行業(yè)動態(tài)
2020年應(yīng)該認(rèn)真對待的8種移動設(shè)備安全威脅 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2020-03-05 瀏覽次數(shù): |
信息來源:安全頻道
如今,移動設(shè)備安全已成為企業(yè)擔(dān)憂的頭等大事,這是有充分理由的:現(xiàn)在幾乎所有員工通過智能手機訪問企業(yè)的數(shù)據(jù),這意味著其敏感信息可能落入他人之手,使安全工作變得越來越復(fù)雜。因此,這一風(fēng)險比以往任何時候都要高:根據(jù)波洛蒙研究所在2018年發(fā)布的一份調(diào)查報告,每次數(shù)據(jù)泄露的平均損失高達386萬美元。這比一年前的估計損失高出6.4%。
雖然人們很容易將注意力集中在惡意軟件這一令人矚目的話題,但事實上,手機被惡意軟件感染在現(xiàn)實世界中是極其罕見的。根據(jù)一項調(diào)查,手機感染幾率遠(yuǎn)遠(yuǎn)低于被閃電擊中的幾率。實際上,惡意軟件目前被認(rèn)為是數(shù)據(jù)泄露事件中最不常見的攻擊事件,實際上其在Verizon公司發(fā)布的《2019年數(shù)據(jù)泄露調(diào)查報告》中的威脅排名甚至在物理攻擊之后。這要歸功于移動設(shè)備惡意軟件的性質(zhì)以及現(xiàn)代移動設(shè)備操作系統(tǒng)中內(nèi)置的固有保護。
更為現(xiàn)實的移動設(shè)備安全隱患存在于一些容易被忽視的領(lǐng)域,所有這些領(lǐng)域只會變得更加緊迫:
1.數(shù)據(jù)泄漏
數(shù)據(jù)泄漏被普遍認(rèn)為是2019年企業(yè)安全最令人擔(dān)憂的威脅之一。還記得手機幾乎沒有被惡意軟件感染的幾率嗎?根據(jù)波洛蒙研究所的最新研究,在涉及數(shù)據(jù)泄露時,企業(yè)在未來兩年內(nèi)至少發(fā)生一次事件的幾率為28%,換句話說,幾率是四分之一以上。
這個問題令人煩惱的方面在于,它也許只是用戶無意中對哪些應(yīng)用程序能夠查看和傳輸其信息做出的不明智決定。
調(diào)研機構(gòu)Gartner公司移動設(shè)備安全研究總監(jiān)Dionisio Zumerle說:“主要的挑戰(zhàn)是如何實施應(yīng)用程序?qū)徍?,而這一過程不會使管理員不知所措,也不會使用戶感到沮喪。”他建議使用移動設(shè)備威脅防御(MTD)解決方案,例如Symantec公司的Endpoint Protection Mobile,CheckPoint公司的SandBlast Mobile和Zimperium公司的zIPS Protection之類的產(chǎn)品。Zumerle說,這些實用程序會掃描應(yīng)用程序中的“泄漏行為”,并可以自動阻止有問題的進程。
當(dāng)然,即使這樣也不會總能覆蓋由于用戶錯誤而導(dǎo)致的泄漏,例如將企業(yè)文件傳輸?shù)焦苍拼鎯Ψ?wù),將機密信息發(fā)送到錯誤的位置或?qū)㈦娮余]件轉(zhuǎn)發(fā)給不當(dāng)?shù)氖占?。這是醫(yī)療保健行業(yè)目前正在努力克服的挑戰(zhàn):專業(yè)保險提供商Beazley公司聲稱,“意外泄露”是醫(yī)療保健組織在2018年第三季度調(diào)查報告中數(shù)據(jù)泄露的主要原因。意外泄露和內(nèi)部泄漏幾乎占在這個報告的所有數(shù)據(jù)泄露事件的一半。
對于這種類型的泄漏,數(shù)據(jù)丟失防護(DLP)工具可能是最有效的保護措施。此類軟件經(jīng)過專門設(shè)計,可防止在意外情況下泄露敏感信息。
2.社交工程
移動設(shè)備與臺式機一樣,遭遇的欺騙策略同樣令人困擾。盡管人們認(rèn)為可以輕松地避免社交工程弊端,但它們?nèi)匀痪哂畜@人的效果。
