移動惡意軟件一直增長并威脅著企業(yè)。根據(jù)谷歌Android安全情態(tài)聯(lián)盟的說法，約1%的Android設(shè)備有可能在2014年安裝了受感染的應(yīng)用。而且，又出現(xiàn)了新的、不斷增長的Android惡意軟件類別：商業(yè)間諜軟件。

[[155151]]

通常，蘋果iOS還是很少遭惡意軟件感染的。不過在九月和十月，兩個明顯的惡意軟件突然爆發(fā)——XcodeGhost和YiSpecter，存在于iTunes應(yīng)用商店的應(yīng)用中。企業(yè)如何與這些移動惡意軟件隔絕開來呢?

為電腦安裝反惡意軟件應(yīng)用被認(rèn)為是保護PC安全的有效措施，不過對于移動設(shè)備來說這可行不通。反惡意軟件應(yīng)用受移動操作系統(tǒng)應(yīng)用沙箱的排斥，使應(yīng)用相互孤立，在蘋果iOS設(shè)備上尤為如此。盡管Android已經(jīng)開始支持起反惡意軟件應(yīng)用，它們大多建立在以特征為基礎(chǔ)上的檢測，在零日漏洞攻擊應(yīng)對方面并不是那么有效。企業(yè)安全團隊需要尋找新的方法來阻截移動惡意軟件。

止損措施：黑名單策略

采用黑名單是阻截惡意軟件的一個方法，這依賴IT管理策略來防止設(shè)備上安裝不必要的應(yīng)用。黑名單通常都可以用在移動設(shè)備上，進行企業(yè)移動管理。

然而，黑名單的障礙是維護和個人隱私。解決前者，企業(yè)可以將黑名單作為止損措施，有選擇地創(chuàng)建來識別、隔離以及糾正特定的惡意軟件。這種方法可通過移動應(yīng)用信譽分析來進行強化。不過這并不適用于BYOD環(huán)境，因為企業(yè)雇主不愿意對用戶自行安裝的應(yīng)用也做盤查。

對于帶有EMM的移動設(shè)備來說，強制執(zhí)行的基礎(chǔ)策略能夠明顯減少移動惡意軟件帶來的風(fēng)險。在Android上，可以避免其他裝載，即安裝非谷歌或公司本身的應(yīng)用。對于iOS和Android用戶設(shè)備，可以安裝EMM代理對越獄和刷機進行檢測并響應(yīng)。雖然不是所有的惡意軟件都包括越獄、刷機或其他裝載，不過絕大多數(shù)移動惡意軟件都是通過這些途徑進行潛伏的。一些企業(yè)可能需要越獄，刷機或裝載其他應(yīng)用，不過這也只是小眾需求。

per-app VPN可減少惡意軟件出場機會

最近出現(xiàn)了一種新的阻截移動惡意軟件的方法：per-app VPN，iOS 9和Android 5移動設(shè)備上都可實現(xiàn)。

Per-app VPN在iOS 7中首次亮相，不過彼時只限于應(yīng)用層的VPN客戶端支持這一功能。在iOS 9中，它集成至本地iOS VPN客戶端并應(yīng)用至IPsec VPN通道中。此外，可以配置應(yīng)用通過Kerberos進行身份驗證，并且可以自動啟動本機VPN客戶端驗證。這使得per-app VPN能夠更多地用于企業(yè)，是從網(wǎng)絡(luò)層通道到企業(yè)網(wǎng)絡(luò)阻截惡意軟件的有效方式。

傳統(tǒng)VPN下，移動設(shè)備上的所有流量會流至企業(yè)網(wǎng)絡(luò)，這為企業(yè)網(wǎng)防護帶來隱患，通過移動網(wǎng)絡(luò)防御進入的木馬很可能獲得訪問權(quán)限。而IP/端口層面的策略能夠應(yīng)用到傳統(tǒng)通道中去，對于減少風(fēng)險來說這些方法還是比較粗糙的，特別是越來越多低效的應(yīng)用流量穿越SSL/TLS而來。

per-app VPN可以穿件一個范式，僅有企業(yè)安裝的應(yīng)用能夠自動應(yīng)用。采用這種方法，受信任的企業(yè)應(yīng)用進入白名單，可安全地訪問企業(yè)網(wǎng)絡(luò)，而其他安裝在移動設(shè)備上的應(yīng)用(包括惡意軟件)沒有訪問VPN的權(quán)限。

最后，企業(yè)應(yīng)該綜合上訴策略來管理手機惡意軟件的風(fēng)險問題。畢竟，在越獄設(shè)備上黑名單或是per-app VPN無法被信任。然而，可以組合使用措施來為每個移動設(shè)備創(chuàng)建一個更強健的安全狀況，有效地檢測并阻截移動惡意軟件。