移动安全:企业网络安全的又一次大革命

安全
据反钓鱼工作组(APWG)的调查结果显示,移动设备已经成为吸引世界各地的犯罪分子的目标,移动诈骗的增长速度近乎电脑诈骗的五倍。因此,对于组织而言,管理移动应用程序和设备风险、控制网络访问权限是必不可少的防线。

一直以来,企业的安全管理主要集中于对其网络边界的保护,直到世界上第一台智能手机的面市,业务流程和数据的重心便转向了企业网络的内部。然而,移动革命的浪潮彻底改变了员工互动、互访和信息共享的方式。虽然一些组织升级了内部网络的防御系统,但是黑客也在寻找其他进入企业网络内部的方式,他们试图把焦点转移到网络边缘,利用移动设备来获得进入的权限。

[[86979]]

而安全专家也认为,下一波企业黑客将通过移动设备这条渠道进行网络攻击。据反钓鱼工作组(APWG)的调查结果显示,移动设备已经成为吸引世界各地的犯罪分子的目标,移动诈骗的增长速度近乎电脑诈骗的五倍。因此,对于组织而言,管理移动应用程序和设备风险、控制网络访问权限是必不可少的防线。那么,组织面临的移动/BYOD设备威胁都有哪些呢?

据国际信息系统审计协会(ISACA)《2012信息科技风险与回报测量研究》( ISACA 2012 IT Risk / Reward Barometer)调查,在美国,近乎72%的组织允许自己的员工在工作时使用BYOD。这种新的实践途经把企业面临的风险暴露无遗,这将威胁到整个企业的安全、降低企业的生产率。由于移动设备和BYOD的便携性,以及与公共云应用一体化的性质,数据盗窃或泄露的风险也将大大增加。事实上,Decisive Analytics的一项研究显示,在允许BYOD连接到自己内网的企业中,有近半的企业已经遭受到了数据泄露的惨痛教训。

的确,移动/BYOD设备打开了一个全新的攻击层面,黑客能够利用这些可寻漏洞进入到企业网络中,从而获取到所需的数据。这些漏洞可以被攻击者用以下几种方法所利用:

黑客使用不同的技术对移动/BYOD设备发动恶意攻击,通过种种感染方式(例如MMS、SMS、email、蓝牙、WiFi、用户安装、自安装、内存卡分配和USB)和拒绝服务的攻击方式(例如蓝牙劫持、SMS拒绝、不完整的OEBX信息、不完整的格式字符串和SMS信息)来部署恶意软件(例如病毒、蠕虫、特诺伊木马和间谍程序),还有发动移动消息攻击(例如短信诈骗、短信垃圾、恶意短信内容、SMS/MMS漏洞利用)。

所有的这些技术都可以用来进行活动监控和数据检索,不合法的拨号、短信和网上支付,不合法的网络连接、数据检索、系统修改以及利用泄露出的数据模拟用户界面。这些攻击活动对任何一个组织而言都构成了巨大的威胁,特别是当终端用户在移动设备上保存了密码,这构成的威胁将不可估量。

因此,移动设备制造商应该针对这些威胁安装杀毒软件。例如,三星就在几天前宣布,他们在android智能手机上增加了一个企业安全包。

虽然如此,移动操作系统和移动应用程序在设计或实施上存在的漏洞,依然会暴露移动/BYOD设备的敏感数据,从而被黑客所攻击。随着数以百万计的移动应用程序的上市,应用程序存在的漏洞风险指数明显要高于其他的威胁。虽然商业应用程序提供商的数量是可审查的、移动应用程序开发商和来源的数量也是巨大的,但却是时刻在发生着改变,很难对其信任和声誉进行一个准确的评估。

这些漏洞能够导致但并不局限于以下威胁:数据泄露(偶然或故意的)、不安全的数据存储(例如银行和支付系统的PIN号码、信用卡号、在线服务密码)、不安全的数据传输(例如自动连接到公共WiFi),还有不合法的连接许可请求。

除了漏洞,大量的应用程序也展现出了它们的一些隐私惯例,像以何种方式收集电话或地理位置的数据,以及如何请求应用程序沙箱以外的数据。

事实上,终端用户的行为往往是不可预测的,应用程序不能访问一些敏感数据,也不会被黑客攻击,只会增加移动风险。但最终会由于缺少杀毒软件对移动设备的保护,蓝牙和WiFi也不断地被使用,敏感信息和文件都存储在移动设备内存中,清除这种移动安全威胁的工作将会变得愈加困难。

考虑到这些挑战,在主动管理和消除安全风险的时候,我们可以采取哪些措施来维持企业生产率、节约成本呢?

首先最简单的实践方法就是实施宣传方案,向移动/BYOD终端用户进行关于安全威胁和其避免方法的教育。比如,移动设备包含了大量的数据,但不是所有的都是敏感数据,而攻击者需要渗透到一个安全的网络来获取到准确的数据,如电子邮件账户凭证、用户密码和企业VPN的登录数据。此外,设备本身也可以作为一个可以直接连入企业网络的通道,例如,如果一个黑客用恶意软件让一个移动设备中了病毒,那么他们将可以用该软件通过VPN而连接到内部网络。因为许多终端用户是通过USB接口让自己的移动设备连接到工作站,所以这也是一种能够让网络受到感染的一种途径。

接下来就是围绕移动设备的使用来建立严格的策略,一个好的参考框架就是 “企业移动设备安全管理的指导方针”,它是由美国国家标准与技术研究所(NIST)在其特别出版物(SP)800-124修订版1中提出的。建立移动设备的使用策略是相对容易的,困难的是收集风险预测信息,这些信息要用来确定移动设备是否、何时以及怎样连接到一个可信的组织网络。在这方面,很多组织要依赖于像移动设备管理或移动应用管理这些工具。

虽然这些工具具备基本的风险评估和策略实施能力,但是它们在企业移动和BYOD的风险状况方面,缺乏全面的、实时的考察。值得高兴的是,新型移动信托服务正脱颖而出,这种服务能够识别每一层移动堆栈上(基础设施、硬件、操作系统和应用程序)的漏洞,使这些数据在安全生态系统范围内(例如安全控制的使用,像加密、基于角色的访问控制等技术)与现存的威胁和风险系数有一定的联系。反过来,这些风险系数也可以用来确定是否授予一个网络的访问权限,如果有的话,那么又有哪些权限是应当受到限制的。一旦允许访问,连续监测就应该用来更新风险评估系数。

原文链接: http://www.securityweek.com/mobile-disruption-new-dimension-risk

责任编辑:蓝雨泪 来源: IT168
相关推荐

2011-05-27 09:21:04

2018-05-20 15:32:56

2015-09-07 09:18:43

企业安全安全维度网络安全

2017-06-20 10:39:08

2010-02-24 16:10:26

2011-12-06 14:26:08

2011-05-13 09:43:35

2011-10-11 09:51:45

2009-04-27 14:13:59

2009-11-02 11:47:09

2019-08-01 14:33:27

网络安全软件技术

2021-12-13 11:31:38

CodeJetBrains工具

2009-12-25 10:20:33

2010-09-27 09:19:48

2010-11-23 15:49:01

2010-09-29 09:35:10

2019-10-29 16:37:08

网络安全物联网软件

2020-04-20 13:39:49

网络安全投资网络安全网络安全框架

2021-11-30 11:27:35

网络安全CIS关键安全控制措施

2009-11-12 14:47:36

点赞
收藏

51CTO技术栈公众号