如今，移動安全已成為每個公司關(guān)注的重點(diǎn)對象，因?yàn)楝F(xiàn)在幾乎所有員工都能夠定期地從智能手機(jī)訪問公司數(shù)據(jù)，這意味著如果敏感信息被不法分子利用，那么事情就變得復(fù)雜了?，F(xiàn)在說移動風(fēng)險(xiǎn)比以往任何時(shí)候都要高，這一點(diǎn)也不過分。根據(jù)Ponemon Institute 2018年的一份報(bào)告，企業(yè)數(shù)據(jù)泄露的平均成本高達(dá)386萬美元。這比一年前的估計(jì)成本高出6.4%。

說到移動安全，雖然大家很容易將注意力集中在引起轟動的惡意軟件上，但事實(shí)是，鑒于移動惡意軟件的性質(zhì)以及現(xiàn)代移動操作系統(tǒng)中內(nèi)置的固有保護(hù)，其感染數(shù)量并不多。根據(jù)一項(xiàng)估計(jì)，設(shè)備被感染的概率大大低于人被閃電擊中的概率。在數(shù)據(jù)泄露事件中，惡意軟件目前被認(rèn)為是最不常見的手段。在Verizon的《2019年數(shù)據(jù)泄露調(diào)查報(bào)告》中惡意軟件攻擊在物理攻擊之后，排名第二。更為現(xiàn)實(shí)的移動安全隱患位于一些容易被忽視的領(lǐng)域，這些領(lǐng)域的安全才是迫在眉睫：

一、數(shù)據(jù)泄漏

數(shù)據(jù)泄漏被普遍認(rèn)為是2019年企業(yè)安全最令人擔(dān)憂的威脅之一。根據(jù)Ponemon的最新研究，公司在未來兩年內(nèi)，至少有28%的概率發(fā)生至少一次數(shù)據(jù)泄露事件。也就是說，幾率是四分之一。

這個問題特別煩人的地方在于，從本質(zhì)上講，它并不是多大的問題。然而，僅是用戶無意間就哪些應(yīng)用程序能夠查看和傳輸其信息做出錯誤建議的問題。

Gartner移動安全研究總監(jiān)Dionisio Zumerle說：“主要的挑戰(zhàn)是如何實(shí)施應(yīng)用程序?qū)徍诉^程，而該過程不會使管理員不知所措，也不會使用戶失望。” 他建議使用移動威脅防御(MTD)解決方案，諸如Symantec的Endpoint Protection Mobile，CheckPoint的SandBlast Mobile和Zimperium的zIPS Protection之類的產(chǎn)品。這樣的實(shí)用程序會掃描應(yīng)用程序中的“泄漏行為”，并可以自動阻止有問題的進(jìn)程。

當(dāng)然，即使那樣也不總能預(yù)防因?yàn)橛脩舻图壍腻e誤而導(dǎo)致的泄漏，諸如將公司文件傳輸?shù)焦苍拼鎯Ψ?wù)，將機(jī)密信息粘貼到錯誤的位置或?qū)㈦娮余]件轉(zhuǎn)發(fā)給無關(guān)者。醫(yī)療保健行業(yè)目前也正在努力克服這類困難。根據(jù)專業(yè)保險(xiǎn)提供商Beazley的說法，“意外披露”是醫(yī)療保健組織在2018年第三季度報(bào)告的數(shù)據(jù)泄露的主要原因。在這段時(shí)間內(nèi)，該類別與內(nèi)部泄漏的總和幾乎占報(bào)告所有事件的一半。

對于這種類型的泄漏，數(shù)據(jù)丟失防護(hù)(DLP)工具可能是最有效的保護(hù)形式。此類軟件經(jīng)過專門設(shè)計(jì)，可防止在意外情況下泄露敏感信息。

二、社會工程

和臺式設(shè)備一樣，在移動端的欺騙策略同樣令人困擾。盡管人們認(rèn)為可以輕松地避免社會工程的手段，但真正發(fā)生后，它們?nèi)匀痪哂畜@人的效果。

