚴(yán)重的威脅的全面成功有著很大的推動(dòng)作用。本技術(shù)文章介紹了應(yīng)該如何改變用戶行為以及阻止惡意移動(dòng)應(yīng)用進(jìn)入員工設(shè)備的方法。

根據(jù)最新的IDG全球移動(dòng)性調(diào)查顯示，70%的受訪員工會(huì)使用個(gè)人擁有的智能手機(jī)或者平板電腦來(lái)訪問(wèn)企業(yè)網(wǎng)絡(luò)。個(gè)人移動(dòng)設(shè)備用于工作目的只會(huì)繼續(xù)增長(zhǎng)，并且，移動(dòng)設(shè)備帶來(lái)的生產(chǎn)力優(yōu)勢(shì)值得企業(yè)付出努力來(lái)確保它們不會(huì)危及數(shù)據(jù)安全?；谝苿?dòng)設(shè)備的多樣性，企業(yè)更有效的做法是教育用戶、管理和追蹤對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，而不是試圖控制每臺(tái)設(shè)備。

很多用戶將BYOD政策作為逃避網(wǎng)絡(luò)安全限制的契機(jī)。他們不明白攻擊者正越來(lái)越多地瞄準(zhǔn)移動(dòng)用戶，試圖從中尋找放松警惕的人來(lái)發(fā)動(dòng)攻擊。攻擊者通常利用常見攻擊技術(shù)(例如垃圾郵件和網(wǎng)絡(luò)釣魚)來(lái)瞄準(zhǔn)移動(dòng)環(huán)境，誘騙用戶提供機(jī)密信息，下載惡意應(yīng)用程序。用戶必須了解這一點(diǎn)，并知道如何避免淪為受害者。

現(xiàn)有的安全意識(shí)培訓(xùn)往往圍繞臺(tái)式機(jī)用戶。這種培訓(xùn)必須進(jìn)行更新，畢竟員工使用移動(dòng)設(shè)備和使用臺(tái)式機(jī)存在顯著的區(qū)別，同時(shí)，培訓(xùn)還應(yīng)該介紹下載移動(dòng)應(yīng)用帶來(lái)的巨大風(fēng)險(xiǎn)。例如，移動(dòng)用戶通常會(huì)下載專有應(yīng)用來(lái)訪問(wèn)內(nèi)容和執(zhí)行特定任務(wù);他們使用搜索引擎和瀏覽器的頻率遠(yuǎn)遠(yuǎn)低于臺(tái)式機(jī)用戶。此外，很多移動(dòng)用戶不知道如何配置其設(shè)備的內(nèi)置安全性和隱私設(shè)置以及關(guān)閉定位追蹤等功能。

移動(dòng)設(shè)備安全培訓(xùn)還必須強(qiáng)調(diào)，用戶只能從可信任來(lái)源下載應(yīng)用，并避免那些要求過(guò)多權(quán)限的應(yīng)用。同時(shí)，員工也應(yīng)該停止這樣的習(xí)慣，即在安裝過(guò)程中不假思索地點(diǎn)擊“繼續(xù)”按鈕。用戶應(yīng)該查看應(yīng)用評(píng)級(jí)和閱讀相關(guān)評(píng)論，標(biāo)記出應(yīng)該被避免的應(yīng)用。此外，用戶還應(yīng)該確定應(yīng)用描述中是否包含加密個(gè)人數(shù)據(jù)等安全控制。用戶絕不要安裝任何試圖模仿其它知名應(yīng)用或供應(yīng)商的應(yīng)用。

當(dāng)用戶使用移動(dòng)設(shè)備在網(wǎng)上沖浪時(shí)，攻擊者們有很多機(jī)會(huì)來(lái)誘騙移動(dòng)用戶，因?yàn)樵谝苿?dòng)設(shè)備上，他們更難以驗(yàn)證網(wǎng)站的網(wǎng)址。用戶習(xí)慣于重定向到為移動(dòng)設(shè)備優(yōu)化的頁(yè)面，很多網(wǎng)址鏈接都被縮短了，隱藏了真正的目的地。用戶也無(wú)法確認(rèn)電子郵件中鏈接的真正網(wǎng)址。使用移動(dòng)設(shè)備進(jìn)行網(wǎng)上沖浪的這些問(wèn)題意味著用戶必須更加審慎從事，特別是當(dāng)網(wǎng)站要求提供個(gè)人信息或者提示他們下載應(yīng)用時(shí)。

雖然移動(dòng)設(shè)備可能會(huì)引入更多非正式的通信和工作方法，但企業(yè)的安全政策和紀(jì)律措施不能松懈。如果沒(méi)有合理執(zhí)行移動(dòng)政策，用戶會(huì)很快放棄最佳做法。移動(dòng)設(shè)備管理系統(tǒng)的部署應(yīng)該要求通行碼和加密，并允許遠(yuǎn)程擦除丟失的設(shè)備，這可以幫助避免用戶粗心的行為，同時(shí)為IT提供可視性，讓他們知道哪些應(yīng)用在訪問(wèn)企業(yè)數(shù)據(jù)。

攻擊移動(dòng)用戶的新技術(shù)還會(huì)不斷涌現(xiàn)，這意味著企業(yè)應(yīng)該定期更新培訓(xùn)。如果企業(yè)不關(guān)注用戶體驗(yàn)或者安全培訓(xùn)不能反映出移動(dòng)用戶面臨的不同威脅和攻擊媒介的話，移動(dòng)安全政策將不會(huì)有什么效果。為了保障員工日常工作生活的安全性，企業(yè)在允許新員工使用移動(dòng)設(shè)備訪問(wèn)網(wǎng)絡(luò)資源前，應(yīng)該對(duì)他們進(jìn)行培訓(xùn)。確保他們能夠識(shí)別感染的跡象、電池壽命縮短和處理性能降低以及應(yīng)用程序凍結(jié)等常見問(wèn)題。同時(shí)，對(duì)違反政策的用戶，應(yīng)限制其某些活動(dòng)或服務(wù)，來(lái)表明企業(yè)對(duì)安全性的重視。

如果企業(yè)不安排針對(duì)移動(dòng)設(shè)備使用的培訓(xùn)，這只會(huì)讓用戶及其設(shè)備成為網(wǎng)絡(luò)防御中最大的漏洞。面對(duì)不斷增加的移動(dòng)設(shè)備，提高其安全態(tài)勢(shì)是保護(hù)企業(yè)資產(chǎn)的最有效的方式。