7種移動安全威脅迫在眉睫

JR Raphael Charles

移動領域的惡意軟件？一些移動安全威脅更為緊迫。所有企業都應該關注今年出現的這7個問題。

移動安全是當今所有企業最擔心的問題——這是有充分理由的：幾乎所有員工現在都習慣于從智能手機上訪問企業數據，這意味著不讓敏感信息落入壞人之手越來越難了。可以說，現在比以往任何時候都利害攸關：據Ponemon研究所2018年的報告，企業數據泄露的平均成本高達386萬美元。這比一年前估計的成本高出6.4%。

雖然惡意軟件這種聳人聽聞的話題很容易受到關注，但事實是移動惡意軟件感染在現實世界中是非常罕見的——據估計，一個人被感染的概率遠遠低于被閃電擊中的概率。這要歸功于移動惡意軟件的特性以及現代移動操作系統中內置的固有保護功能。

更現實的移動安全隱患存在于一些容易被忽視的領域中，以下所有問題預計在2019年只會變得更為緊迫：

1.數據泄露

2019年，人們普遍認為數據泄露是企業安全最令人擔憂的一種威脅。上面曾提到過被移動惡意軟件感染的概率非常之低，但據Ponemon的最新研究，至少有28%的企業未來兩年內會經歷一起泄露事故——換言之，是四分之一以上的概率。

這個問題尤其令人煩惱的是，它通常本質上并不是惡意的;更確切地說，這是因為用戶在不經意間對哪些應用程序能夠查看和傳輸他們的信息做出了不明智的決定。

Gartner的移動安全研究主管Dionisio Zumerle指出：“最難的是，怎樣實現一種既不讓管理員感到困惑、也不讓用戶感到沮喪的應用程序審查過程。”他建議轉向采用移動威脅防御（MTD）解決方案——像賽門鐵克的Endpoint Protection Mobile、CheckPoint的SandBlast Mobile和Zimperium的zIPS Protection等產品。Zumerle說，這些工具掃描應用程序尋找“泄露行為”，并能自動阻止有問題的進程。

當然，即使這樣也不總能解決由于明顯的用戶錯誤而導致的泄露問題，比如把公司文件傳輸到公有云存儲服務上，在錯誤的地方放置機密信息，或者把電子郵件轉發給無關的收件人等等一些簡單的事情。這是醫療保健行業目前正在努力克服的難題：據專業保險公司Beazley的說法，“意外泄露”是醫療機構在2018年第三季度所報告數據泄露的最主要原因。這一類泄露再加上內部泄露，幾乎占了這段時間內所有報告的泄露事件的一半。

對于這類泄露事件，數據丟失預防（DLP）工具可能是最有效的保護措施。這種軟件專門設計用于防止敏感信息的泄露，包括在意外情況下。

2.社會工程攻擊

這種老套的欺騙手法在移動領域和在臺式機上一樣令人煩惱。盡管人們認為能輕易地避開社會工程攻擊，但這種攻擊仍然非常有效。

據安全公司FireEye 2018年的報告，高達91%的網絡犯罪都始于電子郵件。該公司將這類事件稱為“無惡意軟件攻擊”，因為它們依靠偽裝之類的策略來欺騙用戶點擊危險的鏈接或者提供敏感信息。該公司指出，具體而言，在2017年期間，網絡釣魚事件增長了65%，移動用戶最容易落入圈套，因為很多移動電子郵件客戶端只顯示發件人的姓名——這使得很容易通過欺騙得到信息，誘騙某人認為電子郵件是來自他們認識或者信任的人。

事實上，據IBM的一項研究，用戶在移動設備上回應網絡釣魚攻擊的可能性是臺式機的三倍——這只是因為人們最先在手機上看到消息。雖然只有4%的用戶真正點擊了網絡釣魚攻擊相關聯的鏈接，但是據Verizon的《2018年數據泄露事件調查報告》，那些容易上當的家伙往往是屢教不改者：該公司指出，某人點擊網絡釣魚活動鏈接的次數越多，未來就越有可能還會犯錯。Verizon之前曾報道過，15%被成功釣魚的用戶在同一年內至少會被再釣一次。

