提到 “移動(dòng)安全威脅”，你腦海里只有 “移動(dòng)惡意軟件”?事實(shí)上，還有很多移動(dòng)安全威脅類型要遠(yuǎn)比移動(dòng)惡意軟件更加緊迫。而對(duì)于 2019 年緊迫的 7 種移動(dòng)安全威脅類型，每個(gè)企業(yè)都應(yīng)該加以關(guān)注并認(rèn)真對(duì)待。

[[272477]]

如今，移動(dòng)安全是每家公司擔(dān)心的問題——而且理由很充分：現(xiàn)在幾乎所有工作人員都習(xí)慣使用智能手機(jī)訪問公司數(shù)據(jù)，這就意味著確保敏感信息不落入壞人之手正成為一個(gè)越來越錯(cuò)綜復(fù)雜的難題。甚至可以說，這種風(fēng)險(xiǎn)比以往任何時(shí)候都要高：根據(jù)波耐蒙研究所 (Ponemon Institute) 2018 年的一份報(bào)告顯示，企業(yè)數(shù)據(jù)泄露的平均成本高達(dá) 386萬美元，這一數(shù)字要比一年前的估計(jì)成本高出 6.4%。

雖然人們很容易把注意力放在 “惡意軟件” 這種極具震撼性的話題上，但事實(shí)上，移動(dòng)惡意軟件感染在現(xiàn)實(shí)世界中是非常罕見的——根據(jù)一項(xiàng)估計(jì)顯示，你被移動(dòng)惡意軟件感染的幾率要明顯低于你被閃電擊中的幾率。惡意軟件目前在數(shù)據(jù)泄露事件中被列為 “最不常見的初始行為”，事實(shí)上，在 Verizon 發(fā)布的《2019年數(shù)據(jù)泄露調(diào)查報(bào)告》中，惡意軟件甚至排在 “物理攻擊” 之后。這主要?dú)w功于移動(dòng)惡意軟件的性質(zhì)，以及現(xiàn)代移動(dòng)操作系統(tǒng)內(nèi)置的固有保護(hù)機(jī)制。

更現(xiàn)實(shí)的移動(dòng)安全隱患存在于一些容易被忽視的領(lǐng)域，隨著 2019 年的到來，這些問題預(yù)計(jì)只會(huì)變得更加緊迫：

一、數(shù)據(jù)泄漏

這聽起來像是機(jī)器人泌尿外科醫(yī)生的診斷，但數(shù)據(jù)泄露被廣泛視為 “2019年企業(yè)安全最令人擔(dān)憂的威脅之一”。還記得那些幾乎不存在的被惡意軟件感染的幾率嗎?好吧，根據(jù) Ponemon 的最新研究顯示，當(dāng)涉及到數(shù)據(jù)泄露時(shí)，公司有近 28% 的幾率在未來兩年內(nèi)經(jīng)歷至少一起事件——換句話說，就是有超過四分之一的可能性。

讓這個(gè)問題變得特別棘手的原因是，它本質(zhì)上并不是邪惡的;相反地，這是用戶在無意中做出了不明智的決定，決定哪些應(yīng)用程序能夠查看和傳輸他們的信息。

Gartner 移動(dòng)安全研究主管 Dionisio Zumerle 表示，“主要的挑戰(zhàn)是如何實(shí)施一種既不會(huì)增加管理員任務(wù)負(fù)擔(dān)，也不會(huì)讓用戶感到沮喪的應(yīng)用審查流程。” 他建議轉(zhuǎn)向移動(dòng)威脅防御 (MTD) 解決方案——如賽門鐵克的 Endpoint Protection Mobile、CheckPoint 的 SandBlast Mobile 以及 Zimperium 的 zIPS 保護(hù)等產(chǎn)品。Zumerle 表示，這些實(shí)用程序可以掃描應(yīng)用程序的 “泄漏行為”，并可以自動(dòng)阻止有問題的進(jìn)程。

