如今,移动安全是每家公司最担心的问题——而且理由很充分:几乎所有员工现在都经常使用智能手机访问公司数据,这意味着让敏感信息不落入坏人之手是一个越来越复杂的难题。可以说,风险比以往任何时候都要高:根据波耐蒙研究所(Ponemon Institute) 2018年的一份报告显示,企业数据泄露的平均成本高达386万美元,这比一年前的估计成本高出6.4%。
虽然人们很容易把注意力集中在恶意软件这个轰动一时的话题上,但事实是,手机恶意软件感染在现实世界中极其罕见——根据一项估计,你被感染的几率大大低于被闪电击中的几率。这要感谢移动恶意软件的本质,以及现代移动操作系统内置的固有保护。
更现实的移动安全隐患存在于一些容易被忽视的领域,随着2019年的到来,这些问题预计只会变得更加紧迫:
1. 数据泄漏
这听起来像是机器人泌尿科医生的诊断,但数据泄露被广泛认为是2019年企业安全最令人担忧的威胁之一。还记得那些几乎不存在的被恶意软件感染的几率吗?好吧,根据Ponemon的最新研究,当涉及到数据泄露时,公司有近28%的几率在未来两年内经历至少一次事件——换句话说,几率超过四分之一。
是什么让这个问题特别棘手?因为它本质上并不是邪恶的; 相反,这是用户在无意中做出了不明智的决定,决定哪些应用程序能够查看和传输他们的信息。
Gartner移动安全研究主管Dionisio Zumerle说:“主要的挑战是,如何实现一种既不会让管理员不知所措、也不会让用户感到沮丧的应用审查流程。” 他建议转向移动威胁防御(MTD)解决方案——如赛门铁克的Endpoint Protection Mobile,CheckPoint的SandBlast Mobile和Zimperium的zIPS保护等产品。Zumerle表示,这些实用程序可以扫描应用程序的“泄漏行为”,并可以自动阻止有问题的进程。
当然,即使这样也不会总是涵盖由于公开的用户错误而导致的泄漏——一些简单的事情,比如将公司文件转移到公共云存储服务上,将机密信息粘贴到错误的地方,或者将电子邮件转发给一个意想不到的收件人。这是医疗行业目前正在努力克服的一个挑战:据专业保险公司Beazley称,“意外泄露”是2018年第三季度医疗机构报告的数据泄露的首要原因。在这段时间内,这一类别再加上内部消息泄露,占所有报告的泄密事件的近一半。
对于这种类型的泄漏,防止数据丢失(DLP)工具可能是最有效的保护形式。此类软件明确设计用于防止敏感信息的暴露,包括在意外情况下。
2. 社会工程
这种屡试不爽的欺骗策略在移动端和台式机上一样麻烦。尽管人们很容易认为社会工程的弊端是可以避免的,但它们仍然具有惊人的效果。
根据安全公司FireEye 2018年的一份报告,91%的网络犯罪始于电子邮件。该公司将此类事件称为“无恶意攻击”,因为它们依靠模仿等策略来欺骗人们点击恶意链接或提供敏感信息。该公司称,网络钓鱼在2017年期间增长了65%,移动用户因为许多移动电子邮件客户端仅显示发件人名称的方式而面临最大的风险。
事实上,根据IBM的一项研究,用户对移动设备上的网络钓鱼攻击的回应是桌面的三倍——部分原因仅仅是因为手机是人们最先看到消息的地方。根据Verizon的2018年数据泄露调查报告显示,虽然实际上只有4%的用户点击网络钓鱼相关链接,但那些轻信的用户往往是惯犯:公司指出,如果有人点击钓鱼活动链接越多,他们就越有可能在未来多次点击。Verizon此前曾报道称,15%的成功钓鱼的用户将在同一年内至少再钓鱼一次。
“我们确实看到移动计算整体上的移动敏感度普遍上升以及BYOD工作环境的持续增长,”PhishMe的信息安全和反网络钓鱼策略师John“Lex”Robinson说道。使用真实世界的模拟训练工人的公司识别和应对网络钓鱼。
罗宾逊指出,工作和个人电脑之间的界限也在不断模糊。他指出,越来越多的员工在智能手机上同时查看多个收件箱(连接到工作和个人账户的组合),而且几乎每个人在工作日都会在网上处理一些个人事务。因此,在收到工作邮件的同时收到私人邮件在表面上看起来一点也不奇怪,即使这实际上可能是一个诡计。
3. 无线干扰
移动设备的安全性取决于它传输数据的网络。在一个我们都在不断连接公共Wi-Fi网络的时代,这意味着我们的信息往往不像我们想象的那么安全。
这个问题究竟有多重要?根据企业安全公司Wandera的研究,企业移动设备使用Wi-Fi几乎是使用蜂窝数据的三倍。近四分之一的设备可能连接到开放且不安全的Wi-Fi网络,并且有4%的设备在最近一个月内遭遇了中间人攻击——其中有人恶意拦截双方之间的通信。与此同时,迈克菲表示,网络欺骗最近“急剧增加”,但在旅行和依赖公共网络时,只有不到一半的人愿意保护他们的连接。
“现在,加密流量并不困难,”Syracuse大学计算机科学教授凯文杜说,他专门研究智能手机安全问题。“如果你没有VPN,那么你的周边就会打开很多门户。”
但是,选择正确的企业级VPN 并不容易。与大多数与安全相关的考虑因素一样,几乎总是需要权衡。Gartner的Zumerle指出:“移动设备的VPN交付需要更加智能,因为最大限度地减少资源消耗(主要是电池) 是至关重要的。” 他说,一个有效的VPN应该知道只有在绝对必要时才能激活,而不是当用户访问类似新闻网站或在已知安全的应用程序中工作时。
4. 过时的设备
