移動(dòng)惡意軟件一直增長(zhǎng)并威脅著企業(yè)。根據(jù)谷歌Android安全情態(tài)聯(lián)盟的說(shuō)法，約1%的Android設(shè)備有可能在2014年安裝了受感染的應(yīng)用。而且，又出現(xiàn)了新的、不斷增長(zhǎng)的Android惡意軟件類別：商業(yè)間諜軟件。

[[155151]]

通常，蘋果iOS還是很少遭惡意軟件感染的。不過(guò)在九月和十月，兩個(gè)明顯的惡意軟件突然爆發(fā)——XcodeGhost和YiSpecter，存在于iTunes應(yīng)用商店的應(yīng)用中。企業(yè)如何與這些移動(dòng)惡意軟件隔絕開(kāi)來(lái)呢?

為電腦安裝反惡意軟件應(yīng)用被認(rèn)為是保護(hù)PC安全的有效措施，不過(guò)對(duì)于移動(dòng)設(shè)備來(lái)說(shuō)這可行不通。反惡意軟件應(yīng)用受移動(dòng)操作系統(tǒng)應(yīng)用沙箱的排斥，使應(yīng)用相互孤立，在蘋果iOS設(shè)備上尤為如此。盡管Android已經(jīng)開(kāi)始支持起反惡意軟件應(yīng)用，它們大多建立在以特征為基礎(chǔ)上的檢測(cè)，在零日漏洞攻擊應(yīng)對(duì)方面并不是那么有效。企業(yè)安全團(tuán)隊(duì)需要尋找新的方法來(lái)阻截移動(dòng)惡意軟件。

止損措施：黑名單策略

采用黑名單是阻截惡意軟件的一個(gè)方法，這依賴IT管理策略來(lái)防止設(shè)備上安裝不必要的應(yīng)用。黑名單通常都可以用在移動(dòng)設(shè)備上，進(jìn)行企業(yè)移動(dòng)管理。

然而，黑名單的障礙是維護(hù)和個(gè)人隱私。解決前者，企業(yè)可以將黑名單作為止損措施，有選擇地創(chuàng)建來(lái)識(shí)別、隔離以及糾正特定的惡意軟件。這種方法可通過(guò)移動(dòng)應(yīng)用信譽(yù)分析來(lái)進(jìn)行強(qiáng)化。不過(guò)這并不適用于BYOD環(huán)境，因?yàn)槠髽I(yè)雇主不愿意對(duì)用戶自行安裝的應(yīng)用也做盤查。

對(duì)于帶有EMM的移動(dòng)設(shè)備來(lái)說(shuō)，強(qiáng)制執(zhí)行的基礎(chǔ)策略能夠明顯減少移動(dòng)惡意軟件帶來(lái)的風(fēng)險(xiǎn)。在Android上，可以避免其他裝載，即安裝非谷歌或公司本身的應(yīng)用。對(duì)于iOS和Android用戶設(shè)備，可以安裝EMM代理對(duì)越獄和刷機(jī)進(jìn)行檢測(cè)并響應(yīng)。雖然不是所有的惡意軟件都包括越獄、刷機(jī)或其他裝載，不過(guò)絕大多數(shù)移動(dòng)惡意軟件都是通過(guò)這些途徑進(jìn)行潛伏的。一些企業(yè)可能需要越獄，刷機(jī)或裝載其他應(yīng)用，不過(guò)這也只是小眾需求。

per-app VPN可減少惡意軟件出場(chǎng)機(jī)會(huì)

最近出現(xiàn)了一種新的阻截移動(dòng)惡意軟件的方法：per-app VPN，iOS 9和Android 5移動(dòng)設(shè)備上都可實(shí)現(xiàn)。

Per-app VPN在iOS 7中首次亮相，不過(guò)彼時(shí)只限于應(yīng)用層的VPN客戶端支持這一功能。在iOS 9中，它集成至本地iOS VPN客戶端并應(yīng)用至IPsec VPN通道中。此外，可以配置應(yīng)用通過(guò)Kerberos進(jìn)行身份驗(yàn)證，并且可以自動(dòng)啟動(dòng)本機(jī)VPN客戶端驗(yàn)證。這使得per-app VPN能夠更多地用于企業(yè)，是從網(wǎng)絡(luò)層通道到企業(yè)網(wǎng)絡(luò)阻截惡意軟件的有效方式。

傳統(tǒng)VPN下，移動(dòng)設(shè)備上的所有流量會(huì)流至企業(yè)網(wǎng)絡(luò)，這為企業(yè)網(wǎng)防護(hù)帶來(lái)隱患，通過(guò)移動(dòng)網(wǎng)絡(luò)防御進(jìn)入的木馬很可能獲得訪問(wèn)權(quán)限。而IP/端口層面的策略能夠應(yīng)用到傳統(tǒng)通道中去，對(duì)于減少風(fēng)險(xiǎn)來(lái)說(shuō)這些方法還是比較粗糙的，特別是越來(lái)越多低效的應(yīng)用流量穿越SSL/TLS而來(lái)。

per-app VPN可以穿件一個(gè)范式，僅有企業(yè)安裝的應(yīng)用能夠自動(dòng)應(yīng)用。采用這種方法，受信任的企業(yè)應(yīng)用進(jìn)入白名單，可安全地訪問(wèn)企業(yè)網(wǎng)絡(luò)，而其他安裝在移動(dòng)設(shè)備上的應(yīng)用(包括惡意軟件)沒(méi)有訪問(wèn)VPN的權(quán)限。

最后，企業(yè)應(yīng)該綜合上訴策略來(lái)管理手機(jī)惡意軟件的風(fēng)險(xiǎn)問(wèn)題。畢竟，在越獄設(shè)備上黑名單或是per-app VPN無(wú)法被信任。然而，可以組合使用措施來(lái)為每個(gè)移動(dòng)設(shè)備創(chuàng)建一個(gè)更強(qiáng)健的安全狀況，有效地檢測(cè)并阻截移動(dòng)惡意軟件。