當(dāng)然，即便這樣也不能完全解決由于公開的用戶錯(cuò)誤而導(dǎo)致的泄漏——一些簡(jiǎn)單的事情，比如將公司文件傳輸?shù)焦苍拼鎯?chǔ)服務(wù)上，將機(jī)密信息粘貼到錯(cuò)誤的地方，或是將電子郵件轉(zhuǎn)發(fā)給一個(gè)無意的收件人。這是醫(yī)療行業(yè)目前正在努力克服的一個(gè)挑戰(zhàn)：根據(jù)專業(yè)保險(xiǎn)提供商 Beazley 的說法，“意外泄露” 是2018年第三季度醫(yī)療保健組織報(bào)告的數(shù)據(jù)泄露的首要原因。在這段時(shí)間內(nèi)，該類別與 “內(nèi)部消息泄露”一起占據(jù)了所有報(bào)告的泄密事件的近一半。

對(duì)于這種類型的泄漏，數(shù)據(jù)丟失防護(hù) (DLP) 工具可能是最有效的保護(hù)形式。此類軟件明確設(shè)計(jì)用于防止敏感信息的暴露，包括在意外情況下的信息泄露。

二、社會(huì)工程

這種屢試不爽的欺騙策略在移動(dòng)端和臺(tái)式機(jī)上一樣令人不安。盡管人們很容易認(rèn)為社會(huì)工程的弊端是可以避免的，但它們?nèi)匀环浅Ｓ行А?/p>

根據(jù)安全公司 FireEye 2018 年發(fā)布的一份報(bào)告顯示，91% 的網(wǎng)絡(luò)犯罪始于電子郵件。該公司將此類事件稱為 “無惡意軟件攻擊”，因?yàn)樗鼈円揽磕７碌炔呗詠碚T騙人們點(diǎn)擊危險(xiǎn)的鏈接或提供敏感信息。該公司表示，網(wǎng)絡(luò)釣魚在 2017 年期間增長(zhǎng)了 65%，移動(dòng)用戶面臨著最大的風(fēng)險(xiǎn)，因?yàn)樵S多移動(dòng)電子郵件客戶端僅顯示發(fā)件人名稱——這使得欺騙消息變得特別容易蒙混過關(guān)，讓用戶相信該電子郵件來自他們認(rèn)識(shí)或信任的人。

根據(jù) IBM 的一項(xiàng)研究顯示，用戶在移動(dòng)設(shè)備上對(duì)網(wǎng)絡(luò)釣魚攻擊的回應(yīng)率實(shí)際上是臺(tái)式機(jī)的三倍——部分原因是因?yàn)槭謾C(jī)是人們最有可能率先看到消息的地方。與此同時(shí)，Verizon 的最新研究也支持了這一結(jié)論，并補(bǔ)充道：較小的屏幕尺寸以及智能手機(jī)上顯示的詳細(xì)信息有限(特別是通知欄中通常只包含用于打開鏈接或回復(fù)信息的單擊選項(xiàng))等因素都增加了網(wǎng)絡(luò)釣魚攻擊成功的可能性。

除此之外，移動(dòng)電子郵件客戶端中 “行動(dòng)導(dǎo)向” 的按鈕所在的位置過分顯著，以及用戶使用智能手機(jī)時(shí)的不專心和多任務(wù)處理方式等都加劇了這種威脅效果——而且大多數(shù)網(wǎng)絡(luò)流量現(xiàn)在大多發(fā)生在移動(dòng)設(shè)備上的事實(shí)只能進(jìn)一步鼓勵(lì)攻擊者繼續(xù)瞄準(zhǔn)這一領(lǐng)域。

當(dāng)然，社會(huì)工程威脅不僅僅是針對(duì)電子郵件：正如企業(yè)安全公司 Wandera 在其最新的移動(dòng)威脅報(bào)告中指出的那樣，過去一年中 83% 的網(wǎng)絡(luò)釣魚攻擊發(fā)生在電子郵件以外的地方——例如，短信或 Facebook Messenger 和 WhatsApp 等應(yīng)用程序，以及各種游戲和社交媒體服務(wù)之中。

