對于移動設(shè)備安全，世界各地的安全專業(yè)人士都會犯相同的錯誤：死守過去成功的策略和戰(zhàn)術(shù)，盡管情況已經(jīng)發(fā)生了變化。

[[111521]]

移動設(shè)備代表著一個不斷變化的攻擊面。隨著智能手機和平板電腦等越來越多地進入企業(yè)，首席信息安全官(CISO)都在爭先恐后地制定應(yīng)對策略。但往往他們的努力都沒有起到實質(zhì)作用。比如，制定移動策略要關(guān)注惡意軟件，但一個有效的移動安全策略還必須同時能夠解決應(yīng)用數(shù)據(jù)泄露、高級攻擊以及內(nèi)部威脅等問題。所以，面對不斷變化的攻擊技術(shù)，企業(yè)需要新的方式來考慮安全性。

移動惡意軟件的發(fā)展情況

雖然我們應(yīng)該關(guān)注除惡意軟件外的很多問題，但惡意軟件本身的問題也不能忽視。因為攻擊者還會繼續(xù)利用惡意軟件來竊取敏感數(shù)據(jù)。隨著移動設(shè)備和數(shù)字環(huán)境的變化，惡意軟件也將隨之變化。并且，隨著虛擬化的興起，出現(xiàn)了更加復(fù)雜的惡意軟件，它們能夠檢測自己是否在虛擬環(huán)境中運行，然后相應(yīng)地改變自己的行為。

由于移動設(shè)備擁有先進的傳感器，我們還會看到這種惡意程序：在設(shè)備傳感器檢測到其符合某些參數(shù)之前，它能夠偽裝成完全合法的應(yīng)用。想象一下這種間諜式的情況：你安裝了山寨版憤怒的小鳥。該應(yīng)用的行為像一個完全合法的游戲，直到你手機上的地理定位傳感器告訴該應(yīng)用，你位于華盛頓FBI的500英尺范圍內(nèi)，這樣，它會開始登錄所有Wi-Fi網(wǎng)絡(luò)或者其范圍內(nèi)可發(fā)現(xiàn)的藍(lán)牙設(shè)備。

惡意軟件已經(jīng)得到媒體和IT專業(yè)人士的很多關(guān)注，因為它是一個常見的威脅。眾所周知，Android設(shè)備存在很多漏洞，這主要是因為Android設(shè)備能夠運行Google Play商店以外交付的應(yīng)用。惡意攻擊者還想出了更聰明的辦法來繞過谷歌的安全檢查。去年4月，Google Play可供下載的32款A(yù)ndroid應(yīng)用中都發(fā)現(xiàn)了名為BadNews的Android惡意軟件。該惡意軟件繞過了谷歌的Bouncer服務(wù)器端掃描以及Android設(shè)備上的本地Verify Apps功能，它“使用以后的日期”通過廣告網(wǎng)絡(luò)被分發(fā)到移動設(shè)備。(在2月的RSA大會上，谷歌宣布計劃升級Verify Apps，讓其可用于非Google Play應(yīng)用)。該惡意軟件可以下載額外的應(yīng)用，并提示受害者(主要是在俄羅斯市場)安裝“重要更新”—用于保險費率短信欺詐。在獲知該惡意軟件后，谷歌立即刪除了該應(yīng)用。

根據(jù)思科2014年度安全報告稱，2013年99%的移動惡意軟件瞄準(zhǔn)了Android設(shè)備。另外一個統(tǒng)計數(shù)據(jù)告訴了我們一個略有不同的信息。谷歌的Android安全首席工程師Adrian Ludwig在去年10月份分享了一個研究數(shù)據(jù)，其中顯示在該公司分析的15億個安裝中，只有1200個(約為0.00008%)被視為存在潛在危害性。盡管普遍認(rèn)為Android越來越多地受到惡意軟件的攻擊，但其知名度和市場份額仍在全球迅速增長。

另一方面，蘋果公司通常不允許App Store之外的應(yīng)用的安裝，因此，在iOS設(shè)備分發(fā)惡意軟件更加困難。但這種安全的“圍墻花園”驅(qū)使很多用戶對其設(shè)備進行越獄，最近有報道稱，針對iOS 7的evasiOn越獄存在惡意軟件。盡管創(chuàng)作者否認(rèn)了這一點，但這在很大程度上也揭露了這種越獄也可能包含攻擊。

