因人施“法”降低移動設備安全風險

談到移動設備安全，我們自己就是最大的敵人。研究人員表示，盡管很多人已經7×24小時離不開移動設備，但大多數人似乎并沒有在安全上變得更聰明些。賽門鐵克2014年4月份發布的一份安全威脅報告指出，2012年有44%的用戶沒有意識到移動設備上有安全解決方案，到2013年這個數字上升到57%。研究人員說部分原因在于缺乏這方面的教育和培訓。例如，那些多年來使用功能手機的用戶由于沒有什么安全需求，在轉向智能手機后也根本意識不到要安裝安全軟件。

就長期來看，安全專家認為，隨著使用者在他們的手機上保存越來越多的敏感信息，針對移動設備的惡意軟件會越來越多。而這些移動設備經常會接入公司的網絡，從而讓企業數據也處于威脅之中。

企業安全面臨的另一個威脅是遺失手機數量的不斷攀升。根據Consumer Reports最近的一個調查，全球在2013年有140萬智能手機丟失再也不曾找到，2012年這個數字是120萬。

鑒于太多種情形讓設備和企業數據處于威脅之中，因此并沒有一種完全的方法可以解決所有移動安全問題。

“至今并沒有一個真正完美的解決方案能保證員工手中的移動設備的安全?！睆氖箩t療服務的WellPoint公司IT副總裁Jamisson Fowler說，“因為員工可能犯各種各樣的錯，沒有哪一種工具能給移動設備加上一把絕對安全的鎖?！?/p>

不過，幸好還是有些方法可以讓員工對移動安全多一份了解，同時也對設備多一份安全保護。以下提供了5個方法，分別針對5類容易置企業數據于危險之中的員工，用以幫助他們認識到移動設備面臨的安全風險并采取措施防范這些風險。

對無戒心的人

有些人很容易被社會工程學或者釣魚行為所騙，因為他們根本就沒有意識到其中可能存在的陷阱。對于這些人如何讓他們認識到風險，從而避免成為惡意者不斷變化的伎倆的受害者？

解決辦法：讓他們體驗釣魚誘騙

網絡黑客們一直在不斷尋找計算機之外的下一個目標，移動設備就是其中之一。他們正在把在PC上已獲得成功的欺騙手段復制到手機上，看是否會取得同樣的成功，而大多數手機用戶還沒有意識到存在風險?！昂诳蛡円恢痹趯ふ益湕l上最弱的一環，然后把他們昔日成功的手段應用到這一環節?！卑踩治鋈耸咳绱嗽u價說。

在德國醫療設備制造商Karl Storz GmbH公司，對2200名移動設備的安全管理采取了與其內部的業務系統完全一樣的策略。

“我們希望讓員工們意識到釣魚攻擊的存在?！惫酒髽I技術總監David O’Brien說。對企業內部的應用系統，該公司采用了來自PhishMe的培訓課程，該課程模擬利用電子郵件和社會工程學來引誘員工。在一開始有高達70%的人會被一些最常用的釣魚騙局所欺騙，會點擊釣魚鏈接，并輸入賬戶和密碼等信息，其中甚至包括一些高級的IT人員。

當然，惡意者不只是通過電腦來進行社會學工程引誘，同樣還會利用移動設備來進行，他們誘騙那些使用者不經意地點擊某個鏈接下載惡意代碼，然后借助惡意代碼入侵企業網絡，竊取企業數據。

Karl Storz公司所進行的釣魚測試讓公司的員工認識到其中的陷阱，也讓他們知道如何避免“中招”。“此類攻擊可能針對所有類型移動設備，無論是iOS還是安卓或者Windows?！監’Brien說，“在我們的測試中，中招的最終用戶中近20%的用戶使用iOS設備，我敢肯定如果繼續測試未來還會有更多移動用戶中招。”

在技術型公司Raytheon這里，安全已經成為一種企業文化。這個在全球擁有6.3萬名員工的公司大約1/3的員工使用公司配備的智能手機或者平板電腦。

“涉及到安全，人的因素總是最先要考慮的?！惫綢T部門全球業務服務部副總裁Jon Aliber說，“我們必須讓每個員工都了解釣魚欺騙是什么樣?！?/p>

Aliber介紹說，該公司使用一種社交系統和博客工具讓員工了解什么是釣魚欺騙，每年公司還會要求每位員工參加在線安全培訓課程。

對剛拿到移動設備的新手

由于沒有意識到其中存在的安全風險，那些第一次拿到智能手機或者平板電腦的人可能會成為安全漏洞。

解決辦法：耐心，不能歧視他們

WellPoint公司給旗下的500多名醫生配備了iPad，這些醫生負責為居家的老人、殘疾人和盲人提供醫療服務，其中大部分使用者對技術并不了解，甚至對使用iPad有一點抵觸。