此外，根據(jù) Verizon 的最新數(shù)據(jù)顯示，雖然實(shí)際上只有 1% 到 5% 不等(具體取決于行業(yè))的用戶點(diǎn)擊了網(wǎng)絡(luò)釣魚相關(guān)鏈接，但那些容易上當(dāng)?shù)挠脩敉菍曳覆桓?。該公司指出，有人點(diǎn)擊網(wǎng)絡(luò)釣魚活動(dòng)鏈接的次數(shù)越多，他們將來再次這樣做的可能性就越大。Verizon 此前曾報(bào)道稱，15% 成功被釣魚的用戶將在同一年內(nèi)至少再被釣魚一次。

PhishMe(一家使用真實(shí)世界模擬訓(xùn)練員工識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)釣魚企圖的公司)的信息安全和反網(wǎng)絡(luò)釣魚策略師 John Robinson 表示，我們確實(shí)看到了整體移動(dòng)計(jì)算的增長(zhǎng)推動(dòng)了移動(dòng)敏感度的普遍上升，以及 BYOD 工作環(huán)境的持續(xù)增長(zhǎng)。如今，工作和個(gè)人電腦之間的界限也在不斷模糊，越來越多的員工在智能手機(jī)上同時(shí)查看多個(gè)收件箱，而且?guī)缀趺總€(gè)人在工作日都會(huì)在網(wǎng)上處理一些個(gè)人事務(wù)。因此，在收到工作郵件的同時(shí)收到私人郵件在表面上看起來一點(diǎn)也不奇怪，即使這實(shí)際上可能是一個(gè)詭計(jì)。

這種威脅形勢(shì)只會(huì)日益嚴(yán)峻。網(wǎng)絡(luò)騙子現(xiàn)在顯然正在使用網(wǎng)絡(luò)釣魚手段來試圖誘騙人們放棄雙因素身份驗(yàn)證碼(旨在保護(hù)賬戶免受未經(jīng)授權(quán)的訪問)。為了應(yīng)對(duì)這種情況，用戶可以轉(zhuǎn)向基于硬件的身份驗(yàn)證——通過 Google 的 Titan 或 Yubico 的 YubiKeys 等專用物理安全密鑰，或者通過 Google 的 Android 手機(jī)設(shè)備安全密鑰選項(xiàng)——這是提高安全性和降低基于網(wǎng)絡(luò)釣魚的接管幾率的最有效方法。

根據(jù)谷歌、紐約大學(xué)和加州大學(xué)圣地亞哥分校進(jìn)行的一項(xiàng)研究顯示，即使只是設(shè)備上的身份驗(yàn)證也可以防止 99% 的大規(guī)模網(wǎng)絡(luò)釣魚攻擊和 90% 的針對(duì)性攻擊，相比之下，更易受網(wǎng)絡(luò)釣魚攻擊影響的 2FA 代碼對(duì)于相同類型攻擊的有效防御率分別為 96% 和 76%。

三、無線 (Wi-Fi) 干擾

移動(dòng)設(shè)備的安全性取決于它傳輸數(shù)據(jù)的網(wǎng)絡(luò)。在這個(gè)我們都在不斷連接公共 Wi-Fi 網(wǎng)絡(luò)的時(shí)代，這就意味著我們的信息通常不像我們想象的那么安全。

這個(gè)問題究竟有多重要?根據(jù) Wandera 公司進(jìn)行的一項(xiàng)研究顯示，企業(yè)移動(dòng)設(shè)備使用 Wi-Fi 幾乎是使用蜂窩數(shù)據(jù)的三倍。近四分之一的設(shè)備可能連接到開放且不安全的 Wi-Fi 網(wǎng)絡(luò)，并且有 4% 的設(shè)備在最近一個(gè)月內(nèi)遭遇了中間人攻擊 (MitM)——即有人惡意攔截雙方之間的通信。與此同時(shí)，McAfee 表示，網(wǎng)絡(luò)欺騙最近 “急劇增加”，然而，只有不到一半的人愿意在旅行和依賴公共網(wǎng)絡(luò)時(shí)努力保護(hù)他們的連接安全。

