JR Raphael Charles

移動領(lǐng)域的惡意軟件？一些移動安全威脅更為緊迫。所有企業(yè)都應(yīng)該關(guān)注今年出現(xiàn)的這7個(gè)問題。

移動安全是當(dāng)今所有企業(yè)最擔(dān)心的問題——這是有充分理由的：幾乎所有員工現(xiàn)在都習(xí)慣于從智能手機(jī)上訪問企業(yè)數(shù)據(jù)，這意味著不讓敏感信息落入壞人之手越來越難了?？梢哉f，現(xiàn)在比以往任何時(shí)候都利害攸關(guān)：據(jù)Ponemon研究所2018年的報(bào)告，企業(yè)數(shù)據(jù)泄露的平均成本高達(dá)386萬美元。這比一年前估計(jì)的成本高出6.4%。

雖然惡意軟件這種聳人聽聞的話題很容易受到關(guān)注，但事實(shí)是移動惡意軟件感染在現(xiàn)實(shí)世界中是非常罕見的——據(jù)估計(jì)，一個(gè)人被感染的概率遠(yuǎn)遠(yuǎn)低于被閃電擊中的概率。這要?dú)w功于移動惡意軟件的特性以及現(xiàn)代移動操作系統(tǒng)中內(nèi)置的固有保護(hù)功能。

更現(xiàn)實(shí)的移動安全隱患存在于一些容易被忽視的領(lǐng)域中，以下所有問題預(yù)計(jì)在2019年只會變得更為緊迫：

1.數(shù)據(jù)泄露

2019年，人們普遍認(rèn)為數(shù)據(jù)泄露是企業(yè)安全最令人擔(dān)憂的一種威脅。上面曾提到過被移動惡意軟件感染的概率非常之低，但據(jù)Ponemon的最新研究，至少有28%的企業(yè)未來兩年內(nèi)會經(jīng)歷一起泄露事故——換言之，是四分之一以上的概率。

這個(gè)問題尤其令人煩惱的是，它通常本質(zhì)上并不是惡意的;更確切地說，這是因?yàn)橛脩粼诓唤?jīng)意間對哪些應(yīng)用程序能夠查看和傳輸他們的信息做出了不明智的決定。

Gartner的移動安全研究主管Dionisio Zumerle指出：“最難的是，怎樣實(shí)現(xiàn)一種既不讓管理員感到困惑、也不讓用戶感到沮喪的應(yīng)用程序?qū)彶檫^程。”他建議轉(zhuǎn)向采用移動威脅防御（MTD）解決方案——像賽門鐵克的Endpoint Protection Mobile、CheckPoint的SandBlast Mobile和Zimperium的zIPS Protection等產(chǎn)品。Zumerle說，這些工具掃描應(yīng)用程序?qū)ふ摇靶孤缎袨椤保⒛茏詣幼柚褂袉栴}的進(jìn)程。

當(dāng)然，即使這樣也不總能解決由于明顯的用戶錯(cuò)誤而導(dǎo)致的泄露問題，比如把公司文件傳輸?shù)焦性拼鎯Ψ?wù)上，在錯(cuò)誤的地方放置機(jī)密信息，或者把電子郵件轉(zhuǎn)發(fā)給無關(guān)的收件人等等一些簡單的事情。這是醫(yī)療保健行業(yè)目前正在努力克服的難題：據(jù)專業(yè)保險(xiǎn)公司Beazley的說法，“意外泄露”是醫(yī)療機(jī)構(gòu)在2018年第三季度所報(bào)告數(shù)據(jù)泄露的最主要原因。這一類泄露再加上內(nèi)部泄露，幾乎占了這段時(shí)間內(nèi)所有報(bào)告的泄露事件的一半。

對于這類泄露事件，數(shù)據(jù)丟失預(yù)防（DLP）工具可能是最有效的保護(hù)措施。這種軟件專門設(shè)計(jì)用于防止敏感信息的泄露，包括在意外情況下。

2.社會工程攻擊

這種老套的欺騙手法在移動領(lǐng)域和在臺式機(jī)上一樣令人煩惱。盡管人們認(rèn)為能輕易地避開社會工程攻擊，但這種攻擊仍然非常有效。

據(jù)安全公司FireEye 2018年的報(bào)告，高達(dá)91%的網(wǎng)絡(luò)犯罪都始于電子郵件。該公司將這類事件稱為“無惡意軟件攻擊”，因?yàn)樗鼈円揽總窝b之類的策略來欺騙用戶點(diǎn)擊危險(xiǎn)的鏈接或者提供敏感信息。該公司指出，具體而言，在2017年期間，網(wǎng)絡(luò)釣魚事件增長了65%，移動用戶最容易落入圈套，因?yàn)楹芏嘁苿与娮余]件客戶端只顯示發(fā)件人的姓名——這使得很容易通過欺騙得到信息，誘騙某人認(rèn)為電子郵件是來自他們認(rèn)識或者信任的人。