根據(jù)安全公司FireEye的2018年報(bào)告，91%的網(wǎng)絡(luò)犯罪始于電子郵件，這個數(shù)字是讓人震驚的。該公司將此類事件稱為“無惡意軟件攻擊”，因?yàn)樗鼈円揽考倜暗炔呗哉T騙人們單擊危險(xiǎn)鏈接或提供敏感信息。該公司表示，網(wǎng)絡(luò)釣魚在2017年期間增長了65%，并且移動用戶面臨巨大的安全風(fēng)險(xiǎn)，因?yàn)樵S多移動電子郵件客戶端只顯示發(fā)件人的姓名，這使得偽造虛假信息特別容易，欺騙用戶以為電子郵件是來自他們認(rèn)識或信任的人。

根據(jù)IBM的一項(xiàng)研究，實(shí)際上，移動設(shè)備上的網(wǎng)絡(luò)釣魚攻擊的可能性是臺式機(jī)的三倍，部分原因是人們最容易在手機(jī)上看到消息。Verizon的最新研究也證實(shí)了該結(jié)論，并補(bǔ)充說，較小的屏幕尺寸以及智能手機(jī)上的詳細(xì)信息顯示有限(特別是在通知中，現(xiàn)在經(jīng)常包含一鍵式選項(xiàng)以打開鏈接或響應(yīng)消息)，這也可能增加網(wǎng)絡(luò)釣魚的成功幾率。

除此之外，在移動電子郵件客戶端中，回復(fù)的按鈕處在顯著的位置，工作人員也傾向于使用以多任務(wù)、不集中的方式使用智能手機(jī)，都會擴(kuò)大影響。而且大多數(shù)Web流量現(xiàn)在通常都在移動設(shè)備上，這也導(dǎo)致了攻擊者將目光轉(zhuǎn)向移動設(shè)備了。

而且，現(xiàn)在不僅是電子郵件了。企業(yè)安全公司W(wǎng)andera在其最新的移動威脅報(bào)告中指出，過去一年中83%的網(wǎng)絡(luò)釣魚攻擊都發(fā)生在收件箱之外，比如文本消息或Facebook Messenger和WhatsApp之類的應(yīng)用程序以及各種游戲和社交媒體服務(wù)。

此外，根據(jù)Verizon的最新數(shù)據(jù)，雖然只有百分之幾的用戶點(diǎn)擊了與網(wǎng)絡(luò)釣魚相關(guān)的鏈接，視行業(yè)而定，范圍從1%到5%，但Verizon的早期研究表明，那些容易受騙的人傾向于再次上鉤。 該公司指出，某人點(diǎn)擊網(wǎng)絡(luò)釣魚活動鏈接的次數(shù)越多，將來他們再次執(zhí)行此操作的可能性就越大。Verizon之前曾報(bào)告說，成功釣魚的用戶中有15%會在同一年至少會被再釣魚一次。

PhishMe的信息安全和反網(wǎng)絡(luò)釣魚策略師John“ Lex” Robinson說：“我們確實(shí)看到移動敏感總體上受到移動計(jì)算整體增長的推動，以及BYOD工作環(huán)境的持續(xù)增長。” PhishMe是一家用真實(shí)世界的模擬來培訓(xùn)員工識別和應(yīng)對網(wǎng)絡(luò)釣魚的公司。

Robinson指出，工作與個人計(jì)算之間的界線也在繼續(xù)模糊。越來越多的員工在智能手機(jī)上同時(shí)查看多個收件箱，這些收件箱連接了工作和個人賬號，并且?guī)缀趺總€人都在工作日網(wǎng)上操作某些個人業(yè)務(wù)。 因此，從表面上看，似乎個人郵件和工作信息接收如常，而實(shí)際上可能暗藏陷阱。

風(fēng)險(xiǎn)只會不斷攀升。 顯然，網(wǎng)絡(luò)騙子現(xiàn)在甚至還利用網(wǎng)絡(luò)釣魚來誘騙人們放棄兩因素身份驗(yàn)證，一種旨在保護(hù)賬號以防未經(jīng)授權(quán)訪問的代碼。轉(zhuǎn)向基于硬件的身份驗(yàn)證被廣泛認(rèn)為是提高安全性并減少網(wǎng)絡(luò)釣魚可能性的最有效方法，比如通過專用的物理安全密鑰(例如Google的Titan或Yubico的YubiKeys)，或Android手機(jī)通過Google的的設(shè)備安全密鑰選項(xiàng)。