專注研究智能手機(jī)安全問題的 Syracuse 大學(xué)計(jì)算機(jī)科學(xué)教授 Kevin Du 表示：現(xiàn)在，加密流量并不困難。如果你沒有 VPN，就等于你在自己周邊敞開了很多攻擊入口。

但是，選擇正確的企業(yè)級(jí) VPN 并不容易。和大多數(shù)與安全相關(guān)的考慮因素一樣，這個(gè)問題也是需要權(quán)衡的。Gartner 的 Zumerle 指出，移動(dòng)設(shè)備的 VPN 交付需要更加智能，因?yàn)樽畲笙薅鹊販p少資源消耗(主要是電池)是至關(guān)重要的。一個(gè)有效的 VPN 應(yīng)該知道只有在絕對(duì)必要時(shí)才能激活，而不是當(dāng)用戶訪問類似新聞網(wǎng)站或在已知安全的應(yīng)用程序中工作時(shí)就隨便激活。

四、過時(shí)的設(shè)備

智能手機(jī)、平板電腦和更小的聯(lián)網(wǎng)設(shè)備(通常被稱為物聯(lián)網(wǎng)/IoT)對(duì)企業(yè)安全構(gòu)成了新的風(fēng)險(xiǎn)，因?yàn)榕c傳統(tǒng)的工作設(shè)備不同，它們通常不能保證及時(shí)和持續(xù)的軟件更新。對(duì)于 Android 系統(tǒng)而言尤為如此，絕大多數(shù)制造商在保持其產(chǎn)品更新方面都表現(xiàn)得 “心有余而力不足”——無論是操作系統(tǒng) (OS) 更新還是月度安全補(bǔ)丁發(fā)布——甚至在大多數(shù)物聯(lián)網(wǎng)設(shè)備中根本就沒有內(nèi)置補(bǔ)丁機(jī)制，而如今這些因素正成為越來越大的威脅。

Ponemon 認(rèn)為，撇開攻擊可能性增加不提，移動(dòng)平臺(tái)的廣泛使用提高了數(shù)據(jù)泄露的總體成本，而大量與工作相關(guān)的物聯(lián)網(wǎng)產(chǎn)品只會(huì)導(dǎo)致這一數(shù)字進(jìn)一步攀升。根據(jù)網(wǎng)絡(luò)安全公司 Raytheon 的說法，物聯(lián)網(wǎng)是一扇 “敞開的大門”。該公司贊助的一項(xiàng)研究顯示，82% 的 IT專業(yè)人士預(yù)測(cè)，不安全的物聯(lián)網(wǎng)設(shè)備將會(huì)導(dǎo)致企業(yè)內(nèi)部的數(shù)據(jù)泄露——而且這種數(shù)據(jù)泄露規(guī)模和影響很可能是 “災(zāi)難級(jí)的”。

同樣，一項(xiàng)強(qiáng)有力的政策還有很長(zhǎng)的路要走。有些Android設(shè)備確實(shí)可以及時(shí)獲得可靠的持續(xù)性更新。在物聯(lián)網(wǎng)領(lǐng)域變得不那么像 “蠻荒西部” 之前，必須由一家公司圍繞它們建立自己的安全網(wǎng)絡(luò)。

五、加密劫持(Cryptojacking)攻擊

作為相關(guān)移動(dòng)威脅列表的一個(gè)相對(duì)較新的補(bǔ)充，Cryptojacking=Cryptocurrency(加密貨幣)+ Hijacking(劫持)，它的字面意義是 “劫持加密數(shù)字貨幣”，實(shí)際意義則是劫持用戶的計(jì)算機(jī)設(shè)備，并利用其 CPU 或其他處理器來挖掘虛擬加密貨幣，因而叫做 “加密劫持”。這是一種近乎隱身的技術(shù)，企業(yè)通常很難察覺，其造成的損害不言而喻。如果加密貨幣挖掘的惡意軟件感染了云基礎(chǔ)設(shè)施或電費(fèi)賬單，則可能會(huì)立即產(chǎn)生財(cái)務(wù)影響。它還可能通過減慢機(jī)器速度，來?yè)p害設(shè)備的生產(chǎn)效率和性能，而后者的損害結(jié)果顯然不如前者易于察覺。