PhishMe公司使用真實的模擬措施來培訓員工識別并響應網絡釣魚企圖，該公司的信息安全和反網絡釣魚策略師John “Lex” Robinson介紹說：“我們確實看到，由于移動計算整體上的增長以及‘自帶設備工作環境的不斷擴展，移動領域越來越容易受到感染。”

Robinson指出，工作計算機和個人計算機之間的界限也越來越模糊了。他說，越來越多的員工在智能手機上查看多個收件箱——這些收件箱連接了工作賬戶和個人賬戶，而且幾乎所有人都會在工作日處理一些個人事務。因此，會在與工作相關的信息旁收到看似私人電子郵件的東西，表面上看起來這一點也不奇怪——即使這實際上可能是一種詭計。

3.Wi-Fi干擾

移動設備的安全取決于它所傳送數據的網絡。在一個我們經常連接到公共Wi-Fi網絡的時代，這意味著我們的信息通常并不像我們想象的那么安全。

這一問題到底有多重要？據企業安全公司Wandera的研究，企業移動設備使用Wi-Fi的次數幾乎是使用蜂窩數據的三倍。近四分之一的設備曾連接到開放或者可能不安全的Wi-Fi網絡，4%的設備在最近一個月內遭遇了“人在中間”攻擊——其中有人惡意攔截雙方的通信。與此同時，McAfee指出，網絡欺騙最近“急劇”增加，然而只有不到一半的人在旅行中或者連接公共網絡時會想辦法保護他們的連接。

雪城大學（Syracuse University）專門研究智能手機安全的計算機科學教授Kevin Du評論說：“如今，對數據流進行加密并不困難。如果沒有VPN，那么你的周界上就會有很多漏洞。”

然而，選擇合適的企業級VPN并非易事。如同與大多數安全相關的考慮一樣，幾乎總是需要進行權衡。Gartner的Zumerle指出：“對于移動設備，所采用的VPN應更加智能，因為最重要的是能夠盡量減少對資源（主要是電池）的消耗。”他說，高效的VPN應知道僅在絕對必要時才激活，而不是在用戶訪問新聞網站之類的東西或者在已知安全的應用程序中工作時被激活。

4.過時的設備

智能電話、平板電腦和較小的聯網設備——通常被稱為物聯網（IoT）設備，給企業安全帶來了新的風險，因為與傳統工作設備不同，通常不能保證對這些設備進行及時、持續的軟件更新。這在Android上尤其如此，因為絕大多數制造商在更新他們的產品時效率都非常的低下，這包括操作系統（OS）更新，以及它們之間的每月安全小補丁——物聯網設備也是如此，其中很多甚至都沒有設計成首先獲得更新。

Du說：“這其中的很多設備甚至沒有內置的補丁機制，目前這已經成為越來越大的威脅了。”

據Ponemon，移動平臺的廣泛使用除了更有可能受到攻擊之外，還提高了數據泄露的總成本，而大量聯網的物聯網產品只會導致這些成本進一步攀升。網絡安全公司Raytheon贊助的一項研究表明，物聯網的“大門是敞開的”，82%的IT專業人士預言，不安全的物聯網設備將在企業內造成數據泄露，而且很可能是“災難性的”。

但強有力的政策尚需時日。有的Android設備的確能夠及時獲得可靠的持續更新。直到物聯網領域開展全面監管之時，企業才會給自己建立安全的網絡。

5.挖礦劫持（Cryptojacking）攻擊

在所有的相關移動威脅中，挖礦劫持是相對較新的一類攻擊，某些人在設備擁有者不知情的情況下使用他人的設備去挖掘加密貨幣。如果你完全搞不懂這些技術問題，那么只需要知道這一點：加密貨幣挖礦過程會使用你的設備來為他人獲取利益。它很大程度上依賴于技術——這意味著受影響的手機可能會出現電池續航時間縮短的情況，甚至可能會因為組件過熱而受損。

雖然挖礦劫持起源于臺式機，但從2017年末到2018年初，在移動設備上出現了激增。據Skybox Security公司的分析，在2018年上半年，不受歡迎的加密貨幣挖礦占所有攻擊的三分之一，與前半年相比，在此期間大幅度攀升了70%。據Wandera公司的報告，在2017年10月至11月間，專門針對移動設備的挖礦劫持攻擊絕對是爆發式增長，當時受影響的移動設備數量激增了287%。

