如今,移动安全在每个公司所的担忧的网络安全话题中处于领先位置,并且有充分的理由:几乎所有企业工作人员现在都经常从智能手机端访问公司数据,这意味着将敏感信息从这些行为中区分开来并严格保护是一个越来越复杂的难题。
根据2018年Ponemon Institute报告显示,公司因数据泄露而导致的损失平均高达386万美元,这足以说明它比以往任何时候都要高,这比一年前的估计成本高出6.4%。
虽然人们很容易将重点放在恶意软件这一令人“谈虎色变”的主题上,但事实上,移动恶意软件感染在现实世界中却是不为常见的。根据一项估计,用户被移动恶意软件感染的几率明显低于遭受闪电击中的可能性。 这要归功于移动恶意软件的性质以及现代移动操作系统内置的固有保护措施。
更现实的移动安全隐患存在于一些容易被忽视的区域,并且将在2019年变得更加严峻:
数据泄漏
数据泄漏被广泛视为2019年企业安全最令人担忧的威胁之一。还记得那些几乎不存在感染恶意软件的可能性吗?那么,当涉及到数据泄露时,据Ponemon的最新研究,公司在接下来的两年中至少有28%的机会遇到至少一起事件,换言之,超过了1/4的可能性。
是什么让这个问题特别棘手?因为它往往本质上并不是恶意的,相反,这是用户无意中做出关于哪些应用能够查看和传输其信息的不明智决定的问题。
Gartner移动安全研究主管Dionisio Zumerle表示:“主要的挑战在于,如何实施一个不会压倒管理员并且不会让用户感到沮丧的应用程序审查流程。”他建议转向移动威胁防御(MTD)解决方案,例如赛门铁克的Endpoint Protection Mobile、CheckPoint的SandBlast Mobile和Zimperium的zIPS保护等产品。 Zumerle认为,这些实用程序可以扫描应用程序的“泄漏行为”,并可以自动阻止有问题的进程。
当然,即便如此也不会总是涵盖由于管理员低级的错误而导致的泄漏,比如简单到将公司文件传输到公共云存储服务,在错误的地方粘贴机密信息,或将电子邮件转发给无关的收件人。这也是医疗行业目前难以克服的挑战:根据专业保险提供商Beazley的说法,“意外披露”是医疗保健组织在2018年第三季度报告数据泄露的首要原因。该类方式与内部泄漏相结合几乎占据了在该时间跨度内报告的一半违规行为。
对于这种类型的泄漏,数据防泄漏(DLP)工具可能是最有效的保护形式。 此类软件专门设计用于防止敏感信息的泄露,包括在意外情况下。
社会工程学攻击
这种经过验证的诡计策略与在移动前端实施攻击一样令人不安。尽管人们可以轻松地认为可以避免社会工程学攻击,但它们仍然非常有效。
根据安全公司FireEye在2018年的报告指出,91%的网络犯罪始于电子邮件。该公司将此类事件称为“无恶意软件攻击”,因为他们依靠模仿等策略,诱骗人们点击危险链接或提供敏感信息。该公司称,网络钓鱼攻击在2017年期间增长了65%,移动用户因为许多移动电子邮件客户端仅显示发件人名称的方式而面临极大的风险,特别容易欺骗消息并欺骗用户认为电子邮件是来自他们认识或信任的人。
事实上,根据IBM的一项研究,用户在移动设备上回应网络钓鱼攻击的可能性是PC端的三倍,部分原因仅仅是因为手机是人们最有可能首先看到消息的地方。根据Verizon的2018年数据泄露调查报告,虽然只有4%的用户真正点击了网络钓鱼相关链接,但那些容易上当的人们往往会屡次犯错。该公司指出,有人点击网络钓鱼活动链接的次数越多,他们越有可能在将来再次这样做。 Verizon之前曾报道过,成功被网络钓鱼的用户中有15%将在同一年内至少再被钓鱼一次。
PhishMe的信息安全和反网络钓鱼策略师Robinson指出,工作和个人生活之间的界限也在变得模糊。他指出,越来越多的工作人员在智能手机上查看多个收件箱,几乎每个人都在工作日期间也在忙着其他个人事物。
不安全的WiFi连接
移动设备的安全性与通过其传输数据的网络高度相关。在我们不断连接到公共WiFi网络的时代,这意味着我们的信息往往不像我们想象的那么安全。
这个问题究竟有多重要?根据安全公司Wandera的研究,企业移动设备使用WiFi几乎是使用蜂窝移动网络的三倍。近1/4的设备连接到开放且可能不安全的WiFi网络,并且有4%的设备在最近一个月内遭遇了中间人攻击。与此同时,McAfee公司表示,网络欺骗最近“急剧增加”,但在旅行和依赖公共网络时,只有不到一半的人愿意保护他们的网络连接。
