由于針對(duì)移動(dòng)設(shè)備發(fā)動(dòng)的攻擊變得更加狡猾，許多企業(yè)不再一味依賴標(biāo)準(zhǔn)的設(shè)備管理平臺(tái)來獲得安全，而是將傳統(tǒng)的企業(yè)移動(dòng)管理(EMM)和移動(dòng)設(shè)備管理(MDM)系統(tǒng)與移動(dòng)應(yīng)用程序管理(MAM)系統(tǒng)結(jié)合起來，打造一種全方位的威脅管理平臺(tái)。

幾周前，我采訪了Lacoon移動(dòng)安全公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Michael Shaulov，這家專注于移動(dòng)安全的初創(chuàng)企業(yè)最近已被知名廠商Check Point收購。Lacoon致力于為基于iOS和安卓的移動(dòng)設(shè)備確保網(wǎng)絡(luò)安全。該公司的研發(fā)團(tuán)隊(duì)在以色列，而公司辦公室卻設(shè)在加利福尼亞州舊金山。產(chǎn)品是一款威脅管理平臺(tái)，能夠檢測(cè)針對(duì)安卓和iOS的不同類型的惡意軟件、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)威脅。

Shaulov及其團(tuán)隊(duì)與軍方、情報(bào)界(IC)和政府執(zhí)法部門有過合作。Lacoon的創(chuàng)始人發(fā)現(xiàn)用于攔截和監(jiān)控移動(dòng)設(shè)備的更先進(jìn)的技術(shù)落到網(wǎng)絡(luò)犯罪分子的手里后，覺得需要提供一種致力于對(duì)付移動(dòng)威脅的全方位威脅管理平臺(tái)。

他主張移動(dòng)團(tuán)隊(duì)和安全團(tuán)隊(duì)需要攜起手來，用安全解決方案來增強(qiáng)MDM解決方案，從而保護(hù)企業(yè)的移動(dòng)設(shè)備遠(yuǎn)離持續(xù)性威脅。

了解層出不窮的移動(dòng)安全威脅

我跟Shaulov聊起了層出不窮的移動(dòng)安全威脅，這些威脅似乎一直在登上報(bào)章頭條。他回復(fù)道，這些威脅不是什么新的威脅;這些威脅其實(shí)已經(jīng)存在了十多年。

Shaulov說：“可以說，移動(dòng)安全威脅就跟網(wǎng)絡(luò)安全界的幾乎任何問題一樣。”他以肆虐了十多年的桌面惡意軟件為例，直到RSA泄密事件才讓眾多企業(yè)組織相信：自己同樣有可能遭到危及。

Shaulov向我保證：他絕不會(huì)過分夸大當(dāng)前的移動(dòng)設(shè)備安全形勢(shì)。他告訴我，正是由于缺少安全意識(shí)，才進(jìn)一步導(dǎo)致了移動(dòng)設(shè)備淪為新的攻擊途徑;由于自帶設(shè)備(BYOD)戰(zhàn)略和移動(dòng)優(yōu)先戰(zhàn)略，眾多移動(dòng)設(shè)備迅速成為了員工的首要設(shè)備。

對(duì)攻擊缺乏了解也是個(gè)問題。據(jù)Shaulov聲稱，除非一家企業(yè)使用威脅管理解決方案，否則它們可能不知道其網(wǎng)絡(luò)上有沒有已遭到危及的移動(dòng)設(shè)備。

攻陷MDM

即便在如今的移動(dòng)企業(yè)，也在某種程度上存在著MDM/EMM舒適區(qū)(comfort zone)。我詢問Shaulov攻擊者如何可以攻陷MDM平臺(tái)。

Shaulov說：“最簡(jiǎn)單的辦法就是，對(duì)用戶實(shí)行網(wǎng)絡(luò)釣魚攻擊，說服用戶將某個(gè)應(yīng)用程序(實(shí)為惡意軟件)安裝到設(shè)備上。有更高級(jí)的手法，但這是最簡(jiǎn)單的手法。”

他繼續(xù)說：“然后，你就可以利用在網(wǎng)上隨處可見的不同漏洞，突破安卓或iOS操作系統(tǒng)的內(nèi)置安全機(jī)制。”一旦黑客突破了操作系統(tǒng)的安全防線，攻擊者就能進(jìn)而攻入MDM，不管部署了什么加密、安全容器或其他安全措施。

