對(duì)于移動(dòng)設(shè)備安全，世界各地的安全專業(yè)人士都會(huì)犯相同的錯(cuò)誤：死守過去成功的策略和戰(zhàn)術(shù)，盡管情況已經(jīng)發(fā)生了變化。

[[111521]]

移動(dòng)設(shè)備代表著一個(gè)不斷變化的攻擊面。隨著智能手機(jī)和平板電腦等越來越多地進(jìn)入企業(yè)，首席信息安全官(CISO)都在爭(zhēng)先恐后地制定應(yīng)對(duì)策略。但往往他們的努力都沒有起到實(shí)質(zhì)作用。比如，制定移動(dòng)策略要關(guān)注惡意軟件，但一個(gè)有效的移動(dòng)安全策略還必須同時(shí)能夠解決應(yīng)用數(shù)據(jù)泄露、高級(jí)攻擊以及內(nèi)部威脅等問題。所以，面對(duì)不斷變化的攻擊技術(shù)，企業(yè)需要新的方式來考慮安全性。

移動(dòng)惡意軟件的發(fā)展情況

雖然我們應(yīng)該關(guān)注除惡意軟件外的很多問題，但惡意軟件本身的問題也不能忽視。因?yàn)楣粽哌€會(huì)繼續(xù)利用惡意軟件來竊取敏感數(shù)據(jù)。隨著移動(dòng)設(shè)備和數(shù)字環(huán)境的變化，惡意軟件也將隨之變化。并且，隨著虛擬化的興起，出現(xiàn)了更加復(fù)雜的惡意軟件，它們能夠檢測(cè)自己是否在虛擬環(huán)境中運(yùn)行，然后相應(yīng)地改變自己的行為。

由于移動(dòng)設(shè)備擁有先進(jìn)的傳感器，我們還會(huì)看到這種惡意程序：在設(shè)備傳感器檢測(cè)到其符合某些參數(shù)之前，它能夠偽裝成完全合法的應(yīng)用。想象一下這種間諜式的情況：你安裝了山寨版憤怒的小鳥。該應(yīng)用的行為像一個(gè)完全合法的游戲，直到你手機(jī)上的地理定位傳感器告訴該應(yīng)用，你位于華盛頓FBI的500英尺范圍內(nèi)，這樣，它會(huì)開始登錄所有Wi-Fi網(wǎng)絡(luò)或者其范圍內(nèi)可發(fā)現(xiàn)的藍(lán)牙設(shè)備。

惡意軟件已經(jīng)得到媒體和IT專業(yè)人士的很多關(guān)注，因?yàn)樗且粋€(gè)常見的威脅。眾所周知，Android設(shè)備存在很多漏洞，這主要是因?yàn)锳ndroid設(shè)備能夠運(yùn)行Google Play商店以外交付的應(yīng)用。惡意攻擊者還想出了更聰明的辦法來繞過谷歌的安全檢查。去年4月，Google Play可供下載的32款A(yù)ndroid應(yīng)用中都發(fā)現(xiàn)了名為BadNews的Android惡意軟件。該惡意軟件繞過了谷歌的Bouncer服務(wù)器端掃描以及Android設(shè)備上的本地Verify Apps功能，它“使用以后的日期”通過廣告網(wǎng)絡(luò)被分發(fā)到移動(dòng)設(shè)備。(在2月的RSA大會(huì)上，谷歌宣布計(jì)劃升級(jí)Verify Apps，讓其可用于非Google Play應(yīng)用)。該惡意軟件可以下載額外的應(yīng)用，并提示受害者(主要是在俄羅斯市場(chǎng))安裝“重要更新”—用于保險(xiǎn)費(fèi)率短信欺詐。在獲知該惡意軟件后，谷歌立即刪除了該應(yīng)用。

根據(jù)思科2014年度安全報(bào)告稱，2013年99%的移動(dòng)惡意軟件瞄準(zhǔn)了Android設(shè)備。另外一個(gè)統(tǒng)計(jì)數(shù)據(jù)告訴了我們一個(gè)略有不同的信息。谷歌的Android安全首席工程師Adrian Ludwig在去年10月份分享了一個(gè)研究數(shù)據(jù)，其中顯示在該公司分析的15億個(gè)安裝中，只有1200個(gè)(約為0.00008%)被視為存在潛在危害性。盡管普遍認(rèn)為Android越來越多地受到惡意軟件的攻擊，但其知名度和市場(chǎng)份額仍在全球迅速增長(zhǎng)。

另一方面，蘋果公司通常不允許App Store之外的應(yīng)用的安裝，因此，在iOS設(shè)備分發(fā)惡意軟件更加困難。但這種安全的“圍墻花園”驅(qū)使很多用戶對(duì)其設(shè)備進(jìn)行越獄，最近有報(bào)道稱，針對(duì)iOS 7的evasiOn越獄存在惡意軟件。盡管創(chuàng)作者否認(rèn)了這一點(diǎn)，但這在很大程度上也揭露了這種越獄也可能包含攻擊。

易受攻擊的應(yīng)用會(huì)帶來高風(fēng)險(xiǎn)

惡意軟件得到了最多的關(guān)注，但研究人員知道這并不是唯一的威脅。僅僅因?yàn)閼?yīng)用的設(shè)計(jì)初衷不是惡意性質(zhì)，并不意味著它是安全的。企業(yè)將安全重點(diǎn)完全放在惡意軟件上，容易忽略一個(gè)更普遍的威脅：不安全應(yīng)用造成的數(shù)據(jù)泄露。