易受攻擊的應(yīng)用會帶來高風(fēng)險

惡意軟件得到了最多的關(guān)注，但研究人員知道這并不是唯一的威脅。僅僅因為應(yīng)用的設(shè)計初衷不是惡意性質(zhì)，并不意味著它是安全的。企業(yè)將安全重點完全放在惡意軟件上，容易忽略一個更普遍的威脅：不安全應(yīng)用造成的數(shù)據(jù)泄露。

圖1

我們最近測試了100個流行應(yīng)用(50個iOS和50個Android)應(yīng)對中間人攻擊和SSL攻擊漏洞的情況，包括它們是否將密碼和其它敏感數(shù)據(jù)保存在內(nèi)存中，以及其它常見安全問題。我們發(fā)現(xiàn)，大多數(shù)應(yīng)用(75%的iOS和59%的Android)在一個或多個類別(如圖1所示)獲得了“高”風(fēng)險等級。

Appthority做了類似的研究，結(jié)果發(fā)現(xiàn)95%的前200個免費Android和iOS應(yīng)用表現(xiàn)出危險行為。沒有哪個應(yīng)用類別看起來是免疫的。另外，IOActive最近分析了來自世界上最大的金融機構(gòu)的40個消費級移動銀行應(yīng)用，結(jié)果發(fā)現(xiàn)90%都容易受到攻擊。

高級攻擊瞄準(zhǔn)移動設(shè)備

任何智能手機都可以作為一種記錄設(shè)備;高級攻擊者可以通過點擊一個按鈕就能竊聽企業(yè)董事會會議。內(nèi)置攝像頭同樣可以被遠(yuǎn)程改變用途，作為企業(yè)間諜活動的設(shè)備。利用移動設(shè)備的USB硬件可以將智能手機變成一個手動鍵盤來繞過防火墻和其它傳統(tǒng)防御措施。所有IT專業(yè)人士都知道，智能手機上的數(shù)據(jù)可能會被泄露，但很少人知道，這主要是因為其硬件是遠(yuǎn)程可控制的，移動設(shè)備本身可作為攻擊媒介。

內(nèi)部威脅

全面的移動安全策略還必須解決企業(yè)內(nèi)部的安全威脅。保護企業(yè)免受這種類型的威脅非常困難。移動設(shè)備通常會跨越多個網(wǎng)絡(luò)，在防火墻的兩端運行。只有最小的管理權(quán)限、有限的活動可視性，而且沒有特權(quán)賬戶。

一些企業(yè)已經(jīng)開始投資于先進的技術(shù)，例如，用于防止某些電子郵件或文件被轉(zhuǎn)發(fā)到指定網(wǎng)絡(luò)外的任何人。這是一個很好的防御辦法，但智能手機的截屏功能讓希望分享敏感數(shù)據(jù)的人只需要截取圖片就可以與他們選擇的任何人一起分享數(shù)據(jù)。

基于移動安全2.0的主動策略

那么，企業(yè)如何抵御所有威脅呢?壞消息是，并沒有完美的解決方案。但好消息是，可以采取相應(yīng)的措施讓企業(yè)更安全。安全專業(yè)人員通常都依賴于靜態(tài)簽名安全措施，但對于移動安全，這種措施是不可擴展的。

移動安全策略應(yīng)積極采取防御姿態(tài)。這包括制定一個移動殺傷鏈以在攻擊的各個階段阻止攻擊者。到國外出差可能讓你的員工面臨間諜活動的威脅，因此，員工應(yīng)該使用沒有任何敏感信息的設(shè)備。

保持移動安全意味著提高可視性。所以企業(yè)需要監(jiān)控移動設(shè)備和應(yīng)用。你應(yīng)該了解以下內(nèi)容：

員工使用自己的手機做什么?

信息如何保存?

數(shù)據(jù)被發(fā)送到哪里?

員工通過HTTP而不是HTTPS發(fā)送敏感信息?

你需要監(jiān)測行為模式和異常。在季度財務(wù)報告剛剛編制后，某個用戶是否都會上傳大量數(shù)據(jù)到Dropbox?這是你需要追蹤的行為。

企業(yè)必須適應(yīng)移動設(shè)備遍布的事實。如果無視移動設(shè)備的風(fēng)險，企業(yè)可能面臨數(shù)據(jù)泄露事故、客戶信任損失、收入損失以及違反監(jiān)管法規(guī)的風(fēng)險。同時，安全專業(yè)人員必須從專注于惡意軟件和制定積極策略，轉(zhuǎn)移到應(yīng)對移動設(shè)備帶來的所有威脅。放眼未來，精明的攻擊者將繼續(xù)發(fā)展他們的技術(shù)，你只有不斷進步，才可能打贏這場戰(zhàn)爭。