根據(jù)安全機構(gòu)FireEye公司的2018年報告,91%的網(wǎng)絡(luò)犯罪始于電子郵件。該公司將此類事件稱為“無惡意軟件攻擊”,因為它們依靠假冒等策略誘騙人們點擊危險鏈接或提供敏感信息。該公司表示,網(wǎng)絡(luò)釣魚在2017年增長了65%,并且移動設(shè)備用戶面臨更大風(fēng)險,因為許多移動設(shè)備電子郵件客戶端只顯示發(fā)件人的姓名,這使得欺騙郵件和誘騙人們認(rèn)為電子郵件來自他們認(rèn)識或信任的人從而容易點擊。
根據(jù)IBM公司的一項研究,實際上,用戶對移動設(shè)備上的網(wǎng)絡(luò)釣魚攻擊的可能性是臺式機的三倍,其部分原因是人們喜歡在手機上瀏覽消息。Verizon公司的最新研究支持這一結(jié)論,并指出,手機較小的屏幕尺寸以及智能手機上詳細(xì)信息的相應(yīng)顯示有限(特別是在通知中,現(xiàn)在經(jīng)常包含一鍵式選項以打開鏈接或響應(yīng)消息),也可能增加網(wǎng)絡(luò)釣魚成功的可能性。
除此之外,面向動作的按鈕在移動設(shè)備電子郵件客戶端中的顯著位置以及工作人員傾向于使用智能手機面向多任務(wù)的分散方式擴大了這種影響,而且大多數(shù)網(wǎng)絡(luò)流量現(xiàn)在通常發(fā)生在移動設(shè)備,這將進一步鼓勵網(wǎng)絡(luò)攻擊者針對這一領(lǐng)域。
這也不僅僅是電子郵件:正如企業(yè)安全機構(gòu)Wandera公司在其最新的移動設(shè)備威脅報告中所指出的那樣,過去一年中83%的網(wǎng)絡(luò)釣魚攻擊發(fā)生在電子郵件之外,例如短信、Facebook Messenger、WhatsApp等應(yīng)用程序以及各種游戲和社交媒體服務(wù)。
此外,根據(jù)Verizon公司的最新調(diào)查數(shù)據(jù),只有百分之幾的用戶真正點擊與網(wǎng)絡(luò)釣魚相關(guān)的鏈接(根據(jù)行業(yè)的不同,點擊率在1%到5%之間),但Verizon公司的早期研究表明,這些受騙的人們往往會再受欺騙。該公司指出,用戶點擊網(wǎng)絡(luò)釣魚活動鏈接的次數(shù)越多,將來再次點擊的可能性就越大。Verizon公司此前曾報道,被成功釣魚的用戶中有15%會在同一年至少再被欺騙一次。
PhishMe公司的信息安全和反網(wǎng)絡(luò)釣魚策略師John Robinson說,“我們確實看到移動設(shè)備敏感性總體上受到移動計算整體增長的推動,以及自攜設(shè)備(BYOD)工作環(huán)境的持續(xù)增長?!痹摴纠谜鎸嵤澜绲哪M訓(xùn)練員工識別和應(yīng)對釣魚企圖。
Robinson指出,工作和個人計算之間的界限也在繼續(xù)模糊。他指出,越來越多的員工在智能手機上查看多個收件箱(連接到工作和個人賬戶的組合),幾乎每個人在工作日都在網(wǎng)上實施某種個人業(yè)務(wù)。因此,在收到與工作相關(guān)的信息的同時,接收看似是個人郵件的想法似乎一點也不稀奇,即使這實際上可能是一種詭計。
如今的風(fēng)險將會不斷攀升。顯然,網(wǎng)絡(luò)欺詐者現(xiàn)在還在使用網(wǎng)絡(luò)釣魚來誘騙人們放棄旨在保護帳戶免遭未經(jīng)授權(quán)訪問的雙因素身份驗證代碼。轉(zhuǎn)向基于硬件的身份驗證,通過專用的物理安全密鑰(例如谷歌公司的Titan或Yubico公司的YubiKeys或通過谷歌公司的Android手機的設(shè)備上安全密鑰選項),被廣泛認(rèn)為是提高安全性并減少網(wǎng)絡(luò)釣魚可能性的最有效方法。
