调查显示,很多手机杀毒软件应用程序是没有用的。本文中移动设备管理和移动应用程序管理专家将教你应对手机安全问题。BYOD政策让企业对这些风险引起高度重视。我们看到很多关于移动设备管理(MDM)和移动应用程序管理(MAM)工具,以及这些工具如何防止数据盗窃的文章。即便如此,由于MAM/MDM仍然是新兴产业,人们很自然地会质疑,独立的杀毒软件是否能够提供足够的保护。
最近由AV-Comparatives、AV-TEST和PC安全实验室进行的测试发现,很多产品未能防止恶意程序,只有少数“佼佼者”表现不俗。Savid Technologies公司首席执行官Mike Davis表示,很多手机杀毒应用程序都深陷于基于签名的跟踪方法—这是PC厂商十年前使用的陈旧的方法,而没有采用行为分析—着眼于程序试图执行的活动,而不是代码中预定义的标识符的更现代的方法。 基于签名的手机杀毒产品善于发现已知的威胁,但是如果设备下载一个新的病毒,安全泄露将无法被发现,直到已经造成损害。
Davis表示,这并不全是供应商的责任,因为移动操作系统并没有被设计为适应基于行为的恶意软件追踪。他说:“没有根级管理用户,所以杀毒软件不具有完全的控制来执行这种分析。”
Gartner研究公司副总裁Peter Firstbrook警告说,即使智能手机和平板电脑采用了基于行为或者启发式的扫描,也不一定能确保移动设备无懈可击。行为分析经常出问题,因为“坏的应用程序或者好的应用程序的行为,是一个见仁见智的问题”。为了说明这一点,他提到使用击键显示器让用户知道其聊天对象正在输入的程序,这种程序体现了“合法的API和系统调用”可能会出现偏差。
正因为如此困难,Firstbrook表示,当涉及抵御恶意软件时,对移动操作系统的选取的重要性要高于安全软件的选取。他表示,iOS比Android更安全,因为苹果打造了一个基本封闭式的系统平台,攻击者更难以渗透。
他认为,企业面临的主要iOS安全挑战包括密码保护、加密、远程擦除和其他MDM/MAM问题,因为数据被盗通常源自设备丢失,而不是病毒。对于Android设备,Firstbrook指出,情况有所不同,因为更多用户从非法市场下载应用程序。事实上,最近的Arxan调查发现,几乎所有流行的Android应用程序都已经被黑客攻击,这说明用户使用认可来源的程序的重要性。该调查还发现,大多数iOS应用程序受到攻击,但所幸的是,iPhone和iPad用户不太钟情于非官方市场。
根据安全厂商趋势科技核心技术营销高级经理Jon Clay表示,即使是合法应用程序市场也不足够。他在接受记者采访时指出,攻击者主要依靠第三方应用程序商店来传播他们的攻击程序,但仍然有相当多的恶意程序渗透到Google Play,Google Bouncer是Android生态系统提高安全性的很好的一步,但并没有完全消除威胁。
Firstbrook表示,很多企业因此尽量远离Android,这也是为什么开发人员更愿意为苹果的操作系统开发程序,尽管Android拥有更大的用户群。
尽管存在平台差异和根权限限制,Clay表示,手机杀毒程序仍然是鸡肋:“如果你不能检测出恶意软件,就可能被攻击。”企业需要的不仅仅是局部解决方案,随着企业将注意力转移到MAM/MDM,安全厂商应该如何应对?
后端方法是一个不错的选择,F-Secure实验室安全顾问Sean Sullivan表示,其公司的产品对客户端采用有限的启发式扫描,但全面的行为分析将需要企业对设备进行越狱。因此,F-Secure在后端使用仿真和自动化来分析潜在的新威胁。
趋势科技以及赛门铁克等公司采用了类似的方法,即评估应用程序来源的声誉。
这种技术具有“启发式般的气质”,不仅可以评估应用程序的恶意性,还能够评估其对电池寿命、代码和其他变量的影响。他表示他的团队试图与应用程序供应商合作,允许他们访问基于信誉的数据以及授权应用程序,这种方法可以让企业避免给最终用户带来负担。它还提供了潜在的安全网,以检查开发人员无意留下的漏洞利用机会、企业内部开发的应用程序,以及最初以合法形式发布,随后又以“恶意形式”重新发布的应用程序。
Lookout公司首席安全工程师Tim Wyatt同样主张采用后端的做法。在接受采访时,他指出,Lookout对超过2500万个注册设备建立了移动威胁网络,“该网络不断地分析世界各地的威胁数据以尽快识别和主动阻止新威胁”。
总言之,很多杀毒应用程序不能提供充分的保护,但一些安全厂商能够顺逆而上,主要是通过补偿根级访问限制。然而,Wyatt表示,并不存在放之四海而皆准的解决方案,企业必须采取全面的战略以满足其企业需求。