BYOD和移動(dòng)設(shè)備給企業(yè)安全帶來(lái)了重大挑戰(zhàn)。有的企業(yè)IT根本無(wú)法有效控制保存公司數(shù)據(jù)、應(yīng)用程序和通信的移動(dòng)設(shè)備。隨著針對(duì)智能手機(jī)、平板電腦的惡意軟件日益增多，這種困難將日漸加劇。安全管理者和開(kāi)發(fā)者不能坐視不管，而應(yīng)當(dāng)遵循和利用業(yè)界的滲透測(cè)試方法和框架，從整體上對(duì)移動(dòng)設(shè)備網(wǎng)絡(luò)進(jìn)行有效的滲透測(cè)試。

關(guān)于移動(dòng)測(cè)試，我們確實(shí)可以找到一些所謂的指南。但其出發(fā)點(diǎn)是對(duì)移動(dòng)設(shè)備劃分為幾個(gè)獨(dú)立的范疇?，F(xiàn)有的方法主要依靠的是設(shè)備證書的使用，但它并未得到相關(guān)技術(shù)的充分支持。事實(shí)上，證書只不過(guò)是一個(gè)沒(méi)有與設(shè)備綁定的文件，因而設(shè)備的身份失竊也就輕而易舉了。

網(wǎng)絡(luò)世界的戰(zhàn)爭(zhēng)依靠的是已經(jīng)擁有的武器，而不是希望得到的武器。下文將討論一些進(jìn)行滲透測(cè)試的原則和工具。在此，我們不會(huì)討論公司文化、預(yù)算限制，也不涉及測(cè)試每個(gè)客戶端的配置。

定義策略

策略應(yīng)當(dāng)將企業(yè)的戰(zhàn)略轉(zhuǎn)換為可執(zhí)行的指南。更新安全策略，使其包含強(qiáng)健的移動(dòng)安全，這對(duì)于增強(qiáng)公司對(duì)移動(dòng)網(wǎng)絡(luò)上公司數(shù)據(jù)的掌控是非常關(guān)鍵的。

要求員工在聲明上簽字，宣稱自己會(huì)遵循公司的策略，否則就會(huì)面臨懲罰，這是創(chuàng)建安全意識(shí)和責(zé)任的重要步驟。安全應(yīng)當(dāng)成為一種共享責(zé)任的事情。

盡一切可能驗(yàn)證

對(duì)于每個(gè)策略，IT必須確立通過(guò)哪種方式進(jìn)行驗(yàn)證。IT可以對(duì)一些措施進(jìn)行遠(yuǎn)程驗(yàn)證。

例如，通過(guò)使用設(shè)備的指紋識(shí)別技術(shù)，對(duì)于未知設(shè)備并不阻止，而是作為一種捕獲異常的觸發(fā)器。在一個(gè)設(shè)備的身份變成另一個(gè)設(shè)備的身份時(shí)，就表明發(fā)生了嚴(yán)重的問(wèn)題。

掃描設(shè)備平臺(tái)

移動(dòng)設(shè)備安全的第一層就是移動(dòng)設(shè)備自身的平臺(tái)。有些平臺(tái)比其它平臺(tái)更安全或更好，而老版本往往在比賽中落敗。記住，有些移動(dòng)平臺(tái)本身可能比標(biāo)準(zhǔn)的公司工作站更安全。

這意味著檢查并記錄移動(dòng)設(shè)備的操作系統(tǒng)。這一步對(duì)于靜態(tài)設(shè)備的滲透測(cè)試是很常見(jiàn)的一步。這一步的目標(biāo)是檢查用戶是否沒(méi)有使用易被攻擊的老系統(tǒng)。企業(yè)IT應(yīng)阻止與某些有明顯漏洞的老操作系統(tǒng)版本進(jìn)行通信。

設(shè)備端口安全

公司允許移動(dòng)設(shè)備訪問(wèn)公司的無(wú)線網(wǎng)絡(luò)，那些這些設(shè)備就會(huì)將類似端口作為靜態(tài)設(shè)備。其中包括TCP和UDP端口。IT應(yīng)經(jīng)常檢查端口，并掃描這些端口背后的應(yīng)用程序的版本。

欺詐性移動(dòng)應(yīng)用

IT不可能測(cè)試一切，但這不能成為偷懶的理由。對(duì)移動(dòng)平臺(tái)及其應(yīng)用進(jìn)行測(cè)試的最有效方法是，驗(yàn)證系統(tǒng)的權(quán)利。移動(dòng)應(yīng)用需要某些系統(tǒng)訪問(wèn)權(quán)。受到破壞的應(yīng)用程序版本往往要求超過(guò)其實(shí)際需要的訪問(wèn)權(quán)。

IT安全團(tuán)隊(duì)?wèi)?yīng)檢查用戶經(jīng)常下載的移動(dòng)應(yīng)用，并且對(duì)最初開(kāi)發(fā)者所允許的訪問(wèn)權(quán)限的原始清單與該移動(dòng)應(yīng)用實(shí)際得到的權(quán)限進(jìn)行比較。如果二者不匹配，就應(yīng)引起足夠的警戒。

應(yīng)用端點(diǎn)

移動(dòng)設(shè)備上的應(yīng)用程序可以使用幾種應(yīng)用端點(diǎn)。這里的端點(diǎn)是指一個(gè)移動(dòng)應(yīng)用連接到應(yīng)用程序的連接器，例如，它可被用于下載廣告或更豐富的內(nèi)容。

無(wú)疑，企業(yè)必須強(qiáng)化這些端點(diǎn)，使攻擊者無(wú)法通過(guò)端點(diǎn)利用系統(tǒng)漏洞。企業(yè)IT必須知道有些移動(dòng)應(yīng)用包含漏洞，并且有可能造成損害。

安全應(yīng)用

移動(dòng)應(yīng)用市場(chǎng)上，確實(shí)有一些很不錯(cuò)的創(chuàng)新可以增強(qiáng)移動(dòng)安全性。在任何時(shí)候，移動(dòng)應(yīng)用的自動(dòng)更新都是最佳的安全方法。此措施可以為應(yīng)用打上最新的安全補(bǔ)丁。一些著名廠商也推出了不少安全精品，其中有大家熟悉的工具(如反病毒和防火墻)。

例如，著名的ZANTI就是一款基于Android的安全測(cè)試平臺(tái)，管理者可以用它進(jìn)行網(wǎng)絡(luò)掃描、模擬中間人攻擊，并對(duì)總體的漏洞狀況做出評(píng)估。而且此工具還有一款免費(fèi)版本。Zimperium這款掃描工具也有iOS版本。

在移動(dòng)滲透測(cè)試過(guò)程中，不管是定制的工具還是現(xiàn)成的方法，企業(yè)都需要評(píng)估哪些工具和技術(shù)適合自己。移動(dòng)的強(qiáng)化是很重要的問(wèn)題，但監(jiān)視也不容忽視。

對(duì)于在高度復(fù)雜的環(huán)境中的防御措施，找到能夠檢測(cè)異?；顒?dòng)的補(bǔ)充機(jī)制是成功的關(guān)鍵。單獨(dú)靠一種掃描不可能完全奏效，因而將多種措施結(jié)合起來(lái)進(jìn)行適時(shí)處理是很關(guān)鍵的。

通過(guò)在信息安全領(lǐng)域中應(yīng)用最佳可行的原則和方法，并且根據(jù)移動(dòng)滲透測(cè)試的方向進(jìn)行調(diào)整，企業(yè)就能夠獲得可靠且可行的情報(bào)。