移動安全如今已經(jīng)成為了所有企業(yè)最擔(dān)心的問題之一。這是有充分理由的:幾乎所有員工都會定期從智能手機(jī)上獲取公司數(shù)據(jù)。由于疫情在全球范圍內(nèi)的持續(xù)流行,這種情況變得更加突出。與公司數(shù)據(jù)交互的絕大多數(shù)設(shè)備現(xiàn)在都是移動設(shè)備。事實上,據(jù)市場調(diào)查機(jī)構(gòu)Zimperium調(diào)查,目前這一比例約為60%。隨著遠(yuǎn)程辦公逐漸普及,這個數(shù)字必然還會不斷增長。
所有這一切都意味著防范敏感信息被不法分子掌握的難題正變得越來越復(fù)雜。可以說,目前的風(fēng)險比以往任何時候都高。Ponemon研究所在2020年的一份報告中評估認(rèn)為,企業(yè)數(shù)據(jù)泄露的平均成本高達(dá)386萬美元。這比三年前的評估結(jié)果高出了6.4%。考慮到在家遠(yuǎn)程辦公帶來的額外挑戰(zhàn),新冠肺炎疫情將會使得這一費(fèi)用進(jìn)一步上升。
雖然人們很容易聯(lián)想到惡意軟件,但事實是,手機(jī)惡意軟件感染在現(xiàn)實世界中并不常見,被感染的幾率大大低于被閃電擊中的幾率。Verizon在《2020年數(shù)據(jù)泄露調(diào)查報告》中指出,惡意軟件是數(shù)據(jù)泄露事件中最不常見的初始行為之一。這主要得益于移動惡意軟件的本質(zhì)和內(nèi)置于現(xiàn)代移動操作系統(tǒng)中的固有保護(hù)。
更為現(xiàn)實的是移動安全隱患存在于一些經(jīng)常被忽視的領(lǐng)域,在未來幾個月中這些領(lǐng)域中的問題將會變得更加緊迫:
社交工程
在新冠肺炎疫情期間,這種古老的詭計比以往任何時候都更加令人不安,移動領(lǐng)域尤其如此。Zimperium稱,自疫情暴發(fā)后,網(wǎng)絡(luò)釣魚攻擊已經(jīng)增加了6倍,移動設(shè)備已經(jīng)成為了主要目標(biāo),尤其是打著疫情幌子的攻擊正在增長。
Zimperium負(fù)責(zé)安全研究的副總裁Nico Chiaraviglio說:“攻擊者知道人們在家工作,并且花在移動設(shè)備上的時間越來越多。同時他們還知道,這些移動設(shè)備并不像傳統(tǒng)電腦那樣采取了嚴(yán)格的防范措施。在攻擊者眼里,這無疑是一塊肥肉。”
在這種大環(huán)境中,沒有企業(yè)可以獨(dú)善其身。安全公司FireEye在一份報告中指出,91%的網(wǎng)絡(luò)犯罪始于電子郵件。他們將此類事件稱為“無惡意軟件攻擊”,因為它們只依靠模仿等手段誘使人們點(diǎn)擊危險鏈接或提供敏感信息。FireEye表示,網(wǎng)絡(luò)釣魚在過去幾年里發(fā)展迅速,移動用戶上當(dāng)?shù)娘L(fēng)險最大,因為許多移動電子郵件客戶端只顯示發(fā)件人的姓名,這使得偽造郵件和讓受害者特別容易誤以為郵件來自他們認(rèn)識或信任的人。
更重要的是,盡管人們認(rèn)為社交工程可以很容易被識破,但是這種攻擊方式在移動領(lǐng)域仍然非常有效。IBM的一項研究表明,用戶對移動設(shè)備上的網(wǎng)絡(luò)釣魚攻擊的響應(yīng)率是臺式機(jī)的3倍,部分原因在于手機(jī)是人們最有可能首先看到信息的地方。Verizon的研究也支持這一結(jié)論,同時Verizon還補(bǔ)充指出,智能手機(jī)較小的屏幕尺寸造成詳細(xì)信息顯示有限(特別是在通知中,而通知中通常又含有打開鏈接或回復(fù)消息的點(diǎn)擊選項),這也增加了釣魚成功的可能性。