雖然 “加密劫持” 起源于桌面，但從 2017 年末到 2018 年初，它在移動(dòng)端出現(xiàn)了激增的趨勢(shì)。根據(jù) Skybox Security 一份分析報(bào)告顯示，2018 年上半年，不受歡迎的加密貨幣挖掘占所有攻擊的三分之一，與前半年相比，這段時(shí)間顯著增加了 70%。此外，根據(jù) Wandera 的一份報(bào)告顯示，2017 年 10 月至 11 月期間，針對(duì)移動(dòng)設(shè)備的加密劫持攻擊爆發(fā)了，受影響的移動(dòng)設(shè)備數(shù)量激增了 287%。

自那以后，情況已經(jīng)有所緩解，特別是在移動(dòng)領(lǐng)域。這一結(jié)果主要得益于蘋果 iOS 應(yīng)用商店和 Android 相關(guān)的谷歌 Play 商店分別在 6 月和 7 月禁止使用加密貨幣挖掘應(yīng)用的舉措。盡管如此，該安全公司還是注意到，攻擊可以繼續(xù)通過移動(dòng)網(wǎng)站(甚至只是移動(dòng)網(wǎng)站上的流氓廣告)以及從非官方第三方市場(chǎng)下載的應(yīng)用程序獲得一定程度的成功。

分析人士還指出了通過互聯(lián)網(wǎng)連接的機(jī)頂盒(一些企業(yè)可能會(huì)使用機(jī)頂盒進(jìn)行流媒體和視頻投射)進(jìn)行加密劫持的可能性。根據(jù)安全公司 Rapid7 的說法，黑客已經(jīng)找到了一種方法來利用一個(gè)明顯的漏洞，該漏洞使 Android Debug Bridge(一種僅供開發(fā)人員使用的命令行工具)變得容易訪問，而且濫用這類產(chǎn)品的時(shí)機(jī)已經(jīng)成熟。

目前，對(duì)于這種威脅形式并沒有什么好的答案，除了仔細(xì)選擇設(shè)備并堅(jiān)持要求用戶僅從平臺(tái)的官方店面下載應(yīng)用程序，如此可能會(huì)顯著降低加密劫持的可能性。而且實(shí)際上，目前沒有跡象表明大多數(shù)公司受到任何重大或直接的威脅，特別是考慮到整個(gè)行業(yè)都在采取預(yù)防措施。盡管如此，考慮到過去幾個(gè)月該領(lǐng)域的活動(dòng)起伏不定，而且攻擊者對(duì)該領(lǐng)域的興趣不斷上升，2019 年的進(jìn)展情況仍然是一件值得關(guān)注的事情。

六、薄弱的密碼衛(wèi)生情況

你可能認(rèn)為我們現(xiàn)在已經(jīng)過了這一階段，但不知何故，用戶仍然沒有正確地保護(hù)他們的帳戶——當(dāng)他們攜帶的手機(jī)同時(shí)包含公司帳戶和個(gè)人登錄時(shí)，這可能會(huì)出現(xiàn)問題。

根據(jù)谷歌和哈里斯民意調(diào)查 (Harris Poll) 的一項(xiàng)新研究發(fā)現(xiàn)，調(diào)查樣本顯示，超過一半的美國(guó)人在多個(gè)賬戶上使用相同的密碼。同樣令人擔(dān)憂的是，近三分之一的人沒有使用雙因素身份驗(yàn)證(或者甚至不知道他們是否在使用它，這可能會(huì)更糟糕)。而且只有四分之一的人在積極地使用密碼管理器，這表明絕大多數(shù)人可能在大多數(shù)地方都沒有設(shè)置特別強(qiáng)的密碼，因?yàn)樗麄兛赡苄枰约荷珊陀洃浢艽a，而太過復(fù)雜、強(qiáng)大的密碼顯然并不利于記憶。