事實(shí)上，據(jù)IBM的一項(xiàng)研究，用戶在移動設(shè)備上回應(yīng)網(wǎng)絡(luò)釣魚攻擊的可能性是臺式機(jī)的三倍——這只是因?yàn)槿藗冏钕仍谑謾C(jī)上看到消息。雖然只有4%的用戶真正點(diǎn)擊了網(wǎng)絡(luò)釣魚攻擊相關(guān)聯(lián)的鏈接，但是據(jù)Verizon的《2018年數(shù)據(jù)泄露事件調(diào)查報(bào)告》，那些容易上當(dāng)?shù)募一锿菍医滩桓恼撸涸摴局赋?，某人點(diǎn)擊網(wǎng)絡(luò)釣魚活動鏈接的次數(shù)越多，未來就越有可能還會犯錯(cuò)。Verizon之前曾報(bào)道過，15%被成功釣魚的用戶在同一年內(nèi)至少會被再釣一次。

PhishMe公司使用真實(shí)的模擬措施來培訓(xùn)員工識別并響應(yīng)網(wǎng)絡(luò)釣魚企圖，該公司的信息安全和反網(wǎng)絡(luò)釣魚策略師John “Lex” Robinson介紹說：“我們確實(shí)看到，由于移動計(jì)算整體上的增長以及‘自帶設(shè)備工作環(huán)境的不斷擴(kuò)展，移動領(lǐng)域越來越容易受到感染。”

Robinson指出，工作計(jì)算機(jī)和個(gè)人計(jì)算機(jī)之間的界限也越來越模糊了。他說，越來越多的員工在智能手機(jī)上查看多個(gè)收件箱——這些收件箱連接了工作賬戶和個(gè)人賬戶，而且?guī)缀跛腥硕紩诠ぷ魅仗幚硪恍﹤€(gè)人事務(wù)。因此，會在與工作相關(guān)的信息旁收到看似私人電子郵件的東西，表面上看起來這一點(diǎn)也不奇怪——即使這實(shí)際上可能是一種詭計(jì)。

3.Wi-Fi干擾

移動設(shè)備的安全取決于它所傳送數(shù)據(jù)的網(wǎng)絡(luò)。在一個(gè)我們經(jīng)常連接到公共Wi-Fi網(wǎng)絡(luò)的時(shí)代，這意味著我們的信息通常并不像我們想象的那么安全。

這一問題到底有多重要？據(jù)企業(yè)安全公司W(wǎng)andera的研究，企業(yè)移動設(shè)備使用Wi-Fi的次數(shù)幾乎是使用蜂窩數(shù)據(jù)的三倍。近四分之一的設(shè)備曾連接到開放或者可能不安全的Wi-Fi網(wǎng)絡(luò)，4%的設(shè)備在最近一個(gè)月內(nèi)遭遇了“人在中間”攻擊——其中有人惡意攔截雙方的通信。與此同時(shí)，McAfee指出，網(wǎng)絡(luò)欺騙最近“急劇”增加，然而只有不到一半的人在旅行中或者連接公共網(wǎng)絡(luò)時(shí)會想辦法保護(hù)他們的連接。

雪城大學(xué)（Syracuse University）專門研究智能手機(jī)安全的計(jì)算機(jī)科學(xué)教授Kevin Du評論說：“如今，對數(shù)據(jù)流進(jìn)行加密并不困難。如果沒有VPN，那么你的周界上就會有很多漏洞?！?/p>

然而，選擇合適的企業(yè)級VPN并非易事。如同與大多數(shù)安全相關(guān)的考慮一樣，幾乎總是需要進(jìn)行權(quán)衡。Gartner的Zumerle指出：“對于移動設(shè)備，所采用的VPN應(yīng)更加智能，因?yàn)樽钪匾氖悄軌虮M量減少對資源（主要是電池）的消耗?！彼f，高效的VPN應(yīng)知道僅在絕對必要時(shí)才激活，而不是在用戶訪問新聞網(wǎng)站之類的東西或者在已知安全的應(yīng)用程序中工作時(shí)被激活。