除此之外,移動電子郵件客戶端中的操作按鈕設(shè)計的過于醒目,工作人員傾向于使用智能手機(jī)以及使用時并不專注都放大了這種效果。大多數(shù)網(wǎng)絡(luò)流量現(xiàn)在都發(fā)生在移動設(shè)備上,這一事實只會進(jìn)一步吸引攻擊者瞄準(zhǔn)這一前沿。
雖然Verizon的最新數(shù)據(jù)顯示,只有約3.4%的用戶實際點(diǎn)擊了與網(wǎng)絡(luò)釣魚相關(guān)的鏈接,但是他們的早期研究表明,那些容易上當(dāng)受騙的員工往往并不是第一次受到攻擊。人們點(diǎn)擊網(wǎng)絡(luò)釣魚活動鏈接的次數(shù)越多,將來再次點(diǎn)擊的可能性就越大。Verizon曾經(jīng)指出,15%被成功釣魚的受害者在同一年內(nèi)至少會再上當(dāng)一次。
PhishMe為一家利用模擬真實環(huán)境來訓(xùn)練員工識別和應(yīng)對網(wǎng)絡(luò)釣魚攻擊的公司,其信息安全和反釣魚策略師John“Lex”Robinson說:“移動計算總體增長和BYOD工作環(huán)境的持續(xù)增長也推動了這種攻擊的增長。”
Robinson指出,如今工作設(shè)備和個人設(shè)備之間的界限也在不斷模糊。越來越多的員工會在智能手機(jī)上同時查看多個收件箱。這些收件箱連接著工作賬戶和個人賬戶,并且?guī)缀跛腥嗽诠ぷ魅斩紩诰W(wǎng)上處理某種形式的個人業(yè)務(wù)(即使沒有疫情和在家遠(yuǎn)程辦公,情況依然如此)。因此,除了與工作相關(guān)的郵件外,員工同時接收私人郵件的情況從表面上看并不奇怪,但實際上這可能是攻擊者的一個詭計。
攻擊者的手法也在不斷翻新。這些網(wǎng)絡(luò)騙子現(xiàn)在甚至?xí)镁W(wǎng)絡(luò)釣魚來欺騙人們放棄使用雙因素身份驗證碼,而雙因素身份驗證正是為了保護(hù)賬戶不受未經(jīng)授權(quán)的訪問。基于硬件的身份驗證目前被公認(rèn)為是提高安全性和降低網(wǎng)絡(luò)釣魚成功機(jī)率的最有效方法,如通過專用物理安全密鑰(谷歌的Titan或Yubico的YubiKeys)或通過谷歌的設(shè)備安全密鑰選項。
據(jù)谷歌、紐約大學(xué)和加州大學(xué)圣地亞哥分校進(jìn)行的一項研究顯示,設(shè)備上的身份驗證可以阻止99%的批量釣魚攻擊和90%的目標(biāo)攻擊。相比之下,使用更易受釣魚攻擊影響的傳統(tǒng)2FA代碼阻止同類攻擊的有效率分別為96%和76%。
除此之外,防止企業(yè)員工成為下一個網(wǎng)絡(luò)釣魚受害者的最明智的方法是針對手機(jī)使用的培訓(xùn)和精心挑選的網(wǎng)絡(luò)釣魚檢測軟件。Zimperium的Chiaraviglio說:“員工是攻擊鏈條上最薄弱的一環(huán)。”
數(shù)據(jù)泄漏
數(shù)據(jù)泄漏被廣泛地認(rèn)為是2021年企業(yè)安全面臨的最令人擔(dān)憂的威脅之一,也是最昂貴的威脅之一。IBM和Ponemon Institute的最新研究成果顯示,一個遠(yuǎn)程團(tuán)隊可以使數(shù)據(jù)泄露防護(hù)的平均成本增加13.7萬美元。
