如今,企業(yè)移動管理(EMM)在移動環(huán)境中已經(jīng)有了自己的地位,但是,在涉及移動安全時,EMM僅僅是一個起點。
不管用戶是誰,移動安全技術(shù)都應(yīng)提供安全和信任,并且支持應(yīng)用級的監(jiān)視和控制,防止當前移動環(huán)境中的漏洞,而這些功能都是EMM無法獨立實施的。為什么呢?
企業(yè)移動管理(EMM)的核心是移動設(shè)備管理(MDM)。由于移動設(shè)備大量地進入工作場所,IT不得不利用這種機制來跟上其步伐。雖然企業(yè)中EMM方案有了廣泛應(yīng)用,但是EMM主要是作為一種嚴重依賴管理設(shè)備和用戶的管理平臺。當今的移動世界要求企業(yè)必須重視BYOD、APP和日益增加的安全挑戰(zhàn)。如果企業(yè)無法深入地監(jiān)視操作系統(tǒng)中正在發(fā)生什么,也就不能完全相信設(shè)備。
隨著移動設(shè)備和應(yīng)用的快速發(fā)展,圍繞著BYOD和移動應(yīng)用的諸多勢力開始粉墨登場,并將重新塑造我們對移動和移動安全需求的認識。移動應(yīng)用的不斷增長,正在進一步強化企業(yè)對真正移動安全方案的需求,但EMM無法滿足新形勢下的安全需求。
BYOD不僅針對雇員
大約十年前,移動性意味著企業(yè)購買并根據(jù)需要給雇員派發(fā)一塊黑莓手機。而如今,在企業(yè)中,BYOD和app呈激增態(tài)勢。BYOD不僅涉及雇員,越來越多的合伙人和客戶開始通過設(shè)備上的移動應(yīng)用與企業(yè)交互。這意味著,企業(yè)無法控制這些設(shè)備,對移動安全來說,傳統(tǒng)的IT和MDM方法已經(jīng)過時。
移動應(yīng)用的發(fā)展已經(jīng)不可逆轉(zhuǎn),所以,企業(yè)不僅需要保障設(shè)備的安全,而且,不管是什么設(shè)備類型,在不影響用戶體驗的情況下保障應(yīng)用的安全。為此,企業(yè)必須采用一種已經(jīng)被證明的而非假想的模式。企業(yè)對移動設(shè)備和應(yīng)用必須采用零信任的模式,將安全性整合到要部署的任何應(yīng)用中。
任何人都可能成為app的開發(fā)者
隨著企業(yè)日益重視移動設(shè)備和應(yīng)用,企業(yè)的CIO在滿足終端用戶的需求時面臨著不少壓力,這是因為他們既要向業(yè)務(wù)人員和合作伙伴提供安全的應(yīng)用,又要向直接使用app的客戶快速提供應(yīng)用。結(jié)果,可使應(yīng)用程序的開發(fā)更容易的大量的移動應(yīng)用開發(fā)平臺和移動應(yīng)用開發(fā)工具紛至沓來,無論是技術(shù)人員還是非技術(shù)人員都可以創(chuàng)建移動app。但移動app開發(fā)者的安全知識卻不能保持同步和一致。
構(gòu)建移動app的安全知識發(fā)生的這種變化,再加上企業(yè)要求快速將應(yīng)用推向市場的迫切需求,導(dǎo)致了app的可用性戰(zhàn)勝了安全性,造成了大量不安全的應(yīng)用。
為解決這個問題,我們必須利用工作在app層的安全方案,并且在所有移動app中提供一種一致的安全框架。這種方案不僅要保護app,還要確保不健全的app不會成為攻擊者的前門。只有這樣,企業(yè)的CISO和CIO才可能對移動應(yīng)用的完整性有信心。
app激增
企業(yè)正快速地將大量的業(yè)務(wù)應(yīng)用(如電子郵件、日程、瀏覽器)遷移到大量的所謂生產(chǎn)率應(yīng)用(productivity app),而其潛在的固有漏洞給企業(yè)的敏感數(shù)據(jù)帶來更大的攻擊面。敏感信息正日益面臨被暴露的風(fēng)險,這是因為“雇員日益成為擁有其自己的IT部門”的員工,將不安全的應(yīng)用下載并在其設(shè)備上運行。調(diào)查發(fā)現(xiàn),許多企業(yè)都存在某種形式的BYOA(自帶應(yīng)用),還有許多雇員在已經(jīng)存在一個可用的應(yīng)用時,還要下載其自己的應(yīng)用。
從本質(zhì)上說,企業(yè)都要求對所有移動應(yīng)用進行更精細的控制,但EMM無法提供此功能。即使對于從蘋果和谷歌下載的app來說,問題也是如此。攻擊者還能夠?qū)阂廛浖窝b成一個新聞網(wǎng)站app,以此吸引目標。所以,公司需要的不僅僅是EMM,更應(yīng)找到一個對所有移動客戶交付安全產(chǎn)品的方法,當然,這種產(chǎn)品應(yīng)當與設(shè)備類型無關(guān)。
移動app漏洞的出現(xiàn)
黑客們都知道移動應(yīng)用固有的不安全性,因而他們就有機會發(fā)動更高級的攻擊。攻擊者們喜歡一直連網(wǎng)卻缺乏監(jiān)視、檢測的目標,這就使得移動設(shè)備和應(yīng)用成為攻擊的好途徑。只要我們看看研究人員和黑客們已經(jīng)發(fā)現(xiàn)和正在發(fā)現(xiàn)的重大漏洞,就會感到問題的嚴重性。
企業(yè)往往要求開發(fā)者們快速將應(yīng)用推向市場,開發(fā)者就不斷地更新,或在開發(fā)移動應(yīng)用期間,利用一些外包的或外部的框架。這確實可以提高開發(fā)速度,但也意味著開發(fā)者可能在不知不覺中就引入了一些安全風(fēng)險,尤其是在使用第三方的組件時,問題就更為嚴重。例如,如果被廣泛用于Web的可信加密庫OpenSSL存在漏洞,還有哪個更新的“移動編程庫(MPL)”能夠擔(dān)當重任?
移動設(shè)備和應(yīng)用在企業(yè)中的演變步伐將極大地改變企業(yè)考慮安全的方式。企業(yè)需要在一個自己越來越不容易控制的由設(shè)備、app、用戶所構(gòu)成的環(huán)境中建立信任和安全。在此過程中,要有效地控制風(fēng)險就要真正地理解人在移動設(shè)備上的工作方式及其與移動設(shè)備和應(yīng)用的交互方式。攻擊者總是跟蹤那些 廣泛使用的并且有安全缺陷的移動應(yīng)用,這意味著下一種威脅公司數(shù)據(jù)和用戶私密的就是移動設(shè)備和應(yīng)用。
對移動設(shè)備和應(yīng)用實施零信任模式并在app層上實施適當?shù)陌踩刂萍饶芴嵘视挚梢源龠M安全。但是最根本的問題是,這種模式不再是關(guān)于設(shè)備的,而應(yīng)是關(guān)于app的。