4.過時(shí)的設(shè)備

智能電話、平板電腦和較小的聯(lián)網(wǎng)設(shè)備——通常被稱為物聯(lián)網(wǎng)（IoT）設(shè)備，給企業(yè)安全帶來了新的風(fēng)險(xiǎn)，因?yàn)榕c傳統(tǒng)工作設(shè)備不同，通常不能保證對這些設(shè)備進(jìn)行及時(shí)、持續(xù)的軟件更新。這在Android上尤其如此，因?yàn)榻^大多數(shù)制造商在更新他們的產(chǎn)品時(shí)效率都非常的低下，這包括操作系統(tǒng)（OS）更新，以及它們之間的每月安全小補(bǔ)丁——物聯(lián)網(wǎng)設(shè)備也是如此，其中很多甚至都沒有設(shè)計(jì)成首先獲得更新。

Du說：“這其中的很多設(shè)備甚至沒有內(nèi)置的補(bǔ)丁機(jī)制，目前這已經(jīng)成為越來越大的威脅了?！?/p>

據(jù)Ponemon，移動平臺的廣泛使用除了更有可能受到攻擊之外，還提高了數(shù)據(jù)泄露的總成本，而大量聯(lián)網(wǎng)的物聯(lián)網(wǎng)產(chǎn)品只會導(dǎo)致這些成本進(jìn)一步攀升。網(wǎng)絡(luò)安全公司Raytheon贊助的一項(xiàng)研究表明，物聯(lián)網(wǎng)的“大門是敞開的”，82%的IT專業(yè)人士預(yù)言，不安全的物聯(lián)網(wǎng)設(shè)備將在企業(yè)內(nèi)造成數(shù)據(jù)泄露，而且很可能是“災(zāi)難性的”。

但強(qiáng)有力的政策尚需時(shí)日。有的Android設(shè)備的確能夠及時(shí)獲得可靠的持續(xù)更新。直到物聯(lián)網(wǎng)領(lǐng)域開展全面監(jiān)管之時(shí)，企業(yè)才會給自己建立安全的網(wǎng)絡(luò)。

5.挖礦劫持（Cryptojacking）攻擊

在所有的相關(guān)移動威脅中，挖礦劫持是相對較新的一類攻擊，某些人在設(shè)備擁有者不知情的情況下使用他人的設(shè)備去挖掘加密貨幣。如果你完全搞不懂這些技術(shù)問題，那么只需要知道這一點(diǎn)：加密貨幣挖礦過程會使用你的設(shè)備來為他人獲取利益。它很大程度上依賴于技術(shù)——這意味著受影響的手機(jī)可能會出現(xiàn)電池續(xù)航時(shí)間縮短的情況，甚至可能會因?yàn)榻M件過熱而受損。

雖然挖礦劫持起源于臺式機(jī)，但從2017年末到2018年初，在移動設(shè)備上出現(xiàn)了激增。據(jù)Skybox Security公司的分析，在2018年上半年，不受歡迎的加密貨幣挖礦占所有攻擊的三分之一，與前半年相比，在此期間大幅度攀升了70%。據(jù)Wandera公司的報(bào)告，在2017年10月至11月間，專門針對移動設(shè)備的挖礦劫持攻擊絕對是爆發(fā)式增長，當(dāng)時(shí)受影響的移動設(shè)備數(shù)量激增了287%。

從那時(shí)起，情況有所緩和，尤其是在移動領(lǐng)域——這一舉措主要得益于蘋果的iOS應(yīng)用商店和安卓系統(tǒng)相關(guān)的谷歌Play商店分別在6月份和7月份下架了加密貨幣挖掘應(yīng)用程序。盡管如此，安全公司注意到，通過移動網(wǎng)站（甚至只是移動網(wǎng)站上的流氓廣告）以及從非官方第三方市場下載的應(yīng)用程序發(fā)起的攻擊仍然取得了一定程度的成功。

分析人士還指出，通過連接互聯(lián)網(wǎng)的機(jī)頂盒進(jìn)行挖礦劫持的可能性很大，因?yàn)橐恍┢髽I(yè)可能使用這類設(shè)備進(jìn)行流媒體和視頻播放。據(jù)安全公司Rapid7，黑客已經(jīng)找到了一種利用明顯漏洞的方法，能夠操縱僅供開發(fā)人員使用的命令行工具Android Debug Bridge，并且可以熟練地用于這類產(chǎn)品中。