這個問題的棘手之處在于,其本身并不是罪惡的。相反,這是一個用戶不經(jīng)意間就哪些應(yīng)用程序能夠查看和傳輸他們的信息做出了不明智的決定。
市場研究機(jī)構(gòu)Gartner的移動安全研究總監(jiān)Dionisio Zumerle說:“主要的挑戰(zhàn)是如何實施一個既不會讓管理員不知所措,又不會讓用戶失望的應(yīng)用程序?qū)彶榱鞒獭!彼ㄗh使用移動威脅防御(MTD)解決方案,例如Symantec的Endpoint Protection Mobile、CheckPoint的SandBlast Mobile和Zimperium的zIPS Protection。Zumerle認(rèn)為,這些程序可以掃描應(yīng)用程序的“泄漏行為”,并可以自動阻止有問題的進(jìn)程。
即使這樣,也不一定能夠覆蓋明顯的用戶錯誤導(dǎo)致的泄露,比如將公司文件傳輸?shù)焦性拼鎯Ψ?wù)、將機(jī)密信息粘貼到錯誤的位置,或者將電子郵件轉(zhuǎn)發(fā)給錯誤的收件人。對于這種類型的泄漏,數(shù)據(jù)丟失防護(hù)(DLP)工具可能是最有效的保護(hù)措施。此類軟件的設(shè)計明確旨在防止敏感信息的暴露,包括意外情況。
Wi-Fi干擾攻擊
移動設(shè)備和傳輸數(shù)據(jù)的網(wǎng)絡(luò)的安全性同樣重要。如今,我們都在不斷地連接到可能沒有最佳安全保護(hù)的網(wǎng)絡(luò)。無論是配置不當(dāng)?shù)募彝ゾW(wǎng)絡(luò),還是公共Wi-Fi網(wǎng)絡(luò),信息往往沒有像我們想象的那樣受到保護(hù)。
根據(jù)Wandera的研究顯示,在一年當(dāng)中,企業(yè)移動設(shè)備使用Wi-Fi的數(shù)量幾乎是使用蜂窩數(shù)據(jù)的3倍。近1/4的設(shè)備連接到開放且可能不安全的Wi-Fi網(wǎng)絡(luò)上,4%的設(shè)備在平均一個月就會遭遇中間人攻擊(即有人惡意攔截雙方的通信)。在過去的一年里,這些數(shù)字有所下降,原因是旅游減少,在疫情期間開設(shè)的實體企業(yè)減少,但是這并不意味著這種威脅已經(jīng)消失,也不意味著沒有必要保持領(lǐng)先地位,即使員工大多在家工作。
Wandera的產(chǎn)品副總裁Michael Covington說:“我們建議企業(yè)采取更積極主動的方法來保護(hù)遠(yuǎn)程連接,而不是在發(fā)現(xiàn)了中間人攻擊后再做出反應(yīng)。為了提高Wi-Fi安全性,企業(yè)能做的最簡單的事情就是為遠(yuǎn)程辦公采用零信任網(wǎng)絡(luò)接入模式。”
過時的設(shè)備
智能手機(jī)、平板電腦和小型互聯(lián)設(shè)備(物聯(lián)網(wǎng))給企業(yè)安全帶來了風(fēng)險,因為與傳統(tǒng)的工作設(shè)備不同,它們通常不能保證及時和持續(xù)的軟件更新。這一點(diǎn)在安卓平臺尤為明顯,在安卓平臺,絕大多數(shù)制造商在保持產(chǎn)品最新(無論是操作系統(tǒng)更新還是每月安全補(bǔ)丁)方面效率低下。物聯(lián)網(wǎng)設(shè)備情況也是如此,許多設(shè)備甚至都沒有設(shè)計獲取更新的功能。
專門研究智能手機(jī)安全問題的錫拉丘茲大學(xué)的計算機(jī)科學(xué)教授Kevin Du說:“許多手機(jī)甚至沒有內(nèi)置補(bǔ)丁機(jī)制,而這正成為當(dāng)今越來越大的威脅。”