根據(jù)Google、紐約大學(xué)和加州大學(xué)圣地亞哥分校的一項(xiàng)研究，即在設(shè)備上的身份驗(yàn)證可以阻止99%的批量網(wǎng)絡(luò)釣魚攻擊和90%的針對性攻擊，和同類更可疑的2FA代碼釣魚相比，這些設(shè)備的有效率分別為96%和76%。

[[319386]]

三、Wi-Fi干擾

移動設(shè)備的安全性與傳輸數(shù)據(jù)的網(wǎng)絡(luò)一樣。在這個時(shí)代，我們不斷地連接到公共Wi-Fi網(wǎng)絡(luò)，這意味著我們的信息通常不像我們想象的那樣安全。

這到底有多重要?根據(jù)Wandera的研究，企業(yè)移動設(shè)備使用Wi-Fi幾乎是使用蜂窩數(shù)據(jù)的三倍。近四分之一的設(shè)備已連接到開放且可能不安全的Wi-Fi網(wǎng)絡(luò)，并且有4%的設(shè)備在最近一個月內(nèi)遭受了中間人攻擊，即有人惡意攔截了兩方之間的通信。McAfee表示，最近，網(wǎng)絡(luò)欺騙已“急劇增加”，但只有不到一半的人在旅行和依賴公共網(wǎng)絡(luò)時(shí)愿意保護(hù)自己的連接。

錫拉丘茲大學(xué)(Syracuse University)計(jì)算機(jī)科學(xué)教授Kevin Du專門研究智能手機(jī)安全性，他說：“如今，對流量進(jìn)行加密并不難。如果沒有VPN，那么邊界就會敞開許多大門。”

但是，選擇正確的企業(yè)級VPN并非易事。與大多數(shù)安全性考慮一樣，幾乎總是需要進(jìn)行權(quán)衡。 Gartner的Zumerle指出：“移動設(shè)備的VPN交付需要更加智能，因?yàn)樽畲笙薅鹊販p少資源(主要是電池)的消耗是至關(guān)重要的。有效的VPN應(yīng)該知道僅在絕對必要時(shí)才激活，而不是在用戶訪問新聞?wù)军c(diǎn)之類的東西或在已知安全的應(yīng)用程序中工作時(shí)激活。

四、過時(shí)的設(shè)備版本

智能手機(jī)、平板電腦和較小的連接設(shè)備(通常稱為物聯(lián)網(wǎng)(IoT))給企業(yè)安全帶來了新的風(fēng)險(xiǎn)，因?yàn)榕c傳統(tǒng)的工作設(shè)備不同，它們通常無法保證及時(shí)且持續(xù)的軟件更新。尤其是在Android方面，確實(shí)如此，因?yàn)榻^大多數(shù)制造商都無法實(shí)時(shí)更新，不管是通過操作系統(tǒng)(OS)更新，還是物聯(lián)網(wǎng)設(shè)備每月的安全補(bǔ)丁更新，有些甚至在設(shè)計(jì)之初就沒有更新的選擇。

Du說：“其中許多甚至沒有內(nèi)置的修補(bǔ)程序機(jī)制，可如今這些威脅正越來越多。”

根據(jù)Ponemon的說法，且不論攻擊的可能性增加了，就移動平臺的廣泛使用而言，就會增加數(shù)據(jù)泄露的總體成本，而豐富的工作相關(guān)的物聯(lián)網(wǎng)產(chǎn)品只會使這一數(shù)字進(jìn)一步攀升。據(jù)網(wǎng)絡(luò)安全公司雷神公司(Raytheon)稱，物聯(lián)網(wǎng)是“一扇敞開的門”。研究表明，有82%的IT專業(yè)人員預(yù)測，不安全的物聯(lián)網(wǎng)設(shè)備將導(dǎo)致企業(yè)內(nèi)部造成數(shù)據(jù)泄露，這將是很大的一場“災(zāi)難”。

同樣，保障安全的有力政策還有很長的路要走。有些Android設(shè)備確實(shí)會及時(shí)提醒安全更新。然而，目前的物聯(lián)網(wǎng)安全只能由公司把控。