Fowler驚訝地發現，部分醫生不好意思或者害怕告訴技術部門他們把iPad弄丟了?！坝腥藭^一天甚至三天后才來告訴我們，他們把iPad弄丟了，或者他們現在才想起來找iPad，但找不到，他們認為是丟了?！盕owler回憶說，“有時候是真丟了，有時候則是把iPad落在家里了，我們可以通過位置定位服務來找到設備。但這段時間意味著設備和敏感信息處于高度不安全狀態?！?/p>

為此，Fowler的團隊提出兩個解決辦法。首先，降低醫生們因疏忽而把iPad落在家里的可能性，IT部門為醫生們配備了一個手包，可以裝下iPad和他們常用的一些工作資料。同時，對醫生們進行培訓告訴他們一旦找不到自己的iPad就一定要及時告訴IT部門。其次，對IT部門進行培訓，要求IT部門不要嘲笑他們，并要安慰醫生們不要因弄丟了設備而不好意思。

“我們不會對任何丟失設備的醫生進行喊叫，IT部門都知道不應該這樣?！盕owler說，“當醫生向iPad組報告設備丟失后，IT人員會表示很樂意為他們提供幫助，一旦發現設備真的的丟失，我們會啟動安全步驟，對設備上的敏感內容進行擦除?！?/p>

為了降低設備丟失以后存在的安全風險，IT部門會對初次使用iPad的醫生進行培訓，告訴他們密碼的重要性，并指導他們設置比較復雜的密碼。“我們有一個完整的培訓流程，通過在線視頻進行，不僅有關于設備的使用也有密碼的設置，以及密碼與設備要分開放置等?！?Fowler解釋說，“我們還會列出一些具體的例子來說明某些不安全的行為可能帶來的麻煩。”

比如，一封帶有釣魚鏈接的郵件可以把用戶在Facebook上的行為攝錄下來，或者一個假的銀行郵寄讓用戶提交個人信息。通過這些培訓讓醫生們意識到，如果自己的iPad開機密碼和設備上安裝的應用軟件登錄密碼同樣或相似，就會讓病人的信息處于高度危險之中，公司也處于高度危險之中。

對神經“大條”的人

大多數人認為自己的個人信息是無價的，會緊緊守護它，但也有一些人對自己和企業的數據滿不在乎。

解決辦法：游戲化地不斷提醒。

密西根州政府需要跟蹤被政府員工使用的1.7臺智能手機和平板電腦。去年，員工共丟失了256臺政府配備的移動設備，包括手機、平板電腦和筆記本電腦。

“坦白地說，過去我們在安全方面的培訓是很失敗的?！泵芪鞲菡紫踩貲aniel J. Lohrmann說，過去只是準備了一個PPT，讓那些有關的員工來聽一個小時的演講。他很懷疑到底有多少人真正聽進去了，現在他們準備徹底拋棄這一做法而重新建立一套培訓方法。參加培訓的人也表示，過去的辦法很無趣、難以接受，也并沒有教給他們什么有用的知識。

現在他們的目標是要讓培訓變得更簡短、更具交互性、更有趣，尤為重要的是，要想方設法告訴員工他們以前所不知道的東西。為此，技術部門選擇了一家培訓服務商來做這件事，該服務商利用一個游戲視頻來進行培訓。

Lohrmann表示，他最喜歡的一部分內容是讓員工能與他們在機場被盜或者丟失的手機取得聯系，擦除其上的內容。這是非常重要的一部分知識，根據2012年Credant技術公司（如今被戴爾收購）的一份統計，僅僅在芝加哥、丹佛、舊金山、邁阿密、奧蘭多、明尼阿波利斯、夏洛特等七大機場就撿到8016臺無線設備，其中智能手機和平板占45%，筆記本電腦占43%。有一半的設備最后歸還給失主，剩下的捐給了慈善組織或者被拍賣。

培訓課程介紹了這些數據，然后一步步地告訴員工們如何避免這類事情的發生。最有趣的部分是，在一個在線游戲中，員工們扮演一個角色。有90秒鐘的時間利用剛剛學到的知識尋找12臺遺失或被盜的手機。員工控制的這個角色會在機場穿梭，要經過登機手續辦理處、美食廣場、行李輸送帶以及不同登機口之間的穿梭小火車，每使用一種工具他就會得到一個“贊”。

“沒有人第一次就能完成任務，他們都會想再來一次?！盠ohrmann說。

密西西比州現在正在針對所有員工開展這個培訓課程，Lohrmann希望每個員工都能像他一樣對這次培訓能留下深刻印象?！皩ξ叶裕@次培訓效果很明顯，如今每次到機場我都會想到這次培訓，這種培訓或多或少都會改變人們的一些行為方式。”他說。

