JR Raphael Charles

移動領域的惡意軟件？一些移動安全威脅更為緊迫。所有企業(yè)都應該關注今年出現(xiàn)的這7個問題。

移動安全是當今所有企業(yè)最擔心的問題——這是有充分理由的：幾乎所有員工現(xiàn)在都習慣于從智能手機上訪問企業(yè)數(shù)據(jù)，這意味著不讓敏感信息落入壞人之手越來越難了。可以說，現(xiàn)在比以往任何時候都利害攸關：據(jù)Ponemon研究所2018年的報告，企業(yè)數(shù)據(jù)泄露的平均成本高達386萬美元。這比一年前估計的成本高出6.4%。

雖然惡意軟件這種聳人聽聞的話題很容易受到關注，但事實是移動惡意軟件感染在現(xiàn)實世界中是非常罕見的——據(jù)估計，一個人被感染的概率遠遠低于被閃電擊中的概率。這要歸功于移動惡意軟件的特性以及現(xiàn)代移動操作系統(tǒng)中內置的固有保護功能。

更現(xiàn)實的移動安全隱患存在于一些容易被忽視的領域中，以下所有問題預計在2019年只會變得更為緊迫：

1.數(shù)據(jù)泄露

2019年，人們普遍認為數(shù)據(jù)泄露是企業(yè)安全最令人擔憂的一種威脅。上面曾提到過被移動惡意軟件感染的概率非常之低，但據(jù)Ponemon的最新研究，至少有28%的企業(yè)未來兩年內會經歷一起泄露事故——換言之，是四分之一以上的概率。

這個問題尤其令人煩惱的是，它通常本質上并不是惡意的;更確切地說，這是因為用戶在不經意間對哪些應用程序能夠查看和傳輸他們的信息做出了不明智的決定。

Gartner的移動安全研究主管Dionisio Zumerle指出：“最難的是，怎樣實現(xiàn)一種既不讓管理員感到困惑、也不讓用戶感到沮喪的應用程序審查過程。”他建議轉向采用移動威脅防御（MTD）解決方案——像賽門鐵克的Endpoint Protection Mobile、CheckPoint的SandBlast Mobile和Zimperium的zIPS Protection等產品。Zumerle說，這些工具掃描應用程序尋找“泄露行為”，并能自動阻止有問題的進程。

當然，即使這樣也不總能解決由于明顯的用戶錯誤而導致的泄露問題，比如把公司文件傳輸?shù)焦性拼鎯Ψ丈希阱e誤的地方放置機密信息，或者把電子郵件轉發(fā)給無關的收件人等等一些簡單的事情。這是醫(yī)療保健行業(yè)目前正在努力克服的難題：據(jù)專業(yè)保險公司Beazley的說法，“意外泄露”是醫(yī)療機構在2018年第三季度所報告數(shù)據(jù)泄露的最主要原因。這一類泄露再加上內部泄露，幾乎占了這段時間內所有報告的泄露事件的一半。

對于這類泄露事件，數(shù)據(jù)丟失預防（DLP）工具可能是最有效的保護措施。這種軟件專門設計用于防止敏感信息的泄露，包括在意外情況下。

2.社會工程攻擊

這種老套的欺騙手法在移動領域和在臺式機上一樣令人煩惱。盡管人們認為能輕易地避開社會工程攻擊，但這種攻擊仍然非常有效。

據(jù)安全公司FireEye 2018年的報告，高達91%的網絡犯罪都始于電子郵件。該公司將這類事件稱為“無惡意軟件攻擊”，因為它們依靠偽裝之類的策略來欺騙用戶點擊危險的鏈接或者提供敏感信息。該公司指出，具體而言，在2017年期間，網絡釣魚事件增長了65%，移動用戶最容易落入圈套，因為很多移動電子郵件客戶端只顯示發(fā)件人的姓名——這使得很容易通過欺騙得到信息，誘騙某人認為電子郵件是來自他們認識或者信任的人。

事實上，據(jù)IBM的一項研究，用戶在移動設備上回應網絡釣魚攻擊的可能性是臺式機的三倍——這只是因為人們最先在手機上看到消息。雖然只有4%的用戶真正點擊了網絡釣魚攻擊相關聯(lián)的鏈接，但是據(jù)Verizon的《2018年數(shù)據(jù)泄露事件調查報告》，那些容易上當?shù)募一锿菍医滩桓恼撸涸摴局赋觯橙它c擊網絡釣魚活動鏈接的次數(shù)越多，未來就越有可能還會犯錯。Verizon之前曾報道過，15%被成功釣魚的用戶在同一年內至少會被再釣一次。