五、加密劫持攻擊

加密劫持是一種新興的移動威脅攻擊，攻擊者在所有者不知情的情況下使用設(shè)備來挖掘加密貨幣。加密采礦過程使用公司的設(shè)備來獲取他人的利益。它在很大程度上依賴于您的設(shè)備技術(shù)來做到這一點(diǎn)，這意味著受影響的手機(jī)可能會經(jīng)歷很長的電池壽命，甚至可能由于組件過熱而遭受損壞。

盡管加密劫持起源于臺式機(jī)，但從2017年末到2018年初，移動端數(shù)量激增。根據(jù)Skybox Security的分析，加密貨幣挖礦占2018年上半年所有攻擊的三分之一。與上半年相比，這段時(shí)間內(nèi)突出增加了70%。根據(jù)Wandera的報(bào)告，在2017年10月至2017年11月之間，針對于移動設(shè)備的加密劫持攻擊數(shù)量爆炸，當(dāng)時(shí)受影響的移動設(shè)備數(shù)量激增了287%。

從那之后，情況有所好轉(zhuǎn)，尤其是在移動領(lǐng)域。這主要得益于，在6月和7月從Apple的iOS App Store和與Android相關(guān)的Google Play商店中禁止使用加密貨幣挖礦應(yīng)用程序。安全公司仍然注意到，通過移動網(wǎng)站(甚至只是移動網(wǎng)站上的流氓廣告)和通過從非官方第三方市場下載的應(yīng)用程序，攻擊仍在持續(xù)。

分析師還指出，還可能通過互聯(lián)網(wǎng)連接的機(jī)頂盒進(jìn)行密碼劫持，某些企業(yè)可能將其用于流媒體和視頻播送。根據(jù)安全公司Rapid7的說法，黑客已經(jīng)找到了一種明顯的漏洞利用的方法，該漏洞使Android Debug Bridge(僅用于開發(fā)人員使用的命令行工具)變得易于訪問，并且可以濫用此類產(chǎn)品。

目前，還沒有很好的應(yīng)對辦法。除了仔細(xì)選擇設(shè)備并遵守一項(xiàng)政策，即要求用戶只能從平臺的官方店面下載應(yīng)用程序外，這才能大大降低密碼劫持的可能性。而且，考慮到整個行業(yè)正在采取預(yù)防措施，實(shí)際上，沒有跡象表明大多數(shù)公司受到任何重大或直接的威脅。盡管如此，隨著2019年的發(fā)展，鑒于過去幾個月在該領(lǐng)域的活動不斷變化和攻擊者興趣不斷上升，加密劫持仍值得一提。

[[319387]]

六、密碼安全強(qiáng)度不夠

密碼安全或許已經(jīng)被重視起來了，但是某種程度上，用戶仍然無法保護(hù)好其賬號的安全。當(dāng)他們同時(shí)攜帶包含公司賬號和個人登錄信息的手機(jī)時(shí)，這尤其成問題。

最近的一項(xiàng)谷歌和哈里斯民意調(diào)查發(fā)現(xiàn)，根據(jù)調(diào)查的樣本，超過一半的美國人，重復(fù)使用多個賬號密碼;將近三分之一沒有使用2FA(或者不知道他們是否正在使用2FA);只有四分之一的人有積極使用密碼管理器，這表明絕大多數(shù)人在大多數(shù)地方可能沒有特別強(qiáng)的密碼，因?yàn)樗麄兇蟾攀亲约荷傻摹?/p>

根據(jù)2018年LastPass的分析，有一半的專業(yè)人士在工作賬號和個人賬號中使用相同的密碼。此外，分析發(fā)現(xiàn)，一個普通的員工在他的工作過程中與一個同事共享大約六個密碼。

2017年，Verizon發(fā)現(xiàn)，較弱的或被盜的密碼超過80%應(yīng)歸咎于與黑客相關(guān)的企業(yè)數(shù)據(jù)泄露行為。特別是在移動設(shè)備(員工希望快速登錄到各種應(yīng)用程序、網(wǎng)站和服務(wù))中，即使只有一個人粗心地在零售網(wǎng)站、聊天APP或消息論壇上輸入公司賬號的相同密碼，這時(shí)候也要考慮對組織數(shù)據(jù)的風(fēng)險(xiǎn)。現(xiàn)在，將這種風(fēng)險(xiǎn)與前面提到的Wi-Fi干擾風(fēng)險(xiǎn)相結(jié)合，將其乘以工作場所中的員工總數(shù)，接著就會發(fā)現(xiàn)潛在風(fēng)險(xiǎn)的暴露點(diǎn)迅速增加。在谷歌和哈里斯民意調(diào)查中，有69%的受訪者在有效保護(hù)其網(wǎng)絡(luò)賬號上給了“ A”或“ B”。顯然，這不可信。