根據(jù)谷歌、紐約大學(xué)和加州大學(xué)圣地亞哥分校聯(lián)合進行的一項研究,即使只是在設(shè)備上進行身份驗證,也可以防止99%的批量網(wǎng)絡(luò)釣魚攻擊和90%的目標(biāo)攻擊,相比之下,對于那些更易受網(wǎng)絡(luò)釣魚影響的2FA碼的同類攻擊,有效率分別為96%和76%。
3. Wi-Fi干擾
移動設(shè)備僅與通過其傳輸數(shù)據(jù)的網(wǎng)絡(luò)一樣安全。在這個時代,人們都不斷地連接到公共Wi-Fi網(wǎng)絡(luò),這意味著人們的信息通常不像想象的那樣安全。
這到底有多重要?根據(jù)Wandera公司的研究,企業(yè)移動設(shè)備使用Wi-Fi幾乎是使用蜂窩通信設(shè)備數(shù)據(jù)的三倍。近四分之一的設(shè)備已連接到開放且可能不安全的Wi-Fi網(wǎng)絡(luò),并且有4%的設(shè)備在最近一個月內(nèi)遭受了中間人攻擊(即有人惡意攔截了兩方之間的通信)。安全廠商McAfee公司表示,最近,網(wǎng)絡(luò)欺騙量已經(jīng)急劇增加,但只有不到一半的人在旅行和依賴公共網(wǎng)絡(luò)時保護自己的連接。
美國錫拉丘茲大學(xué)計算機科學(xué)教授Kevin Du專門研究智能手機安全性,他說:“如今,對流量進行加密并不難。如果沒有VPN,那么就會敞開許多大門?!?
但是,選擇適合的企業(yè)級VPN并非易事。與大多數(shù)與安全性相關(guān)的考慮一樣,幾乎總是需要進行權(quán)衡。Gartner公司的Zumerle指出:“通過移動設(shè)備,VPN的交付需要更加智能,因為最大限度地減少資源(主要是電池)的消耗是至關(guān)重要的?!彼硎荆行У腣PN應(yīng)該知道僅在絕對必要時才激活,而不是在用戶訪問新聞?wù)军c之類的東西或在已知安全的應(yīng)用程序中工作時才激活。
4.過時的設(shè)備
智能手機、平板電腦和小型互聯(lián)設(shè)備(通常稱為物聯(lián)網(wǎng))給企業(yè)安全帶來了新的風(fēng)險,因為與傳統(tǒng)的工作設(shè)備不同,它們通常無法保證及時且持續(xù)的軟件更新。尤其是在Android平臺上,絕大多數(shù)制造商都無法通過操作系統(tǒng)(OS)更新以及它們之間安全補丁程序以及物聯(lián)網(wǎng)設(shè)備來保持其產(chǎn)品的最新狀態(tài)。
Kevin Du說:“其中許多甚至沒有內(nèi)置的修補程序機制,如今這些威脅正越來越多?!?
波洛蒙研究所表示,除了增加網(wǎng)絡(luò)攻擊的可能性之外,廣泛使用移動設(shè)備平臺會增加數(shù)據(jù)泄露的總體成本,而與工作相關(guān)的物聯(lián)網(wǎng)產(chǎn)品的豐富只會使這一數(shù)字進一步攀升。據(jù)網(wǎng)絡(luò)安全廠商Raytheon公司稱,物聯(lián)網(wǎng)是一扇敞開的門,該公司發(fā)布的研究報告表明,82%的IT專業(yè)人員預(yù)測,不安全的物聯(lián)網(wǎng)設(shè)備將在其組織內(nèi)造成數(shù)據(jù)泄露,可能會導(dǎo)致災(zāi)難性后果。
同樣,實施強有力的安全政策還有很長的路要走。有些Android設(shè)備確實會及時收到可靠的持續(xù)更新。直到物聯(lián)網(wǎng)領(lǐng)域更加成熟,這都取決于企業(yè)自己創(chuàng)建的安全網(wǎng)。
5.加密劫持攻擊
作為相關(guān)移動設(shè)備威脅列表中的一種相對較新的威脅,加密劫持是一種攻擊,其中有人在所有者不知情的情況下使用設(shè)備來挖掘加密貨幣。人們需要知道這一點:加密采礦過程使用企業(yè)的設(shè)備來獲取他人的利益。它在很大程度上依賴于移動技術(shù)來做到這一點,這意味著受到影響的手機電池壽命可能不足,甚至可能由于過熱而受損。