目前，除了仔細(xì)選擇設(shè)備，并堅(jiān)持要求用戶只從平臺的官方商店（挖礦劫持代碼出現(xiàn)的概率顯著減?。┫螺d應(yīng)用程序的政策之外，還沒有其他很好的方法——實(shí)際上，沒有跡象表明大部分企業(yè)會面臨重大的或者直接的威脅，特別是考慮到整個(gè)行業(yè)已經(jīng)采取了預(yù)防措施。盡管如此，鑒于過去幾個(gè)月來這一領(lǐng)域非常活躍，人們對此的興趣越來越高，因此應(yīng)特別留意并密切關(guān)注2019年。

6.不良密碼安全使用習(xí)慣

你可能會認(rèn)為這對我們來說已經(jīng)不是問題了，但實(shí)際上，用戶仍然沒有很好地保護(hù)他們的賬戶——如果他們的手機(jī)同時(shí)含有公司賬戶和個(gè)人登錄信息，那問題就會比較大。

谷歌和哈里斯民意調(diào)查公司的一項(xiàng)最新調(diào)查發(fā)現(xiàn)，從調(diào)查樣本上看，一半以上的美國人在多個(gè)賬戶中重復(fù)使用密碼。同樣令人擔(dān)憂的是，近三分之一的人沒有使用雙重身份驗(yàn)證（或者甚至不知道他們是否在使用這種方法——這可能會更糟）。只有四分之一的人主動使用密碼管理器，這表明絕大多數(shù)人在很多地方?jīng)]有使用特別強(qiáng)的密碼，他們還是自己生成并記住密碼。

這樣，情況只會變得更糟：據(jù)2018年的LastPass分析，有整整一半的專業(yè)人員在工作和個(gè)人賬戶上使用相同的密碼。如果這還不足以說明問題，那么，分析發(fā)現(xiàn)，一名普通員工在其工作過程中會與同事共享大約六個(gè)密碼。

恐怕你會認(rèn)為這一切都是無稽之談，對此，Verizon發(fā)現(xiàn)，2017年，80%以上的企業(yè)黑客入侵都是由弱密碼或者被盜密碼造成的。特別是在移動設(shè)備上——員工想快速登錄到各種應(yīng)用程序、網(wǎng)站和服務(wù)上，如果一個(gè)人不小心在隨機(jī)訪問的零售網(wǎng)站、聊天應(yīng)用程序或者消息論壇的提示中輸入公司賬戶所用的同一密碼，那么就會給企業(yè)數(shù)據(jù)帶來風(fēng)險(xiǎn)?，F(xiàn)在，同時(shí)考慮這種風(fēng)險(xiǎn)以及上面提到的Wi-Fi干擾風(fēng)險(xiǎn)，再想想你所在公司的員工總數(shù)，那么暴露出的風(fēng)險(xiǎn)點(diǎn)就會越來越多。

也許最讓人惱火的是，大多數(shù)人似乎完全沒有意識到他們在這方面疏忽大意了。在谷歌和哈里斯民意調(diào)查中，69%的受訪者在有效保護(hù)自己在線賬戶方面給自己打了“A”或者“B”，但隨后的回答表明并非如此。顯然，我們不能相信用戶自己在這方面的評估。

7.物理設(shè)備泄露

最后而且也非常重要的一點(diǎn)是，有些事情看起來非常愚蠢，但仍然是令人不安的現(xiàn)實(shí)威脅：丟失或者無人看管的設(shè)備會是重大的安全風(fēng)險(xiǎn)，特別是缺少強(qiáng)大的PIN或者密碼和全部數(shù)據(jù)加密的情況。

看看以下數(shù)據(jù)：在2016年P(guān)onemon的一項(xiàng)研究中，35%的專業(yè)人士表示，他們的工作設(shè)備并沒有強(qiáng)制措施來保護(hù)可訪問的企業(yè)數(shù)據(jù)。更糟糕的是，近一半的受訪者說，他們沒有密碼、PIN或者生物特征識別安全措施來保護(hù)他們的設(shè)備，約三分之二的受訪者承認(rèn)，他們沒有使用加密措施。68%的受訪者表示，他們有時(shí)會在通過移動設(shè)備訪問的個(gè)人賬戶和工作賬戶之間共享密碼。

關(guān)鍵信息很簡單：僅僅把責(zé)任留給用戶是不夠的。不要做假設(shè)，而是要制定政策。以后你會感謝自己的。

特約編輯JR Raphael為科技的人性化提供了豐富的素材。