安全專業(yè)人士建議公司將威脅情報(bào)與移動(dòng)設(shè)備管理平臺(tái)整合在一起，實(shí)現(xiàn)共享關(guān)于網(wǎng)絡(luò)安全威脅和惡意應(yīng)用的情報(bào)信息，提升移動(dòng)安全性。

Lower Colorado River Authority首席安全官Larry Whiteside, Jr.建議首先確保能夠從企業(yè)移動(dòng)管理(EMM)/移動(dòng)設(shè)備管理(MDM)提供商那里得到與桌面安全提供商相同等級(jí)的日志信息。

“我并沒有看到那些已經(jīng)安裝了賽門鐵克、邁克菲或其它新桌面安全工具的人說，‘嗯，你采取這些保護(hù)措施就可以了，我們不需要知道什么東西正在攻擊它們，也不需要知道正在發(fā)生什么。保護(hù)它們，我們信任你。’”

Whiteside稱，然而這就是我們目前在移動(dòng)領(lǐng)域中所采取的做法。他稱，當(dāng)公司考慮MDM解決方案時(shí)，他們僅傾向于關(guān)注集成和能力，并沒有對(duì)確保得到日志、威脅類型等一些基本功能提出過多的要求。

 [[140942]]

關(guān)鍵是集成威脅情報(bào)源

將威脅情報(bào)源整合至MDM系統(tǒng)中可使我們能夠使用關(guān)于危險(xiǎn)和惡意應(yīng)用的情報(bào)提升移動(dòng)威脅防御能力。這是應(yīng)用安全服務(wù)提供商Marble Security的主席、首席執(zhí)行官兼首席技術(shù)官David Jevans給出的建議。通常情況下，我們可以通過MDM或是威脅情報(bào)提供商的API將威脅情報(bào)源整合至MDM/EMM平臺(tái)中，

Jevans 稱：“威脅情報(bào)可讓企業(yè)迅速將識(shí)別哪些應(yīng)用不應(yīng)當(dāng)被允許接入網(wǎng)絡(luò)，企業(yè)內(nèi)部可在數(shù)小時(shí)內(nèi)做出相關(guān)決策。”這一理念是獲取數(shù)據(jù)源，將其與MDM聯(lián)系起來，然后快速刪除這些應(yīng)用或是通知相關(guān)用戶。

當(dāng)然，在自備辦公設(shè)備(BYOD)環(huán)境中情況比較復(fù)雜，不過Jevans仍建議我們將威脅源整合至MDM中。他警告稱，公司需要具備管理BYOD的能力，以清楚哪些東西正在用戶的設(shè)備上運(yùn)行著。這通常意味著需要在用戶設(shè)備上部署并運(yùn)行一個(gè)客戶端，讓我們知道設(shè)備正在運(yùn)行哪些東西，這樣才能將設(shè)備與威脅情報(bào)關(guān)聯(lián)起來。

Good Technology也認(rèn)同Jevans提出的BYOD將會(huì)給威脅情報(bào)帶來一些獨(dú)特問題的觀點(diǎn)。他還指出了將威脅情報(bào)直接整合至MDM中可帶來的另一個(gè)好處。“你可能會(huì)希望某個(gè)設(shè)備停止接入公司的網(wǎng)絡(luò)中，雖然我們無法對(duì)整個(gè)設(shè)備中的內(nèi)容進(jìn)行擦除，或是希望讓它們停止與AT&T或是家庭WiFi接入在一起，因?yàn)樗鼈儾皇俏覀冏约旱脑O(shè)備。”

Van Someren補(bǔ)充稱：“由于移動(dòng)設(shè)備不同，我們可以采取許多不同的辦法。但是在許多層面上，它們都具有相同的活動(dòng)，因此威脅情報(bào)需要一個(gè)全局性解決方案，而不是一個(gè)單點(diǎn)解決方案。”

他稱：“典型的MDM解決方案與容器化解決方案相比具有更多弱點(diǎn)。因?yàn)樵谌萜骰鉀Q方案中，容器的重點(diǎn)是讓我們僅能得到針對(duì)某個(gè)容器化應(yīng)用的資源。這種容器解決方案可以更好的應(yīng)對(duì)我們這里討論的一些單點(diǎn)威脅。從移動(dòng)性方面看，由于在管理上就存在缺陷，無法控制公司網(wǎng)絡(luò)中的設(shè)備，因此我們沒有太多的機(jī)會(huì)收集移動(dòng)領(lǐng)域中的信息。”

這里面還有一些隱私問題。“我們必須要認(rèn)真考慮這一問題。我們是否應(yīng)當(dāng)停止從這些終端中收集信息?在行動(dòng)上同樣存在著相似的問題，我們是否了解自己的設(shè)備，如果設(shè)備的設(shè)置出錯(cuò)，那么它們就可能執(zhí)行一些錯(cuò)誤的行為，如果它們是個(gè)人的設(shè)備，我們將無法強(qiáng)制性對(duì)這些設(shè)備中的內(nèi)容進(jìn)行擦除。”