從那時起，情況有所緩和，尤其是在移動領域——這一舉措主要得益于蘋果的iOS應用商店和安卓系統相關的谷歌Play商店分別在6月份和7月份下架了加密貨幣挖掘應用程序。盡管如此，安全公司注意到，通過移動網站（甚至只是移動網站上的流氓廣告）以及從非官方第三方市場下載的應用程序發起的攻擊仍然取得了一定程度的成功。

分析人士還指出，通過連接互聯網的機頂盒進行挖礦劫持的可能性很大，因為一些企業可能使用這類設備進行流媒體和視頻播放。據安全公司Rapid7，黑客已經找到了一種利用明顯漏洞的方法，能夠操縱僅供開發人員使用的命令行工具Android Debug Bridge，并且可以熟練地用于這類產品中。

目前，除了仔細選擇設備，并堅持要求用戶只從平臺的官方商店（挖礦劫持代碼出現的概率顯著減小）下載應用程序的政策之外，還沒有其他很好的方法——實際上，沒有跡象表明大部分企業會面臨重大的或者直接的威脅，特別是考慮到整個行業已經采取了預防措施。盡管如此，鑒于過去幾個月來這一領域非常活躍，人們對此的興趣越來越高，因此應特別留意并密切關注2019年。

6.不良密碼安全使用習慣

你可能會認為這對我們來說已經不是問題了，但實際上，用戶仍然沒有很好地保護他們的賬戶——如果他們的手機同時含有公司賬戶和個人登錄信息，那問題就會比較大。

谷歌和哈里斯民意調查公司的一項最新調查發現，從調查樣本上看，一半以上的美國人在多個賬戶中重復使用密碼。同樣令人擔憂的是，近三分之一的人沒有使用雙重身份驗證（或者甚至不知道他們是否在使用這種方法——這可能會更糟）。只有四分之一的人主動使用密碼管理器，這表明絕大多數人在很多地方沒有使用特別強的密碼，他們還是自己生成并記住密碼。

這樣，情況只會變得更糟：據2018年的LastPass分析，有整整一半的專業人員在工作和個人賬戶上使用相同的密碼。如果這還不足以說明問題，那么，分析發現，一名普通員工在其工作過程中會與同事共享大約六個密碼。

恐怕你會認為這一切都是無稽之談，對此，Verizon發現，2017年，80%以上的企業黑客入侵都是由弱密碼或者被盜密碼造成的。特別是在移動設備上——員工想快速登錄到各種應用程序、網站和服務上，如果一個人不小心在隨機訪問的零售網站、聊天應用程序或者消息論壇的提示中輸入公司賬戶所用的同一密碼，那么就會給企業數據帶來風險。現在，同時考慮這種風險以及上面提到的Wi-Fi干擾風險，再想想你所在公司的員工總數，那么暴露出的風險點就會越來越多。

也許最讓人惱火的是，大多數人似乎完全沒有意識到他們在這方面疏忽大意了。在谷歌和哈里斯民意調查中，69%的受訪者在有效保護自己在線賬戶方面給自己打了“A”或者“B”，但隨后的回答表明并非如此。顯然，我們不能相信用戶自己在這方面的評估。

7.物理設備泄露

最后而且也非常重要的一點是，有些事情看起來非常愚蠢，但仍然是令人不安的現實威脅：丟失或者無人看管的設備會是重大的安全風險，特別是缺少強大的PIN或者密碼和全部數據加密的情況。

看看以下數據：在2016年Ponemon的一項研究中，35%的專業人士表示，他們的工作設備并沒有強制措施來保護可訪問的企業數據。更糟糕的是，近一半的受訪者說，他們沒有密碼、PIN或者生物特征識別安全措施來保護他們的設備，約三分之二的受訪者承認，他們沒有使用加密措施。68%的受訪者表示，他們有時會在通過移動設備訪問的個人賬戶和工作賬戶之間共享密碼。

關鍵信息很簡單：僅僅把責任留給用戶是不夠的。不要做假設，而是要制定政策。以后你會感謝自己的。

特約編輯JR Raphael為科技的人性化提供了豐富的素材。