雖然加密劫持起源于臺式機,但從2017年末到2018年初,移動設(shè)備數(shù)量激增。根據(jù)Skybox Security公司的分析,不受歡迎的加密貨幣挖礦占2018年上半年所有網(wǎng)絡(luò)攻擊的三分之一。與上半年相比,這段時間增加了70%。根據(jù)Wandera公司的調(diào)查報告,在2017年10月至2017年11月之間,特定于移動設(shè)備的加密劫持攻擊爆炸式增長,當(dāng)時受到影響的移動設(shè)備數(shù)量激增了287%。
從那以后,這種情況有所緩和,特別是在移動設(shè)備領(lǐng)域,這一舉措主要得益于蘋果iOS應(yīng)用商店和Android相關(guān)的谷歌游戲商店分別在2018年6月和7月禁止使用加密貨幣挖掘應(yīng)用。不過,安全機構(gòu)注意到,通過移動設(shè)備網(wǎng)站(甚至只是移動設(shè)備網(wǎng)站上的流氓廣告)和從非官方第三方市場下載的應(yīng)用程序,網(wǎng)絡(luò)攻擊仍能在某種程度上取得成功。
分析師還注意到,通過互聯(lián)網(wǎng)連接的機頂盒進行加密劫持的可能性,一些企業(yè)可能會利用機頂盒進行流媒體和視頻播放。安全廠商Rapid7公司表示,黑客已經(jīng)找到了一種利用明顯漏洞的方法,該漏洞使Android Debug Bridge(僅用于開發(fā)人員使用的命令行工具)變得易于訪問,并且可以濫用此類產(chǎn)品。
目前,除了謹(jǐn)慎選擇移動設(shè)備和堅持要求用戶只能從平臺的官方網(wǎng)站下載應(yīng)用程序的政策(在那里,加密劫持代碼的可能性顯著降低)之外,沒有別的辦法,實際上,沒有跡象表明大多數(shù)公司正面臨任何重大或直接的威脅,特別是考慮到整個行業(yè)正在采取的預(yù)防措施。盡管如此,鑒于過去幾個月這一領(lǐng)域的活動波動和興趣上升,隨著2019年的進展,這一點令人關(guān)注。
6.密碼保護意識不強
人們可能會認(rèn)為現(xiàn)在已經(jīng)加強防范,但不知何故,很多用戶仍然沒有正確地保護他們的帳戶。當(dāng)他們攜帶的手機登錄公司帳戶和個人帳戶時,這可能面臨嚴(yán)重問題。
谷歌公司和哈里斯民意調(diào)查公司最近共同進行的一項調(diào)查發(fā)現(xiàn),根據(jù)調(diào)查樣本,超過一半的美國人在多個帳戶中重復(fù)使用了密碼。同樣令人擔(dān)憂的是,將近三分之一沒有使用2FA密碼(或者不知道他們是否在使用2F密碼,這種情況可能會更糟)。只有四分之一的人正在積極使用密碼管理器,這表明絕大多數(shù)人在大多數(shù)地方可能沒有使用特別強大的密碼,因為他們可能自己設(shè)置和記住密碼。
事情從此變得更糟:根據(jù)LastPass公司2018年的調(diào)查分析,一半的專業(yè)人士在工作和個人賬戶上使用相同的密碼。分析發(fā)現(xiàn),甚至一名員工在工作過程中與其同事分享了大約6個密碼。
Verizon公司在2017年的調(diào)查發(fā)現(xiàn),企業(yè)中80%以上的黑客相關(guān)違規(guī)行為都?xì)w咎于弱密碼或被盜密碼。尤其是在移動設(shè)備上,企業(yè)員工希望快速登錄各種應(yīng)用程序、網(wǎng)站和服務(wù),如果哪怕只有一個人在隨機零售網(wǎng)站、聊天應(yīng)用程序或消息論壇的提示中草率地輸入他們用于企業(yè)帳戶的相同密碼,也將面臨數(shù)據(jù)泄露的風(fēng)險。現(xiàn)在把這個風(fēng)險和前面提到的Wi-Fi干擾風(fēng)險結(jié)合起來,再乘以工作場所的員工總數(shù),然后再乘以可能暴露的點數(shù),風(fēng)險正在迅速增加。