采取一個(gè)全局性解決方案

Van Someren稱，在網(wǎng)絡(luò)安全專家眼中根本沒有移動(dòng)設(shè)備威脅情報(bào)這一概念，這一點(diǎn)非常重要。威脅情報(bào)只有應(yīng)用在整個(gè)基礎(chǔ)設(shè)施中才有意義。

運(yùn)營(yíng)情報(bào)與日志管理解決方案提供商Splunk的首席安全專家Monzy Merza建議，威脅情報(bào)不要僅僅應(yīng)用于針對(duì)個(gè)人交易的單個(gè)IP地址和域中。

他建議企業(yè)應(yīng)當(dāng)全盤考慮整個(gè)IT環(huán)境，包括服務(wù)器、數(shù)據(jù)庫和應(yīng)用以搞清楚移動(dòng)交互是如何產(chǎn)生的，將威脅情報(bào)應(yīng)用在一個(gè)盡可能廣的范圍內(nèi)。

我們應(yīng)當(dāng)部署一些允許我們將威脅情報(bào)應(yīng)用至移動(dòng)應(yīng)用日志、防火墻日志甚至是電子郵件內(nèi)容當(dāng)中的工具。他建議稱：“不要僅局限‘事件數(shù)據(jù)’應(yīng)當(dāng)將威脅情報(bào)應(yīng)用在所有的數(shù)據(jù)來源中。”

微軟企業(yè)移動(dòng)產(chǎn)品營(yíng)銷部高級(jí)總監(jiān)Andrew Conway 稱：“談到獲取一些關(guān)于員工所做事情的情報(bào)，我認(rèn)為最重要的是部署能夠向我們匯報(bào)誰正在訪問如些應(yīng)用，以及在什么時(shí)間的解決方案，讓我們對(duì)應(yīng)用的訪問具有直觀性。”在考慮威脅情報(bào)時(shí)，我們應(yīng)當(dāng)搞清楚“誰正在訪問，在什么時(shí)間，他們是如何做的。”

Marble Security的Jevans給出的另一個(gè)提示是將移動(dòng)威脅情報(bào)與網(wǎng)絡(luò)情報(bào)綜合在一起。網(wǎng)絡(luò)情報(bào)數(shù)據(jù)可能將包括：

· 網(wǎng)絡(luò)坐標(biāo)，即惡意流量正在從移動(dòng)設(shè)備中流向何處。

· 與企業(yè)網(wǎng)絡(luò)相連的設(shè)備是否在防火墻內(nèi)部，它們是否通過VPN相連。

聚焦威脅情報(bào)和網(wǎng)絡(luò)情報(bào)可讓我們更好地描述惡意信息并將其添加至我們?cè)谟玫耐{阻止系統(tǒng)中，無論它們是防火墻還是設(shè)備管理。此外我們還能夠?qū)崿F(xiàn)對(duì)它們的追蹤。Jevans 稱：“你在機(jī)場(chǎng)時(shí)可能無法檢測(cè)它們，但是當(dāng)你回到辦公室就可以對(duì)它們進(jìn)行檢測(cè)。”

網(wǎng)絡(luò)、數(shù)據(jù)和移動(dòng)服務(wù)提供商MetTel的網(wǎng)絡(luò)服務(wù)業(yè)務(wù)副總裁Ed Fox和移動(dòng)業(yè)務(wù)副總裁Max Silber建議在內(nèi)部組建一個(gè)負(fù)責(zé)處理威脅情報(bào)源的SWAT團(tuán)隊(duì)，以為那些正在面臨攻擊威脅的用戶提供目標(biāo)信息。

IBM 安全部門資深安全總顧問Diana Kelley建議在內(nèi)部建立起一個(gè)恰當(dāng)?shù)囊苿?dòng)設(shè)備保護(hù)環(huán)境。如果沒有收到來自外部的威脅情報(bào)，它們可使用MDM解決方案探測(cè)企業(yè)中被越獄的設(shè)備或是被root的設(shè)備。

Kelley 認(rèn)為：“威脅情報(bào)真的非常重要，因?yàn)殡m然它們不是整合行業(yè)性情報(bào)，但是它們是關(guān)們我們內(nèi)部環(huán)境的情報(bào)。他們是否對(duì)設(shè)備進(jìn)行了越獄?如果是，你可能采取措施關(guān)閉這些設(shè)備，限制它們?cè)L問公司容器，不允許它們?cè)L問公司的系統(tǒng)。”

針對(duì)移動(dòng)設(shè)備的威脅只是企業(yè)每天所面臨的大威脅環(huán)境中的一部分。將MDM/EMM與威脅情報(bào)整合在一起相當(dāng)于為移動(dòng)安全增加了一層網(wǎng)絡(luò)安全防護(hù)，從而確?？蓪?duì)日益增加的移動(dòng)網(wǎng)絡(luò)安全威脅采取快速響應(yīng)。