七、物理設(shè)備導(dǎo)致泄露

丟失或無人看管的設(shè)備可能是主要的安全風(fēng)險(xiǎn)，尤其是如果它沒有強(qiáng)大的PIN或密碼以及完整的數(shù)據(jù)加密時(shí)。

在2016年的Ponemon研究中，35%的專業(yè)人員表示他們的工作設(shè)備沒有強(qiáng)制性的措施來保護(hù)可訪問的公司數(shù)據(jù)。更糟糕的是，將近一半的受訪者表示他們沒有密碼、PIN或生物特征安全保護(hù)設(shè)備。大約三分之二的受訪者表示他們不使用加密。68%的受訪者表示，他們有時(shí)會在其移動設(shè)備訪問的個人和工作賬號，并在兩者之間共享密碼。

在2019年移動威脅態(tài)勢分析中，Wandera發(fā)現(xiàn)43%的公司中至少有一部智能手機(jī)沒有任何鎖屏安全性。在其設(shè)備上設(shè)置了密碼或PIN的用戶中，許多人會選擇使用最少的四個字符的密碼。

因此，僅將責(zé)任放在用戶手中是不夠的。不要做假設(shè)，要制定政策。

八、移動廣告欺詐

根據(jù)互動廣告局(IAB)的報(bào)告，移動廣告產(chǎn)生了大量收入，僅在2019年上半年就達(dá)到了579億美元。網(wǎng)絡(luò)犯罪分子也會想從中分一杯羹。因此，他們找到了從移動廣告收入流中竊取現(xiàn)金的方法也就不足為奇了。估計(jì)廣告欺詐成本會有多少不同，但Juniper Research預(yù)計(jì)到2023年每年將損失1000億美元。

廣告欺詐可以采取多種形式，但最常見的是使用惡意軟件來產(chǎn)生對廣告的點(diǎn)擊，這些點(diǎn)擊似乎來自使用合法應(yīng)用程序或網(wǎng)站的合法用戶。例如，用戶可能會下載提供合法服務(wù)(例如天氣預(yù)報(bào)或消息傳遞)的應(yīng)用。但是，在后臺，該應(yīng)用會對在該應(yīng)用上顯示的合法廣告產(chǎn)生欺詐性點(diǎn)擊。發(fā)布商通常會根據(jù)其產(chǎn)生的廣告點(diǎn)擊次數(shù)來付費(fèi)，因此，移動廣告欺詐行為會竊取公司的廣告預(yù)算，并可能竊取發(fā)布商的收入。

最大的受害者是移動廣告商和受廣告支持的發(fā)布商，但廣告欺詐行為也確實(shí)損害了移動用戶。與加密劫持一樣，廣告欺詐惡意軟件會在后臺運(yùn)行，并可能降低智能手機(jī)的性能，耗盡其電池電量，導(dǎo)致更高的數(shù)據(jù)費(fèi)用或引起過熱。安全供應(yīng)商Upstream估計(jì)，由于移動廣告惡意軟件帶來的更高數(shù)據(jù)費(fèi)用，智能手機(jī)用戶每年損失數(shù)百萬美元。

到目前為止，Android是最流行的移動廣告欺詐平臺。根據(jù)Upstream，以下是常見的Android惡意應(yīng)用程序：

• Snaptube
• GPS Speedometer
• Messenger Plus的免費(fèi)消息、視頻、聊天、文本
• Easy Scanner
• Weather Forecast
• Super Calculator
• Who Unfriended Me
• VidMate
• Quicktouch

Upstream報(bào)告建議用戶：

• 定期檢查應(yīng)用程序，并刪除任何看起來可疑的應(yīng)用程序;
• 監(jiān)視數(shù)據(jù)使用情況以發(fā)現(xiàn)異常尖峰;
• 僅從Google Play安裝應(yīng)用;
• 在安裝之前，請檢查應(yīng)用程序的評論，開發(fā)人員詳細(xì)信息以及請求的權(quán)限列表，以確保它們均適用于其本身的用途。