“现在,加密流量并不困难,”Syracuse大学计算机科学教授Kevin Du说,Kevin Du专门研究智能手机安全问题。 “如果你没有VPN,那么在你的周边网络的安全性就会门户洞开。”
但是,选择正确的企业级VPN并不容易。与大多数与安全相关的考虑因素一样,几乎总是需要权衡。 Gartner的Zumerle指出:“移动设备的VPN交付需要更加智能,因为最大限度地减少资源消耗是最重要的。”他说,一个有效的VPN应该知道只有在绝对必要时才能激活,而不是当用户访问类似新闻网站或在已知安全的应用程序中工作时。
未及时更新系统或补丁
物联网(IoT)对企业安全构成了新的风险,因为与传统的设备不同,它们通常不能保证及时和持续的软件更新。特别是在Android方面,绝大多数制造商在保持产品更新方面都不尽如人意,无论是操作系统(OS)更新还是每月更小的安全补丁,甚至有些设备在制造之初就从未考虑更新。其中的许多设备没有内置的补丁机制,而且现在这种威胁变得越来越大。
Ponemon认为,移动设备数量的增加,提高了数据泄露的可能性,并且大量与工作相关的物联网产品的出现只会导致这一数字进一步攀升。根据网络安全公司Raytheon的说法,物联网是一个“敞开的大门”,该公司的一项研究表明,82%的IT专业人士预测,没有安全防护的物联网设备会导致组织内的数据泄露,结果可能是“灾难性的”。
同样,有效的安全策略的出台还有很长的路要走。Android设备通过及时获得可靠的持续更新来抵御威胁,物联网形势才会变得不那么失控,最终实现公司建立自己的安全防护网。
Cryptojacking(挖矿)攻击
作为移动安全威胁的一个相对较新的补充,cryptojacking是一种攻击,攻击者在设备所有者不知情的情况下劫持设备进行挖掘加密货币。如果这些听起来像是很技术性的,那就明白这一点:该类攻击过程是使用你们公司的设备来获取别人的收益。这可能会导致受影响的手机电池寿命减少,或者因组件过热而受损甚至报废。
虽然加密劫持起源于PC时期,但从2017年底到2018年初,在移动设备上出现了激增。根据Skybox Security的分析,70%的加密货币挖掘构成了2018年上半年所有攻击的三分之一。
从那时起,攻击已经有所缓和,特别是在移动领域。这一原因主要得益于在6月和7月份禁止来自Apple的iOS App Store和Android相关的Google Play商店的加密货币挖掘APP。尽管如此,安全公司仍然注意到,通过移动网站(甚至只是移动网站上的流氓广告)以及从非官方的第三方市场下载的APP,攻击仍能取得一定程度的成功。
分析师还注意到通过互联网连接的机顶盒进行Cryptojacking攻击的可能性,一些企业可能会使用这些机顶盒进行流媒体和视频投放。根据安全公司Rapid7的说法,黑客已经找到了一种利用Android Debug Bridge的漏洞, Android Debug Bridge是仅供开发人员使用的命令行工具,但很有可能会被攻击者滥用。
目前,除了仔细选择设备并坚持要求用户仅从官方下载APP之外,没有什么其他好的方法,毕竟官方应用商店中Cryptojacking攻击的可能性已显著降低。并且实际上,没有迹象表明大多数公司受到了重大或直接的威胁,特别是整个行业已经采取了防御措施。尽管如此,鉴于过去几个月这一领域的攻击活动增加,在2019年值得关注。
弱密码
很多人认为现在弱密码已不再是个问题,但无论如何,用户仍然没有正确保护他们的帐户,特别是当他们携带包含公司帐户和个人登录的手机时,这可能会导致严重问题。
Google and Harris的一项调查显示,超过一半的美国人在多个账户中重复使用相同密码。同样令人担忧的是,近1/3的人没有使用双因子身份验证(甚至不知道他们是否正在使用它)。只有1/4的人正在积极使用密码管理器,这表明绝大多数人可能在大多数地方都没有特别强大的密码。
事情只会变得更糟:根据2018年的LastPass分析,一半的专业人士对工作和个人账户使用了相同的密码。分析还发现,一名普通员工在其工作过程中与同事共同使用了大约六个密码。
Verizon发现,2017年在企业中超过80%的与黑客相关的漏洞攻击都是由于弱密码或密码被盗导致。特别是从移动设备——工作人员想要快速登录到各种应用程序,网站和服务——也要考虑到给企业带来的风险,例如员工用公司帐户的相同密码访问个人的零售网站、聊天应用或论坛等。如果将此类风险与上述Wi-Fi风险相结合,企业暴露的网络安全风险会大大增加。