如今,移動設備安全已成為企業擔憂的頭等大事,這是有充分理由的:現在幾乎所有員工通過智能手機訪問企業的數據,這意味著其敏感信息可能落入他人之手,使安全工作變得越來越複雜。因此,這一風險比以往任何時候都要高:根據波洛蒙研究所發佈的一份調查報告,每次數據洩露的平均損失高達386萬美元。這比一年前的估計損失高出6.4%。
雖然人們很容易將注意力集中在惡意軟件這一令人矚目的話題,但事實上,手機被惡意軟件感染在現實世界中是極其罕見的。根據一項調查,手機感染幾率遠遠低於被閃電擊中的幾率。實際上,惡意軟件目前被認為是數據洩露事件中最不常見的攻擊事件,實際上其在Verizon公司發佈的《2019年數據洩露調查報告》中的威脅排名甚至在物理攻擊之後。這要歸功於移動設備惡意軟件的性質以及現代移動設備操作系統中內置的固有保護。
更為現實的移動設備安全隱患存在於一些容易被忽視的領域,所有這些領域只會變得更加緊迫:
數據洩露
數據洩漏被普遍認為是2019年企業安全最令人擔憂的威脅之一。根據波洛蒙研究所的最新研究,在涉及數據洩露時,企業在未來兩年內至少發生一次事件的幾率為28%,換句話說,幾率是四分之一以上。
調研機構Gartner公司移動設備安全研究總監Dionisio Zumerle說:“主要的挑戰是如何實施應用程序審核,而這一過程不會使管理員不知所措,也不會使用戶感到沮喪。”他建議使用移動設備威脅防禦(MTD)解決方案,例如Symantec公司的Endpoint Protection Mobile,CheckPoint公司的SandBlast Mobile和Zimperium公司的zIPS Protection之類的產品。Zumerle說,這些實用程序會掃描應用程序中的“洩漏行為”,並可以自動阻止有問題的進程。
社交工程
移動設備與臺式機一樣,遭遇的欺騙策略同樣令人困擾。儘管人們認為可以輕鬆地避免社交工程弊端,但它們仍然具有驚人的效果。
根據安全機構FireEye公司的2018年報告,91%的網絡犯罪始於電子郵件。該公司將此類事件稱為“無惡意軟件攻擊”,因為它們依靠假冒等策略誘騙人們點擊危險鏈接或提供敏感信息。該公司表示,網絡釣魚在2017年增長了65%,並且移動設備用戶面臨更大風險,因為許多移動設備電子郵件客戶端只顯示發件人的姓名,這使得欺騙郵件和誘騙人們認為電子郵件來自他們認識或信任的人從而容易點擊。
Wi-Fi干擾
移動設備僅與通過其傳輸數據的網絡一樣安全。在這個時代,人們都不斷地連接到公共Wi-Fi網絡,這意味著人們的信息通常不像想象的那樣安全。
這到底有多重要?根據Wandera公司的研究,企業移動設備使用Wi-Fi幾乎是使用蜂窩通信設備數據的三倍。近四分之一的設備已連接到開放且可能不安全的Wi-Fi網絡,並且有4%的設備在最近一個月內遭受了中間人攻擊(即有人惡意攔截了兩方之間的通信)。安全廠商McAfee公司表示,最近,網絡欺騙量已經急劇增加,但只有不到一半的人在旅行和依賴公共網絡時保護自己的連接。
過時的設備
智能手機、平板電腦和小型互聯設備(通常稱為物聯網)給企業安全帶來了新的風險,因為與傳統的工作設備不同,它們通常無法保證及時且持續的軟件更新。尤其是在Android平臺上,絕大多數製造商都無法通過操作系統(OS)更新以及它們之間安全補丁程序以及物聯網設備來保持其產品的最新狀態。
波洛蒙研究所表示,除了增加網絡攻擊的可能性之外,廣泛使用移動設備平臺會增加數據洩露的總體成本,而與工作相關的物聯網產品的豐富只會使這一數字進一步攀升。據網絡安全廠商Raytheon公司稱,物聯網是一扇敞開的門,該公司發佈的研究報告表明,82%的IT專業人員預測,不安全的物聯網設備將在其組織內造成數據洩露,可能會導致災難性後果。
加密劫持攻擊
作為相關移動設備威脅列表中的一種相對較新的威脅,加密劫持是一種攻擊,其中有人在所有者不知情的情況下使用設備來挖掘加密貨幣。人們需要知道這一點:加密採礦過程使用企業的設備來獲取他人的利益。它在很大程度上依賴於移動技術來做到這一點,這意味著受到影響的手機電池壽命可能不足,甚至可能由於過熱而受損。
目前,除了謹慎選擇移動設備和堅持要求用戶只能從平臺的官方網站下載應用程序的政策(在那裡,加密劫持代碼的可能性顯著降低)之外,沒有別的辦法,實際上,沒有跡象表明大多數公司正面臨任何重大或直接的威脅,特別是考慮到整個行業正在採取的預防措施。儘管如此,鑑於過去幾個月這一領域的活動波動和興趣上升,隨著2019年的進展,這一點令人關注。
密碼保護意識不強
人們可能會認為現在已經加強防範,但不知何故,很多用戶仍然沒有正確地保護他們的帳戶。當他們攜帶的手機登錄公司帳戶和個人帳戶時,這可能面臨嚴重問題。
谷歌公司和哈里斯民意調查公司最近共同進行的一項調查發現,根據調查樣本,超過一半的美國人在多個帳戶中重複使用了密碼。同樣令人擔憂的是,將近三分之一沒有使用2FA密碼。只有四分之一的人正在積極使用密碼管理器,這表明絕大多數人在大多數地方可能沒有使用特別強大的密碼,因為他們可能自己設置和記住密碼。
物理設備的數據洩露
丟失或無人看管的移動設備可能是一個重大的安全風險,特別是如果它沒有強大的PIN或密碼和完整的數據加密的話。
在波洛蒙研究所在2016年進行的一項研究中,35%的專業人士表示,他們的工作設備沒有強制措施來保護可訪問的公司數據。更糟糕的是,近一半的受訪者表示,他們的設備沒有采用密碼、PIN或生物特徵安全保護措施,約三分之二的受訪者表示,他們沒有使用加密技術。68%的受訪者表示,他們有時會在通過移動設備訪問的個人和工作帳戶中共享密碼。
移動設備廣告欺詐
根據美國互動廣告局的調查,移動設備廣告創造了大量收入,僅在2019年上半年就達到了579億美元。網絡犯罪分子致力尋求從移動設備廣告收入流中獲利的方法也就不足為奇了。而對廣告欺詐損失的估計卻有所不同,根據Juniper Research公司的預計,到2023年,全球每年由於廣告欺詐將損失1000億美元。
廣告欺詐可以採取多種形式,但最常見的是使用惡意軟件對廣告進行點擊,這些廣告似乎來自使用合法應用程序或網站的合法用戶。例如,用戶可以下載提供合法服務的應用程序,如天氣預報或消息。不過,在後臺,應用程序會對出現在這個應用程序上的合法廣告產生欺詐性點擊。廣告發布商通常是按其產生的廣告點擊次數付費的,因此移動設備廣告欺詐行為從企業的廣告預算中竊取費用,將顯著減少廣告發布商的收入。
閱讀更多 e安教育 的文章