Shaulov說：“一旦你從管理員層面控制了操作系統(tǒng)，其實(shí)并不在乎那些安全措施，”Shaulov提醒道：你其實(shí)可以將一切記入日志，清除內(nèi)存，并且抓取移動(dòng)設(shè)備的屏幕內(nèi)容。他告訴我，這些手法將MDM置于險(xiǎn)境。

加強(qiáng)MDM

Shaulov一再向我保證：“我并不認(rèn)為EMM已完蛋。到頭來，它們解決的問題是在管理層面，提供數(shù)據(jù)訪問權(quán)。”

他堅(jiān)持認(rèn)為，MDM提供商并不是安全供應(yīng)商，它們也沒有安全供應(yīng)商的基因。他認(rèn)為移動(dòng)安全具有下列兩層：

•管理層(MDM、EMM和MAM)

•管理層上面的網(wǎng)絡(luò)安全層

他認(rèn)識(shí)到，每家供應(yīng)商運(yùn)用稍有不同的方法來解決這個(gè)問題，但供應(yīng)商們主要著眼于三個(gè)方面：

•任何企業(yè)用戶下載到BYOD或企業(yè)設(shè)備的應(yīng)用程序并不都是惡意軟件。

•網(wǎng)絡(luò)安全，如果員工將設(shè)備連接到不安全的無線網(wǎng)絡(luò)，比如星巴克、酒店或機(jī)場(chǎng)的無線網(wǎng)絡(luò)，就需要一種解決方案來確保網(wǎng)絡(luò)并沒有遭到危及，并沒有成為攔截加密/未加密的通信內(nèi)容的攻擊途徑。

•設(shè)備操作系統(tǒng)，正如Shaulov指出，設(shè)備層面的攻擊是iOS中最主要的攻擊，因?yàn)樵S多攻擊表現(xiàn)為配置濫用(破解)而不是應(yīng)用程序?yàn)E用。

他表示，并不依賴病毒特征的解決方案具有優(yōu)勢(shì)。Shaulov建議不要一味指望傳統(tǒng)的反病毒供應(yīng)商(包括邁克菲、賽門鐵克和AVG)。他表示，病毒特征方法的功效非常有限，無力發(fā)覺任何獨(dú)特的惡意軟件或直接針對(duì)企業(yè)的惡意軟件。

Shaulov補(bǔ)充說：“這種方法對(duì)消費(fèi)者來說很好，但不是企業(yè)用戶所尋求或者會(huì)滿意的。”

他還建議，增強(qiáng)MDM平臺(tái)的安全解決方案應(yīng)該采用基于行為或啟發(fā)式的檢測(cè)技術(shù)。有人訪問你網(wǎng)絡(luò)上的資源時(shí)，這些技術(shù)能夠發(fā)現(xiàn)常見用戶行為方面的偏差。

據(jù)Shaulov認(rèn)為，這又回到了EMM和整合這方面。他強(qiáng)調(diào)了可見性、檢測(cè)企業(yè)環(huán)境中威脅的重要性。除此之外，Shaulov還補(bǔ)充：“消除威脅，確保設(shè)備不再受到威及，你需要及時(shí)地開展這方面的工作，又不浪費(fèi)太多的資源。”

Shaulov給我舉了一個(gè)例子，表明威脅管理平臺(tái)如何與AirWatch或另一種EMM平臺(tái)整合起來。一企業(yè)用戶在通過與Lacoon或一種類似的威脅管理解決方案整合起來的AirWatch，訪問電子郵件及其他企業(yè)應(yīng)用程序。威脅管理平臺(tái)檢測(cè)到企業(yè)用戶設(shè)備上的惡意軟件后，該平臺(tái)告訴AirWatch控制臺(tái)：設(shè)備受到了威及，并指示控制臺(tái)關(guān)閉設(shè)備訪問企業(yè)電子郵件的通道，防止設(shè)備訪問Salesforce或其他關(guān)鍵的企業(yè)資源。

結(jié)束語

我們已經(jīng)看到EMM和MAM在市場(chǎng)上相互融合。與Michael Shaulov的一番交談促使本人認(rèn)為：網(wǎng)絡(luò)安全和移動(dòng)安全應(yīng)該相互融合?；诰媒?jīng)考驗(yàn)的網(wǎng)絡(luò)安全技術(shù)和方法的威脅管理平臺(tái)似乎就是移動(dòng)安全發(fā)展道路上很自然的下一步。

英文：Threat management platforms are next step in mobile device security evolution