在移动浪潮的早期阶段,如今被认为迫在眉睫的威胁(恶意软件、网络钓鱼和不法分子滥用设备)当时常常仅限于理论上,果真影响企业的可能性很小。尽管这些威胁变得更加“切实”,但量化风险、证明有必要投入开支以防范这些风险还是一大挑战。
因而,市面上销售的大多数移动安全软件仍然是为了防范可能会给企业带来灾难性影响的单次事件,被认为是企业经营成本的一部分。
与这种想法相反的是,移动欺诈不是一次“重大的坏事件”,而是一连串比较小的日常破坏活动,它们常常难以察觉。要是不加以解决,这些多重攻击就会给企业带来严重的累积影响。
如果企业奉行重大的坏事件理念,使用传统的移动企业安全解决方案,结果会忽视哪些方面?我认为这三大方面令人担忧:
首先,欺诈最先出现在你无法控制的系统上。
企业安全对允许访问公司系统的设备拥有一定程度的控制。BYOD计划利用移动设备管理(MDM)解决方案等工具,控制设备的安全状况。如果在B2C环境下处理客户那些“未加管理的设备”,获得这种程度的控制就要难得多,有时不可能实现。
虽然IT安全部门擅长保护端点设备、服务器和数据库之类的企业资产,但面临这一难题:保护并不由企业控制的资产,具体来说是客户的设备。从某种意义上来说,这正是最初的“BYOD”问题――保护用户的访问和交易/事务,而不控制底层设备。
教育用户懂得保护自己的工作成效不大:人性敌不过社会工程学伎俩和暂时的判断失误。用户有时候破解移动设备或获得root权限,以安装未授权应用程序。被破解或获得root权限的设备很容易中恶意软件的招,恶意软件会接管重要的设备功能,比如短信(SMS);可能被用于强验证;可能导致登录信息失窃和经济损失。又由于移动设备的屏幕尺寸有限,用户常常很难识别嵌入在电子邮件中虚假的网络钓鱼URL。
其次,欺诈管理是一种高频率/高摩擦活动。
美国商家每年因信用卡欺诈蒙受的损失高达约1900亿美元。如果欺诈性交易进入企业系统,会触发商家采取一系列行动,面对受影响的有关方(客户、合作伙伴或供应商),商家需要采取这些行动。支持团队参与进来,负责处理与欺诈受害者之间的互动。分析和调查人员需要审查取证数据,查明发生的情况、资金流向,力图及早挽回损失。恢复“照常营业”常常需要受害者投入时间和精力,证明自己的系统很安全。如果你考虑到这些欺诈案的发生非常频繁,这会导致与有关方进行极其重复、强度极大的互动。
相比之下,如果我们谈论企业自有系统里面的安全,只有导致数据丢失的实际泄密事件(相对很少发生)才需要投入大量精力。比如说,据美国波耐蒙研究所(Ponemon Institute)声称,只有20%的数据泄密事件牵涉至少10000条记录。
第三,欺诈暴露在世人面前。
遇到欺诈的客户会对移动渠道乃至整个企业失去信任。要是损失没有由企业自动填补(如果企业银行帐户泄密,就是这种情况),诉讼就会接踵而来,从而给品牌造成负面影响。即便事件范围比较小,那些不开心的客户也会在社交网络上吐槽欺诈事件,这最终会导致客户流失。另外,欺诈性活动会引来监管部门对程序和过程进行更严格的审查,这进一步分走了业务部门和IT部门的资源。除非作为一项监管或合规要求,丢失的数据需要披露,否则一些企业安全泄密事件可能不会公之于众。因而,许多泄密事件并没有披露出来。
移动企业安全和移动欺诈防范有着同样的目标:保护敏感的企业资产和机密的客户信息。遗憾的是,许多安全团队和企业组织仍把移动安全和移动欺诈防范视作是一个整体,却没有认识到它们目前的战略并没有起到应有的保护效果。确切地说,除了保护公司设备网络里面的数据外,公司还有必要实施一项战略,保护客户远离恶意活动。
英文:Deconstructing Mobile Fraud Risk