PhishMe公司使用真實的模擬措施來培訓員工識別并響應網絡釣魚企圖，該公司的信息安全和反網絡釣魚策略師John “Lex” Robinson介紹說：“我們確實看到，由于移動計算整體上的增長以及‘自帶設備工作環(huán)境的不斷擴展，移動領域越來越容易受到感染?！?/p>

Robinson指出，工作計算機和個人計算機之間的界限也越來越模糊了。他說，越來越多的員工在智能手機上查看多個收件箱——這些收件箱連接了工作賬戶和個人賬戶，而且?guī)缀跛腥硕紩诠ぷ魅仗幚硪恍﹤€人事務。因此，會在與工作相關的信息旁收到看似私人電子郵件的東西，表面上看起來這一點也不奇怪——即使這實際上可能是一種詭計。

3.Wi-Fi干擾

移動設備的安全取決于它所傳送數(shù)據(jù)的網絡。在一個我們經常連接到公共Wi-Fi網絡的時代，這意味著我們的信息通常并不像我們想象的那么安全。

這一問題到底有多重要？據(jù)企業(yè)安全公司Wandera的研究，企業(yè)移動設備使用Wi-Fi的次數(shù)幾乎是使用蜂窩數(shù)據(jù)的三倍。近四分之一的設備曾連接到開放或者可能不安全的Wi-Fi網絡，4%的設備在最近一個月內遭遇了“人在中間”攻擊——其中有人惡意攔截雙方的通信。與此同時，McAfee指出，網絡欺騙最近“急劇”增加，然而只有不到一半的人在旅行中或者連接公共網絡時會想辦法保護他們的連接。

雪城大學（Syracuse University）專門研究智能手機安全的計算機科學教授Kevin Du評論說：“如今，對數(shù)據(jù)流進行加密并不困難。如果沒有VPN，那么你的周界上就會有很多漏洞?！?/p>

然而，選擇合適的企業(yè)級VPN并非易事。如同與大多數(shù)安全相關的考慮一樣，幾乎總是需要進行權衡。Gartner的Zumerle指出：“對于移動設備，所采用的VPN應更加智能，因為最重要的是能夠盡量減少對資源（主要是電池）的消耗?！彼f，高效的VPN應知道僅在絕對必要時才激活，而不是在用戶訪問新聞網站之類的東西或者在已知安全的應用程序中工作時被激活。

4.過時的設備

智能電話、平板電腦和較小的聯(lián)網設備——通常被稱為物聯(lián)網（IoT）設備，給企業(yè)安全帶來了新的風險，因為與傳統(tǒng)工作設備不同，通常不能保證對這些設備進行及時、持續(xù)的軟件更新。這在Android上尤其如此，因為絕大多數(shù)制造商在更新他們的產品時效率都非常的低下，這包括操作系統(tǒng)（OS）更新，以及它們之間的每月安全小補丁——物聯(lián)網設備也是如此，其中很多甚至都沒有設計成首先獲得更新。

Du說：“這其中的很多設備甚至沒有內置的補丁機制，目前這已經成為越來越大的威脅了。”

據(jù)Ponemon，移動平臺的廣泛使用除了更有可能受到攻擊之外，還提高了數(shù)據(jù)泄露的總成本，而大量聯(lián)網的物聯(lián)網產品只會導致這些成本進一步攀升。網絡安全公司Raytheon贊助的一項研究表明，物聯(lián)網的“大門是敞開的”，82%的IT專業(yè)人士預言，不安全的物聯(lián)網設備將在企業(yè)內造成數(shù)據(jù)泄露，而且很可能是“災難性的”。

但強有力的政策尚需時日。有的Android設備的確能夠及時獲得可靠的持續(xù)更新。直到物聯(lián)網領域開展全面監(jiān)管之時，企業(yè)才會給自己建立安全的網絡。

5.挖礦劫持（Cryptojacking）攻擊

在所有的相關移動威脅中，挖礦劫持是相對較新的一類攻擊，某些人在設備擁有者不知情的情況下使用他人的設備去挖掘加密貨幣。如果你完全搞不懂這些技術問題，那么只需要知道這一點：加密貨幣挖礦過程會使用你的設備來為他人獲取利益。它很大程度上依賴于技術——這意味著受影響的手機可能會出現(xiàn)電池續(xù)航時間縮短的情況，甚至可能會因為組件過熱而受損。

雖然挖礦劫持起源于臺式機，但從2017年末到2018年初，在移動設備上出現(xiàn)了激增。據(jù)Skybox Security公司的分析，在2018年上半年，不受歡迎的加密貨幣挖礦占所有攻擊的三分之一，與前半年相比，在此期間大幅度攀升了70%。據(jù)Wandera公司的報告，在2017年10月至11月間，專門針對移動設備的挖礦劫持攻擊絕對是爆發(fā)式增長，當時受影響的移動設備數(shù)量激增了287%。