情況只會(huì)變得越來越糟：根據(jù) 2018 年的 LastPass 分析顯示，有整整一半的專業(yè)人士在工作和個(gè)人賬戶上使用相同的密碼。分析還發(fā)現(xiàn)，更糟糕的是，一個(gè)普通員工在工作過程中會(huì)與同事分享大約六個(gè)密碼。

為了避免你認(rèn)為這一切都無關(guān)緊要，2017 年，Verizon 發(fā)現(xiàn)，在與黑客相關(guān)的企業(yè)入侵事件中，80% 以上要?dú)w咎于薄弱或被盜的密碼。特別是移動(dòng)設(shè)備上設(shè)置或被盜的密碼，工作人員想要通過移動(dòng)設(shè)備快速登錄到各種應(yīng)用程序、網(wǎng)站和服務(wù)之中，但是，當(dāng)你這樣做時(shí)，請(qǐng)考慮一下組織數(shù)據(jù)面臨的風(fēng)險(xiǎn)。即便只有一個(gè)人在隨機(jī)零售網(wǎng)站、聊天應(yīng)用或消息論壇上使用了與公司賬戶相同的密碼，也會(huì)將企業(yè)數(shù)據(jù)置于危險(xiǎn)之中?，F(xiàn)在，把這個(gè)風(fēng)險(xiǎn)和前面提到的 Wi-Fi 干擾的風(fēng)險(xiǎn)結(jié)合起來，乘以你工作場(chǎng)所的員工總數(shù)，你還會(huì)覺得這種威脅無關(guān)緊要嗎?

也許令人煩惱的是，大多數(shù)人似乎完全忘記了他們?cè)谶@方面的疏忽。在谷歌和 Harris Poll 調(diào)查中，69% 的受訪者對(duì)于自己是否有效地保護(hù)了他們的在線賬戶，給了自己一個(gè) “A” 或 “B” 的評(píng)分，盡管后來的答案表明并非如此。顯然，我們無法信任用戶自己對(duì)此事的評(píng)估。

七、物理設(shè)備違規(guī)

最后且最重要的一點(diǎn)可能看起來特別愚蠢，但仍然是一個(gè)令人不安的現(xiàn)實(shí)威脅：丟失或無人看管的設(shè)備可能是一個(gè)主要的安全風(fēng)險(xiǎn)，特別是如果它沒有強(qiáng)大的 PIN 或密碼和完整的數(shù)據(jù)加密的話。

關(guān)于這種情況的緊迫性，我們可以通過下述數(shù)據(jù)進(jìn)行了解：在 2016 年的 Ponemon 研究中，35% 的專業(yè)人士表示他們的工作設(shè)備中沒有設(shè)置強(qiáng)制措施來保護(hù)可訪問的公司數(shù)據(jù)。更糟糕的是，接近一半的受訪者表示他們沒有密碼、PIN 或生物識(shí)別安全機(jī)制來保護(hù)他們的設(shè)備——且大約三分之二的受訪者表示他們沒有使用任何加密技術(shù)。68% 的受訪者表示他們有時(shí)會(huì)通過移動(dòng)設(shè)備訪問個(gè)人和工作帳戶的密碼。

如今，時(shí)過三年，情況似乎并沒有好轉(zhuǎn)。在其 2019 年的移動(dòng)威脅態(tài)勢(shì)分析中，Wandera 發(fā)現(xiàn)，43% 的公司在其登記簿中至少有一部智能手機(jī)沒有設(shè)置任何鎖屏安全措施。該報(bào)告還指出，即便是在設(shè)備上設(shè)置了密碼或 PIN 的用戶，大多數(shù)也只是選擇了使用最少的四字符代碼。

由此，很容易得出結(jié)論：僅僅把責(zé)任留給用戶是不夠的。不要只是做出假設(shè)，而要切實(shí)地制定政策，你以后會(huì)感謝自己這樣做的。

• 波耐蒙研究所2018年的關(guān)于數(shù)據(jù)泄露的報(bào)告：https://www.ibm.com/security/data-breach
• Verizon 發(fā)布的《2019年數(shù)據(jù)泄露調(diào)查報(bào)告》：https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文