智能手机、平板电脑和更小的联网设备【通常被称为物联网(IoT)】——对企业安全构成了新的风险,因为与传统的工作设备不同,它们通常不能保证及时和持续的软件更新。在安卓方面尤其如此,绝大多数制造商在保持产品更新方面都令人尴尬无效,无论是操作系统(OS)更新还是每月更小的安全补丁,以及物联网设备,其中很多甚至没有设计为首先获得更新。
杜说:“他们中的许多人甚至没有内置补丁机制,而这在如今正成为越来越大的威胁。”
Ponemon表示,撇开攻击可能性增加不提,移动平台的广泛使用提高了数据泄露的总体成本,而大量与工作相关的物联网产品只会导致这一数字进一步攀升。据网络安全公司雷神介绍,物联网是一扇“敞开的大门”。该公司赞助的一项研究显示,82%的IT专业人士预测,不安全的物联网设备将在公司内部引发数据泄露——很可能是“灾难性的”。
同样,一项强有力的政策将大有裨益。有些Android设备确实能及时、可靠地接收正在进行的更新。在物联网领域变得不那么像蛮荒的西部之前,必须由一家公司围绕它们建立自己的安全网络。
5. Cryptojacking攻击
作为相关移动威胁列表的一个相对较新的补充,cryptojacking是一种攻击,有人使用设备在用户不知情的情况下挖掘加密货币。如果所有这些听起来像是很多技术性的,那请记住一点:加密过程使用你公司的设备来获取别人的收益。它严重依赖于您的技术——这意味着受影响的手机可能会遇到电池寿命不佳甚至可能因组件过热而受损。
虽然密码窃取起源于桌面,但从2017年末到2018年初,它在移动端出现了激增。Skybox的一份安全分析报告显示,2018年上半年,不受欢迎的加密货币挖掘占所有攻击的三分之一,与前半年相比,这段时间的突出程度增加了70%。根据Wandera的一份报告显示,2017年10月至11月,针对移动设备的加密攻击爆发了,受影响的移动设备数量激增了287%。
自那以后,情况有所降温,特别是在移动领域——这一举措主要得益于苹果iOS应用商店和android相关的谷歌Play商店分别在6月和7月禁止使用加密货币挖掘应用。不过,安全公司指出,通过手机网站(甚至只是手机网站上的流氓广告)和从非官方第三方市场下载的应用程序,攻击继续取得一定程度的成功。
分析人士还指出,通过互联网连接的机顶盒进行加密的可能性,一些企业可能将机顶盒用于流媒体和视频播放。据安全公司Rapid7称,黑客已经找到了一种方法来利用一个明显的漏洞,使Android Debug Bridge(一个仅供开发人员使用的命令行工具)变得容易访问,而且滥用这类产品的时机已经成熟。
目前,没有什么好的答案,除非仔细选择设备并坚持要求用户仅从平台的官方店面下载应用程序的策略,其中密码劫持代码的可能性显著降低。并且实际上,没有迹象表明大多数公司受到任何重大或直接威胁,特别是考虑到整个行业采取预防措施。尽管如此,考虑到过去几个月该领域的活动起伏不定,而且人们对该领域的兴趣不断上升,2019年的进展情况值得关注。
6. 密码卫生不良
你可能认为我们现在已经过了这一阶段,但不知为何,用户仍然没有正确地保护他们的帐户——当他们携带的手机同时包含公司帐户和个人登录时,这可能会出现问题。
谷歌和哈里斯民意调查(Harris Poll)的一项新调查发现,根据调查样本,超过一半的美国人在多个账户上使用相同密码。同样令人担忧的是,近三分之一的人没有使用双因素身份验证(或者甚至不知道他们是否在使用它——这可能更糟一些)。而且只有四分之一的人在积极使用密码管理器,这表明绝大多数人可能在大多数地方都没有特别强的密码,因为他们可能是自己生成和记忆密码的。
事情只会变得更糟:根据2018年的LastPass分析,有整整一半的专业人士在工作和个人账户上使用相同的密码。分析发现,如果这还不够,一个普通员工在工作过程中会与同事分享大约六个密码。
为了避免你认为这完全是废话,在2017年Verizon发现,在与黑客相关的企业入侵事件中,80%以上要归咎于薄弱或被盗的密码。特别是从一个移动设备,工作人员想快速登录到各种应用程序、网站和服务,考虑到组织数据的风险,即使只有一个人用他们用于公司帐户的相同密码,随机零售网站,聊天应用或消息论坛上的提示。现在,把这个风险和前面提到的Wi-Fi干扰的风险结合起来,乘以你工作场所的员工总数,并考虑快速累积的可能暴露点的层次。
最令人烦恼的是,大多数人似乎完全忘记了他们在这方面的疏忽。在谷歌和哈里斯民意调查中,69%的受访者为了有效保护他们的在线账户给自己一个“A”或“B”,尽管后来的答案表明不是这样。显然,您无法信任用户自己对此事的评估。
7. 物理设备违反
最后但仍然重要的一点可能看起来特别愚蠢,但仍然是一个令人不安的现实威胁:丢失或无人看管的设备可能是一个主要的安全风险,特别是如果它没有强大的PIN或密码和完整的数据加密。
请考虑以下因素:在2016年的Ponemon研究中,35%的专业人士表示他们的工作设备没有强制措施来保护可访问的公司数据。更糟糕的是,接近一半的受访者表示他们没有密码、PIN或生物识别安全保护他们的设备,大约三分之二的人说他们没有使用加密技术。68%的受访者表示他们有时会通过移动设备访问个人和工作帐户的密码。
结论:仅仅把责任留给用户是不够的。不要通过假设制定政策,你以后会感谢自己的。 |
