新的Blackphone宣称提供业界***的移动设备安全水平,但它是一款真正的企业级设备吗?就此,Michael Cobb进行了探讨。
我听说了最近发布的Blackphone,我也正在考虑投资这类技术,它的客户为少数面临高风险的手机用户,主要如高管和法律团队成员。尽管Blackphone还不是随处可见,但当它被广泛使用时,它会提高移动安全市场水准足以证明该应用场景下购买它的价值吗?
奥巴马总统使用唯一一款NSA批准的Blackberry One手机,从而确保他的移动通信保持机密性,而我们其余的人可以使用什么手机才能确保安全呢?
随着Edward Snowden披露的NSA监听程度,公众关于移动设备安全的担忧急剧增加。这些担忧已转化为一个“巨大需求”,由SGP技术提供的、***可用的防窃听Blackphone设备。总部在瑞士的SGP技术是西班牙智能手机制造商Geekphone和Silent Circle的合资企业。Silent Circle是一家安全通信公司,由PGP开发者Phil Zimmermann、前美国海报突击队成员(U.S. Navy SEAL)及安全专家Mike Janke,与苹果全盘加密技术开发者Jon Callas共同创建。最近一轮的资金筹集中看到其他有影响力的个人加入,给予这项业务更为强壮的基础—投资任何新技术领域时考虑的重要因素。
Blackphone有望保持运营商及厂商中立,它运行在开源项目PrivatOS上,这是安卓系统的一个加固版本。它还配备一套应用软件以及其他用于安全优化的隐私工具。那些足够幸运已购买到它的用户,可获得语音、视频以及短信通信加密;文件安全传输、Web匿名浏览、Wi-Fi的智能禁用、远程擦除以及其他防窃取的特性。Blackphone用户还可以细粒度控制已安装的应用程序如何访问数据和手机功能。对于员工有存储和交流高度敏感信息需求的组织,这款产品值得评估。
正如我们在“心脏出血”漏洞缺陷所见,即使是仔细审核过的代码也可能存在严重漏洞,因此安全团队应该完成对Blackphone的风险评估,测试它是否如预期表现并符合企业安全策略要求。我们应该通过使用Wireshark一类网络分析工具,花时间去检查进、出流量,从而理解现实生活场景中通信的安全性。Blackphone的开发者承认它并非“NSA验证”,并且那些正被一部Blackphone呼叫的手机也需要具备相同的预防措施,从而提供完整的端到端安全。(Silent Circle应用分别支持加密iOS及安卓手机的电话和短信内容。)
如果市场对Blackphone强劲的初始需求一直持续,这也许有助于提升移动设备安全的市场水准,因为其他厂商不得不提供相似或更优的安全和隐私保护特性去避免失去市场份额。另一款已经在这个市场的安全手机是General Dynamics提供的Sectéra Edge,它是经认证可保护分级为“绝密”的无线语音通信、以及分级为“秘密”的电子邮件和站点访问。如果这类产品超出你的预算,可以考虑CellCrypt Mobile,它是一款可为安卓、黑莓、iPhone以及诺基亚智能手机提供端到端、实时加密的应用软件,对于设备没有特别的要求。
类似Blackphone这样的新型设备将要求安全意识的培训,这样用户知道如何***限度发挥其特性,以保持数据和通信的安全,特别是因为智能手机安全的主要威胁仍是用户自身。我们必须执行可接受的使用策略,尤其是当它涉及到在终端防止窃听。还要注意的是,我们不应在可能被偷听的公共场所进行敏感对话。我们还应建立信息分级策略,规定交换某类信息可采用的方式,以防止不小心的对话泄露信息。