對技術達人

員工中那些對技術非常在行的用戶對于企業安全而言可能是一個噩夢，特別是在他懂得如何重新配置智能手機來獲得系統管理員級的操作權限時。

解決辦法：要比他們更聰明

通過獲得管理員操作權限，惡意軟件可以在移動設備上更隨意地進行操作。Gartner預計，到2017年，75%的移動安全漏洞源于應用程序的不恰當配置。

對Karl Storz公司這方面的威脅非常大。“我們是一個工程公司，員工都非常懂技術。”O’Brien 說，“從公司開始給員工配智能手機以來，我還沒有看到員工們自己刷機，但是他們有這個能力。一旦他們這么做了，他們手機上的信息IT部門就無法掌控了?！?/p>

根據Gartner的研究，對移動平臺最大的威脅可能就是對iOS的越獄或者安卓設備的“Rooting”。因為越獄或者“Rooting”后，用戶可以直接訪問之前所無權訪問的資源，這會讓設備處于危險境地，它讓這些數據不再受應用或者操作系統所提供的“沙漏”的保護。這也很容易就讓惡意軟件被植入到設備上，從而為更多的惡意行為開綠燈，包括提取公司信息。這些被越獄的設備還很容易被暴力破解密碼，對此最佳的防護辦法就是通過MDM工具和策略來嚴格限制設備被破解。在此之上，通過應用程序“外殼”和“容器”來進一步保護重要的數據。

另外，IT安全負責人也需要借助網絡訪問控制技術，阻止那些被懷疑正在進行惡意操作的設備接入公司的業務系統。Raytheon同時還對員工進行認真培訓，以確保他們了解公司對于安全使用這些設備的一些規定。

“如果放任他們為所欲為，就會把整個公司信息置于非常危險的境地。”Aliber說，這些規定還應該成為公司整體信息安全策略的一部分，它與設備管理軟件來控制設備的配置、把數據保存云端而不是在手機上等共同來確保企業數據的安全。

對迷戀分享一族

社交媒體的出現給員工的溝通和交流帶來很大方便，越來越多的員工習慣于在社交媒體上與朋友們分享。不過，有些員工過于迷戀社交媒體，換句話說，他們在社交媒體上分享了一些不該分享的內容。另外一個不安全的行為是，讓家人和朋友使用他的設備。

解決辦法：堵住安全漏洞。

隨著千禧一代開始進入社會，社交媒體對與企業信息安全的威脅開始顯現出來。作為善于利用社交媒體的年輕人，它們習慣于分享，這給企業帶來了很多挑戰。特別是那些擁有大量年輕員工的企業，它們突然發現公司很多信息被社交媒體公開，而且這種趨勢才剛剛開始。

實際上，隨著更多年輕一代參加工作，這一點將會更為明顯，企業必須認真應對這個問題?！坝刑嘈畔⒁呀洷粏T工透過社交媒體發布出去了，而一旦發布出去，就不可能退回，所以必須提前預防?！蔽挥趤喬靥m大的安全咨詢公司C G Silvers 首席安全專家Chris Silvers表示。

那些愿意借助社交媒體分享而且常常過于隨意與人分享的員工，很容易成為那些黑客們攻擊的對象。這些黑客常常假裝是合作伙伴或者其他熟悉的人來誘使這些員工分享其敏感信息，包括密碼和公司敏感信息。

“任何時候把工作郵箱或者某個活動與社交媒體綁定，對企業數據而言都是一個潛在的威脅?！弊稍兒团嘤柟維ocial-Engineer首席安全專家Chris Hadnagy表示，他們發現那些在LinkIn和Facebook中使用公司郵箱的人，很容易招致黑客順著其郵箱來追蹤其發布到網上的信息，包括微信、博客以及發布到各種論壇中的帖子，通過這些內容黑客們可以輕易找到它們感興趣的信息，包含其個人的和其工作單位的。

對于他們，培訓和教育是關鍵?！皢T工需要一個好的教育和培訓課程，讓他們認識到，如果他的個人信息被公布在某個網站的某個地方，那么很有可能一些黑客會參考這些信息借助社交媒體或者通過郵件來欺騙你?！盚adnagy說。他建議，公司應該為員工在工作時使用社交媒體制定一些規范。如果可能，員工應該在社交媒體上分別建立工作賬號和個人賬戶。此時，黑客仍然可以通過技術來跟蹤員工，但畢竟難度要大大增加。

過度分享有時還會以一種看似無辜的方式出現。Lohrmann介紹說，有些父母親為了取悅孩子，讓孩子們在其工作用的手機或者平板電腦上玩游戲或者看視頻，這會讓這些設備處于威脅之中，最糟糕的是，黑客可能誘使孩子們進入惡意網站并借此獲得對設備的訪問權限。為了避免這種情況的出現，員工應該簽訂一些安全協議，禁止把公司設備給他們的朋友和家人使用。

本質上，安全問題最終都是靈活性和安全可控之間的平衡。對靈活性追求高就要犧牲一些安全性，反過來也是如此。“我們的確應該允許一定靈活性，讓員工可以在他們的智能手機上做他們想做的?！盇liber說，比如下載一些App，但是為了保護企業數據的安全又不允許過多靈活性存在，于是，我們就必須把握好這個度，既能保證安全同時也能方便使用。