也許最令人煩惱的是,大多數(shù)人似乎完全忽略了他們在這一領(lǐng)域的疏忽。在谷歌公司和哈里斯民意調(diào)查公司的調(diào)查中,69%的受訪者在有效保護自己的在線賬戶方面給自己打了“A”或“B”,顯然不能相信他們自己對安全方面的評價。
7.物理設(shè)備的數(shù)據(jù)泄露
最后但并非最不重要的是,這似乎特別愚蠢,但仍然是一個令人不安的現(xiàn)實威脅:丟失或無人看管的移動設(shè)備可能是一個重大的安全風(fēng)險,特別是如果它沒有強大的PIN或密碼和完整的數(shù)據(jù)加密的話。
在波洛蒙研究所在2016年進行的一項研究中,35%的專業(yè)人士表示,他們的工作設(shè)備沒有強制措施來保護可訪問的公司數(shù)據(jù)。更糟糕的是,近一半的受訪者表示,他們的設(shè)備沒有采用密碼、PIN或生物特征安全保護措施,約三分之二的受訪者表示,他們沒有使用加密技術(shù)。68%的受訪者表示,他們有時會在通過移動設(shè)備訪問的個人和工作帳戶中共享密碼。
這種情況似乎并沒有好轉(zhuǎn)。在其2019年移動設(shè)備威脅態(tài)勢分析中,43%的公司在其調(diào)查中表示至少有一款智能手機沒有任何鎖屏安全措施。調(diào)查報告指出,在那些在自己的設(shè)備上設(shè)置密碼的用戶中,很多人通常選擇使用最短4個字符的密碼。
讓用戶自己擔(dān)負(fù)安全責(zé)任是不夠的。企業(yè)和員工應(yīng)該采取嚴(yán)格的安全政策和措施,為此將會受益無窮。
8.移動設(shè)備廣告欺詐
根據(jù)美國互動廣告局(IAB)的調(diào)查,移動設(shè)備廣告創(chuàng)造了大量收入,僅在2019年上半年就達到了579億美元。網(wǎng)絡(luò)犯罪分子致力尋求從移動設(shè)備廣告收入流中獲利的方法也就不足為奇了。而對廣告欺詐損失的估計卻有所不同,根據(jù)Juniper Research公司的預(yù)計,到2023年,全球每年由于廣告欺詐將損失1000億美元。
廣告欺詐可以采取多種形式,但最常見的是使用惡意軟件對廣告進行點擊,這些廣告似乎來自使用合法應(yīng)用程序或網(wǎng)站的合法用戶。例如,用戶可以下載提供合法服務(wù)的應(yīng)用程序,如天氣預(yù)報或消息。不過,在后臺,應(yīng)用程序會對出現(xiàn)在這個應(yīng)用程序上的合法廣告產(chǎn)生欺詐性點擊。廣告發(fā)布商通常是按其產(chǎn)生的廣告點擊次數(shù)付費的,因此移動設(shè)備廣告欺詐行為從企業(yè)的廣告預(yù)算中竊取費用,將顯著減少廣告發(fā)布商的收入。
最大的受害者是移動設(shè)備廣告商和受廣告支持的發(fā)布商,但廣告欺詐行為也確實損害了移動用戶的利益。與欺詐劫持一樣,廣告欺詐惡意軟件會在后臺運行,并可能降低智能手機的性能,導(dǎo)致更高的數(shù)據(jù)費用或手機電池過熱。安全供應(yīng)商Upstream公司估計,由于移動廣告惡意軟件帶來的更高數(shù)據(jù)費用,智能手機用戶每人每年可能損失數(shù)百美元。
到目前為止,Android是最流行的移動設(shè)備廣告欺詐平臺,人們要避免這些最流行的Android惡意應(yīng)用程序:
?Snaptube
?GPS速度表
?簡易掃描儀
?天氣預(yù)報
?超級計算器
?攝像頭
?快速觸控
Upstream公司的調(diào)查報告建議用戶:
?定期檢查他們的應(yīng)用程序,并刪除任何看起來可疑的應(yīng)用程序。
?監(jiān)控異常峰值的數(shù)據(jù)使用情況。
?僅從Google Play安裝應(yīng)用程序。
?安裝之前,請檢查應(yīng)用程序的評論,開發(fā)人員詳細(xì)信息以及請求的權(quán)限列表,以確保它們均適用于應(yīng)用程序的既定用途。
|