圖1

我們最近測(cè)試了100個(gè)流行應(yīng)用(50個(gè)iOS和50個(gè)Android)應(yīng)對(duì)中間人攻擊和SSL攻擊漏洞的情況，包括它們是否將密碼和其它敏感數(shù)據(jù)保存在內(nèi)存中，以及其它常見安全問題。我們發(fā)現(xiàn)，大多數(shù)應(yīng)用(75%的iOS和59%的Android)在一個(gè)或多個(gè)類別(如圖1所示)獲得了“高”風(fēng)險(xiǎn)等級(jí)。

Appthority做了類似的研究，結(jié)果發(fā)現(xiàn)95%的前200個(gè)免費(fèi)Android和iOS應(yīng)用表現(xiàn)出危險(xiǎn)行為。沒有哪個(gè)應(yīng)用類別看起來是免疫的。另外，IOActive最近分析了來自世界上最大的金融機(jī)構(gòu)的40個(gè)消費(fèi)級(jí)移動(dòng)銀行應(yīng)用，結(jié)果發(fā)現(xiàn)90%都容易受到攻擊。

高級(jí)攻擊瞄準(zhǔn)移動(dòng)設(shè)備

任何智能手機(jī)都可以作為一種記錄設(shè)備;高級(jí)攻擊者可以通過點(diǎn)擊一個(gè)按鈕就能竊聽企業(yè)董事會(huì)會(huì)議。內(nèi)置攝像頭同樣可以被遠(yuǎn)程改變用途，作為企業(yè)間諜活動(dòng)的設(shè)備。利用移動(dòng)設(shè)備的USB硬件可以將智能手機(jī)變成一個(gè)手動(dòng)鍵盤來繞過防火墻和其它傳統(tǒng)防御措施。所有IT專業(yè)人士都知道，智能手機(jī)上的數(shù)據(jù)可能會(huì)被泄露，但很少人知道，這主要是因?yàn)槠溆布沁h(yuǎn)程可控制的，移動(dòng)設(shè)備本身可作為攻擊媒介。

內(nèi)部威脅

全面的移動(dòng)安全策略還必須解決企業(yè)內(nèi)部的安全威脅。保護(hù)企業(yè)免受這種類型的威脅非常困難。移動(dòng)設(shè)備通常會(huì)跨越多個(gè)網(wǎng)絡(luò)，在防火墻的兩端運(yùn)行。只有最小的管理權(quán)限、有限的活動(dòng)可視性，而且沒有特權(quán)賬戶。

一些企業(yè)已經(jīng)開始投資于先進(jìn)的技術(shù)，例如，用于防止某些電子郵件或文件被轉(zhuǎn)發(fā)到指定網(wǎng)絡(luò)外的任何人。這是一個(gè)很好的防御辦法，但智能手機(jī)的截屏功能讓希望分享敏感數(shù)據(jù)的人只需要截取圖片就可以與他們選擇的任何人一起分享數(shù)據(jù)。

基于移動(dòng)安全2.0的主動(dòng)策略

那么，企業(yè)如何抵御所有威脅呢?壞消息是，并沒有完美的解決方案。但好消息是，可以采取相應(yīng)的措施讓企業(yè)更安全。安全專業(yè)人員通常都依賴于靜態(tài)簽名安全措施，但對(duì)于移動(dòng)安全，這種措施是不可擴(kuò)展的。

移動(dòng)安全策略應(yīng)積極采取防御姿態(tài)。這包括制定一個(gè)移動(dòng)殺傷鏈以在攻擊的各個(gè)階段阻止攻擊者。到國外出差可能讓你的員工面臨間諜活動(dòng)的威脅，因此，員工應(yīng)該使用沒有任何敏感信息的設(shè)備。

保持移動(dòng)安全意味著提高可視性。所以企業(yè)需要監(jiān)控移動(dòng)設(shè)備和應(yīng)用。你應(yīng)該了解以下內(nèi)容：

員工使用自己的手機(jī)做什么?

信息如何保存?

數(shù)據(jù)被發(fā)送到哪里?

員工通過HTTP而不是HTTPS發(fā)送敏感信息?

你需要監(jiān)測(cè)行為模式和異常。在季度財(cái)務(wù)報(bào)告剛剛編制后，某個(gè)用戶是否都會(huì)上傳大量數(shù)據(jù)到Dropbox?這是你需要追蹤的行為。

企業(yè)必須適應(yīng)移動(dòng)設(shè)備遍布的事實(shí)。如果無視移動(dòng)設(shè)備的風(fēng)險(xiǎn)，企業(yè)可能面臨數(shù)據(jù)泄露事故、客戶信任損失、收入損失以及違反監(jiān)管法規(guī)的風(fēng)險(xiǎn)。同時(shí)，安全專業(yè)人員必須從專注于惡意軟件和制定積極策略，轉(zhuǎn)移到應(yīng)對(duì)移動(dòng)設(shè)備帶來的所有威脅。放眼未來，精明的攻擊者將繼續(xù)發(fā)展他們的技術(shù)，你只有不斷進(jìn)步，才可能打贏這場(chǎng)戰(zhàn)爭(zhēng)。