一直以來,企業(yè)的安全管理主要集中于對其網絡邊界的保護,直到世界上第一臺智能手機的面市,業(yè)務流程和數(shù)據的重心便轉向了企業(yè)網絡的內部。然而,移動革命的浪潮徹底改變了員工互動、互訪和信息共享的方式。雖然一些組織升級了內部網絡的防御系統(tǒng),但是黑客也在尋找其他進入企業(yè)網絡內部的方式,他們試圖把焦點轉移到網絡邊緣,利用移動設備來獲得進入的權限。
而安全專家也認為,下一波企業(yè)黑客將通過移動設備這條渠道進行網絡攻擊。據反釣魚工作組(APWG)的調查結果顯示,移動設備已經成為吸引世界各地的犯罪分子的目標,移動詐騙的增長速度近乎電腦詐騙的五倍。因此,對于組織而言,管理移動應用程序和設備風險、控制網絡訪問權限是必不可少的防線。那么,組織面臨的移動/BYOD設備威脅都有哪些呢?
據國際信息系統(tǒng)審計協(xié)會(ISACA)《2012信息科技風險與回報測量研究》( ISACA 2012 IT Risk / Reward Barometer)調查,在美國,近乎72%的組織允許自己的員工在工作時使用BYOD。這種新的實踐途經把企業(yè)面臨的風險暴露無遺,這將威脅到整個企業(yè)的安全、降低企業(yè)的生產率。由于移動設備和BYOD的便攜性,以及與公共云應用一體化的性質,數(shù)據盜竊或泄露的風險也將大大增加。事實上,Decisive Analytics的一項研究顯示,在允許BYOD連接到自己內網的企業(yè)中,有近半的企業(yè)已經遭受到了數(shù)據泄露的慘痛教訓。
的確,移動/BYOD設備打開了一個全新的攻擊層面,黑客能夠利用這些可尋漏洞進入到企業(yè)網絡中,從而獲取到所需的數(shù)據。這些漏洞可以被攻擊者用以下幾種方法所利用:
黑客使用不同的技術對移動/BYOD設備發(fā)動惡意攻擊,通過種種感染方式(例如MMS、SMS、email、藍牙、WiFi、用戶安裝、自安裝、內存卡分配和USB)和拒絕服務的攻擊方式(例如藍牙劫持、SMS拒絕、不完整的OEBX信息、不完整的格式字符串和SMS信息)來部署惡意軟件(例如病毒、蠕蟲、特諾伊木馬和間諜程序),還有發(fā)動移動消息攻擊(例如短信詐騙、短信垃圾、惡意短信內容、SMS/MMS漏洞利用)。
所有的這些技術都可以用來進行活動監(jiān)控和數(shù)據檢索,不合法的撥號、短信和網上支付,不合法的網絡連接、數(shù)據檢索、系統(tǒng)修改以及利用泄露出的數(shù)據模擬用戶界面。這些攻擊活動對任何一個組織而言都構成了巨大的威脅,特別是當終端用戶在移動設備上保存了密碼,這構成的威脅將不可估量。
因此,移動設備制造商應該針對這些威脅安裝殺毒軟件。例如,三星就在幾天前宣布,他們在android智能手機上增加了一個企業(yè)安全包。
雖然如此,移動操作系統(tǒng)和移動應用程序在設計或實施上存在的漏洞,依然會暴露移動/BYOD設備的敏感數(shù)據,從而被黑客所攻擊。隨著數(shù)以百萬計的移動應用程序的上市,應用程序存在的漏洞風險指數(shù)明顯要高于其他的威脅。雖然商業(yè)應用程序提供商的數(shù)量是可審查的、移動應用程序開發(fā)商和來源的數(shù)量也是巨大的,但卻是時刻在發(fā)生著改變,很難對其信任和聲譽進行一個準確的評估。
這些漏洞能夠導致但并不局限于以下威脅:數(shù)據泄露(偶然或故意的)、不安全的數(shù)據存儲(例如銀行和支付系統(tǒng)的PIN號碼、信用卡號、在線服務密碼)、不安全的數(shù)據傳輸(例如自動連接到公共WiFi),還有不合法的連接許可請求。
除了漏洞,大量的應用程序也展現(xiàn)出了它們的一些隱私慣例,像以何種方式收集電話或地理位置的數(shù)據,以及如何請求應用程序沙箱以外的數(shù)據。
事實上,終端用戶的行為往往是不可預測的,應用程序不能訪問一些敏感數(shù)據,也不會被黑客攻擊,只會增加移動風險。但最終會由于缺少殺毒軟件對移動設備的保護,藍牙和WiFi也不斷地被使用,敏感信息和文件都存儲在移動設備內存中,清除這種移動安全威脅的工作將會變得愈加困難。
考慮到這些挑戰(zhàn),在主動管理和消除安全風險的時候,我們可以采取哪些措施來維持企業(yè)生產率、節(jié)約成本呢?
首先最簡單的實踐方法就是實施宣傳方案,向移動/BYOD終端用戶進行關于安全威脅和其避免方法的教育。比如,移動設備包含了大量的數(shù)據,但不是所有的都是敏感數(shù)據,而攻擊者需要滲透到一個安全的網絡來獲取到準確的數(shù)據,如電子郵件賬戶憑證、用戶密碼和企業(yè)VPN的登錄數(shù)據。此外,設備本身也可以作為一個可以直接連入企業(yè)網絡的通道,例如,如果一個黑客用惡意軟件讓一個移動設備中了病毒,那么他們將可以用該軟件通過VPN而連接到內部網絡。因為許多終端用戶是通過USB接口讓自己的移動設備連接到工作站,所以這也是一種能夠讓網絡受到感染的一種途徑。
接下來就是圍繞移動設備的使用來建立嚴格的策略,一個好的參考框架就是 “企業(yè)移動設備安全管理的指導方針”,它是由美國國家標準與技術研究所(NIST)在其特別出版物(SP)800-124修訂版1中提出的。建立移動設備的使用策略是相對容易的,困難的是收集風險預測信息,這些信息要用來確定移動設備是否、何時以及怎樣連接到一個可信的組織網絡。在這方面,很多組織要依賴于像移動設備管理或移動應用管理這些工具。
雖然這些工具具備基本的風險評估和策略實施能力,但是它們在企業(yè)移動和BYOD的風險狀況方面,缺乏全面的、實時的考察。值得高興的是,新型移動信托服務正脫穎而出,這種服務能夠識別每一層移動堆棧上(基礎設施、硬件、操作系統(tǒng)和應用程序)的漏洞,使這些數(shù)據在安全生態(tài)系統(tǒng)范圍內(例如安全控制的使用,像加密、基于角色的訪問控制等技術)與現(xiàn)存的威脅和風險系數(shù)有一定的聯(lián)系。反過來,這些風險系數(shù)也可以用來確定是否授予一個網絡的訪問權限,如果有的話,那么又有哪些權限是應當受到限制的。一旦允許訪問,連續(xù)監(jiān)測就應該用來更新風險評估系數(shù)。