從那時起，情況有所緩和，尤其是在移動領域——這一舉措主要得益于蘋果的iOS應用商店和安卓系統(tǒng)相關的谷歌Play商店分別在6月份和7月份下架了加密貨幣挖掘應用程序。盡管如此，安全公司注意到，通過移動網站（甚至只是移動網站上的流氓廣告）以及從非官方第三方市場下載的應用程序發(fā)起的攻擊仍然取得了一定程度的成功。

分析人士還指出，通過連接互聯(lián)網的機頂盒進行挖礦劫持的可能性很大，因為一些企業(yè)可能使用這類設備進行流媒體和視頻播放。據(jù)安全公司Rapid7，黑客已經找到了一種利用明顯漏洞的方法，能夠操縱僅供開發(fā)人員使用的命令行工具Android Debug Bridge，并且可以熟練地用于這類產品中。

目前，除了仔細選擇設備，并堅持要求用戶只從平臺的官方商店（挖礦劫持代碼出現(xiàn)的概率顯著減?。┫螺d應用程序的政策之外，還沒有其他很好的方法——實際上，沒有跡象表明大部分企業(yè)會面臨重大的或者直接的威脅，特別是考慮到整個行業(yè)已經采取了預防措施。盡管如此，鑒于過去幾個月來這一領域非?；钴S，人們對此的興趣越來越高，因此應特別留意并密切關注2019年。

6.不良密碼安全使用習慣

你可能會認為這對我們來說已經不是問題了，但實際上，用戶仍然沒有很好地保護他們的賬戶——如果他們的手機同時含有公司賬戶和個人登錄信息，那問題就會比較大。

谷歌和哈里斯民意調查公司的一項最新調查發(fā)現(xiàn)，從調查樣本上看，一半以上的美國人在多個賬戶中重復使用密碼。同樣令人擔憂的是，近三分之一的人沒有使用雙重身份驗證（或者甚至不知道他們是否在使用這種方法——這可能會更糟）。只有四分之一的人主動使用密碼管理器，這表明絕大多數(shù)人在很多地方沒有使用特別強的密碼，他們還是自己生成并記住密碼。

這樣，情況只會變得更糟：據(jù)2018年的LastPass分析，有整整一半的專業(yè)人員在工作和個人賬戶上使用相同的密碼。如果這還不足以說明問題，那么，分析發(fā)現(xiàn)，一名普通員工在其工作過程中會與同事共享大約六個密碼。

恐怕你會認為這一切都是無稽之談，對此，Verizon發(fā)現(xiàn)，2017年，80%以上的企業(yè)黑客入侵都是由弱密碼或者被盜密碼造成的。特別是在移動設備上——員工想快速登錄到各種應用程序、網站和服務上，如果一個人不小心在隨機訪問的零售網站、聊天應用程序或者消息論壇的提示中輸入公司賬戶所用的同一密碼，那么就會給企業(yè)數(shù)據(jù)帶來風險。現(xiàn)在，同時考慮這種風險以及上面提到的Wi-Fi干擾風險，再想想你所在公司的員工總數(shù)，那么暴露出的風險點就會越來越多。

也許最讓人惱火的是，大多數(shù)人似乎完全沒有意識到他們在這方面疏忽大意了。在谷歌和哈里斯民意調查中，69%的受訪者在有效保護自己在線賬戶方面給自己打了“A”或者“B”，但隨后的回答表明并非如此。顯然，我們不能相信用戶自己在這方面的評估。

7.物理設備泄露

最后而且也非常重要的一點是，有些事情看起來非常愚蠢，但仍然是令人不安的現(xiàn)實威脅：丟失或者無人看管的設備會是重大的安全風險，特別是缺少強大的PIN或者密碼和全部數(shù)據(jù)加密的情況。

看看以下數(shù)據(jù)：在2016年Ponemon的一項研究中，35%的專業(yè)人士表示，他們的工作設備并沒有強制措施來保護可訪問的企業(yè)數(shù)據(jù)。更糟糕的是，近一半的受訪者說，他們沒有密碼、PIN或者生物特征識別安全措施來保護他們的設備，約三分之二的受訪者承認，他們沒有使用加密措施。68%的受訪者表示，他們有時會在通過移動設備訪問的個人賬戶和工作賬戶之間共享密碼。

關鍵信息很簡單：僅僅把責任留給用戶是不夠的。不要做假設，而是要制定政策。以后你會感謝自己的。

特約編輯JR Raphael為科技的人性化提供了豐富的素材。