安全專業(yè)人士建議公司將威脅情報與移動設(shè)備管理平臺整合在一起，實現(xiàn)共享關(guān)于網(wǎng)絡安全威脅和惡意應用的情報信息，提升移動安全性。

Lower Colorado River Authority首席安全官Larry Whiteside, Jr.建議首先確保能夠從企業(yè)移動管理(EMM)/移動設(shè)備管理(MDM)提供商那里得到與桌面安全提供商相同等級的日志信息。

“我并沒有看到那些已經(jīng)安裝了賽門鐵克、邁克菲或其它新桌面安全工具的人說，‘嗯，你采取這些保護措施就可以了，我們不需要知道什么東西正在攻擊它們，也不需要知道正在發(fā)生什么。保護它們，我們信任你。’”

Whiteside稱，然而這就是我們目前在移動領(lǐng)域中所采取的做法。他稱，當公司考慮MDM解決方案時，他們僅傾向于關(guān)注集成和能力，并沒有對確保得到日志、威脅類型等一些基本功能提出過多的要求。

 [[140942]]

關(guān)鍵是集成威脅情報源

將威脅情報源整合至MDM系統(tǒng)中可使我們能夠使用關(guān)于危險和惡意應用的情報提升移動威脅防御能力。這是應用安全服務提供商Marble Security的主席、首席執(zhí)行官兼首席技術(shù)官David Jevans給出的建議。通常情況下，我們可以通過MDM或是威脅情報提供商的API將威脅情報源整合至MDM/EMM平臺中，

Jevans 稱：“威脅情報可讓企業(yè)迅速將識別哪些應用不應當被允許接入網(wǎng)絡，企業(yè)內(nèi)部可在數(shù)小時內(nèi)做出相關(guān)決策。”這一理念是獲取數(shù)據(jù)源，將其與MDM聯(lián)系起來，然后快速刪除這些應用或是通知相關(guān)用戶。

當然，在自備辦公設(shè)備(BYOD)環(huán)境中情況比較復雜，不過Jevans仍建議我們將威脅源整合至MDM中。他警告稱，公司需要具備管理BYOD的能力，以清楚哪些東西正在用戶的設(shè)備上運行著。這通常意味著需要在用戶設(shè)備上部署并運行一個客戶端，讓我們知道設(shè)備正在運行哪些東西，這樣才能將設(shè)備與威脅情報關(guān)聯(lián)起來。

Good Technology也認同Jevans提出的BYOD將會給威脅情報帶來一些獨特問題的觀點。他還指出了將威脅情報直接整合至MDM中可帶來的另一個好處。“你可能會希望某個設(shè)備停止接入公司的網(wǎng)絡中，雖然我們無法對整個設(shè)備中的內(nèi)容進行擦除，或是希望讓它們停止與AT&T或是家庭WiFi接入在一起，因為它們不是我們自己的設(shè)備。”

Van Someren補充稱：“由于移動設(shè)備不同，我們可以采取許多不同的辦法。但是在許多層面上，它們都具有相同的活動，因此威脅情報需要一個全局性解決方案，而不是一個單點解決方案。”

他稱：“典型的MDM解決方案與容器化解決方案相比具有更多弱點。因為在容器化解決方案中，容器的重點是讓我們僅能得到針對某個容器化應用的資源。這種容器解決方案可以更好的應對我們這里討論的一些單點威脅。從移動性方面看，由于在管理上就存在缺陷，無法控制公司網(wǎng)絡中的設(shè)備，因此我們沒有太多的機會收集移動領(lǐng)域中的信息。”

這里面還有一些隱私問題。“我們必須要認真考慮這一問題。我們是否應當停止從這些終端中收集信息?在行動上同樣存在著相似的問題，我們是否了解自己的設(shè)備，如果設(shè)備的設(shè)置出錯，那么它們就可能執(zhí)行一些錯誤的行為，如果它們是個人的設(shè)備，我們將無法強制性對這些設(shè)備中的內(nèi)容進行擦除。”

采取一個全局性解決方案

Van Someren稱，在網(wǎng)絡安全專家眼中根本沒有移動設(shè)備威脅情報這一概念，這一點非常重要。威脅情報只有應用在整個基礎(chǔ)設(shè)施中才有意義。

運營情報與日志管理解決方案提供商Splunk的首席安全專家Monzy Merza建議，威脅情報不要僅僅應用于針對個人交易的單個IP地址和域中。

他建議企業(yè)應當全盤考慮整個IT環(huán)境，包括服務器、數(shù)據(jù)庫和應用以搞清楚移動交互是如何產(chǎn)生的，將威脅情報應用在一個盡可能廣的范圍內(nèi)。

我們應當部署一些允許我們將威脅情報應用至移動應用日志、防火墻日志甚至是電子郵件內(nèi)容當中的工具。他建議稱：“不要僅局限‘事件數(shù)據(jù)’應當將威脅情報應用在所有的數(shù)據(jù)來源中。”

微軟企業(yè)移動產(chǎn)品營銷部高級總監(jiān)Andrew Conway 稱：“談到獲取一些關(guān)于員工所做事情的情報，我認為最重要的是部署能夠向我們匯報誰正在訪問如些應用，以及在什么時間的解決方案，讓我們對應用的訪問具有直觀性。”在考慮威脅情報時，我們應當搞清楚“誰正在訪問，在什么時間，他們是如何做的。”

Marble Security的Jevans給出的另一個提示是將移動威脅情報與網(wǎng)絡情報綜合在一起。網(wǎng)絡情報數(shù)據(jù)可能將包括：

· 網(wǎng)絡坐標，即惡意流量正在從移動設(shè)備中流向何處。

· 與企業(yè)網(wǎng)絡相連的設(shè)備是否在防火墻內(nèi)部，它們是否通過VPN相連。

聚焦威脅情報和網(wǎng)絡情報可讓我們更好地描述惡意信息并將其添加至我們在用的威脅阻止系統(tǒng)中，無論它們是防火墻還是設(shè)備管理。此外我們還能夠?qū)崿F(xiàn)對它們的追蹤。Jevans 稱：“你在機場時可能無法檢測它們，但是當你回到辦公室就可以對它們進行檢測。”

網(wǎng)絡、數(shù)據(jù)和移動服務提供商MetTel的網(wǎng)絡服務業(yè)務副總裁Ed Fox和移動業(yè)務副總裁Max Silber建議在內(nèi)部組建一個負責處理威脅情報源的SWAT團隊，以為那些正在面臨攻擊威脅的用戶提供目標信息。

IBM 安全部門資深安全總顧問Diana Kelley建議在內(nèi)部建立起一個恰當?shù)囊苿釉O(shè)備保護環(huán)境。如果沒有收到來自外部的威脅情報，它們可使用MDM解決方案探測企業(yè)中被越獄的設(shè)備或是被root的設(shè)備。

Kelley 認為：“威脅情報真的非常重要，因為雖然它們不是整合行業(yè)性情報，但是它們是關(guān)們我們內(nèi)部環(huán)境的情報。他們是否對設(shè)備進行了越獄?如果是，你可能采取措施關(guān)閉這些設(shè)備，限制它們訪問公司容器，不允許它們訪問公司的系統(tǒng)。”

針對移動設(shè)備的威脅只是企業(yè)每天所面臨的大威脅環(huán)境中的一部分。將MDM/EMM與威脅情報整合在一起相當于為移動安全增加了一層網(wǎng)絡安全防護，從而確?？蓪θ找嬖黾拥囊苿泳W(wǎng)絡安全威脅采取快速響應。