Wandera的研究顯示,2020年約28%的企業(yè)設(shè)備不僅使用過時的操作系統(tǒng)軟件,而且還在使用存在已知安全漏洞的軟件。Covington說:“盡管允許遠(yuǎn)程工作者使用更多非托管設(shè)備是一個大趨勢,但是目前的情況讓人們已經(jīng)注意到,當(dāng)安全態(tài)勢變得過于寬松,這將成為真正風(fēng)險。”
更讓人擔(dān)心的是,Wandera的數(shù)據(jù)顯示,自疫情以來,人們在工作時間內(nèi)瀏覽“不適當(dāng)內(nèi)容”的情況增長了一倍。這類網(wǎng)站因試圖誘使訪問者下載可疑內(nèi)容而臭名昭著。因為沒有適當(dāng)?shù)谋Wo(hù)措施,過時的操作系統(tǒng)只會讓情況變得更加危險。
Ponemon在研究報告中指出,除了攻擊可能性增加之外,移動平臺的廣泛使用提高了數(shù)據(jù)泄露的總體成本,大量與工作相關(guān)的物聯(lián)網(wǎng)產(chǎn)品只會導(dǎo)致這一數(shù)字持續(xù)飆升。正如網(wǎng)絡(luò)安全公司Raytheon指出的那樣,物聯(lián)網(wǎng)是一扇“敞開的門”。Raytheon贊助的一項研究顯示,82%的IT專業(yè)人士預(yù)測,不安全的物聯(lián)網(wǎng)設(shè)備會在他們的組織機(jī)構(gòu)出現(xiàn)數(shù)據(jù)泄露,并且后果很可能是“災(zāi)難性的”。
一個強(qiáng)有力的政策出臺可能需要很長時間。一些安卓設(shè)備已經(jīng)能收到了及時可靠的持續(xù)更新,這些措施可以提升幾乎所有手機(jī)的安全性。當(dāng)物聯(lián)網(wǎng)領(lǐng)域不再是一片荒蕪沙漠之前,企業(yè)必須在自己周圍建立起自己的安全網(wǎng)。
糟糕的密碼設(shè)置
我們可能認(rèn)為自己現(xiàn)在已經(jīng)不存在這種問題了,但是現(xiàn)實情況是許多用戶仍然沒有妥善保護(hù)好自己的賬戶。當(dāng)用戶使用同時包含有公司賬戶和個人賬戶的手機(jī)時,這就會成問題。
谷歌和Harris Poll開展的一項調(diào)查顯示,超過一半的美國人會在多個賬戶上使用相同的密碼。近1/3的人沒有使用2FA(雙因素認(rèn)證)。只有1/4的人員在使用密碼管理器,這表明絕大多數(shù)人在大多數(shù)地方可能沒有設(shè)置高強(qiáng)度密碼,因為他們主要是憑借自己的想像和記憶力設(shè)置和記憶密碼。
據(jù)LastPass的分析顯示,半數(shù)的專業(yè)人士承認(rèn)自己在工作賬戶和個人賬戶上使用的密碼是相同的。分析還發(fā)現(xiàn),一名普通員工在受雇期間會與同事共享大約6個密碼。
Verizon在2017年發(fā)現(xiàn),企業(yè)中80%以上因黑客攻擊造成的數(shù)據(jù)泄露都要?dú)w咎于密碼強(qiáng)度脆弱或是密碼被盜。在移動設(shè)備上這種情況尤為嚴(yán)重,因為員工希望快速登錄應(yīng)用程序、網(wǎng)站和服務(wù)。我們可以想像一下,如果員工在零售網(wǎng)站、聊天應(yīng)用程序或消息論壇中輸入的密碼與他們在公司賬戶中的密碼相同,會給公司數(shù)據(jù)帶來什么樣的風(fēng)險。現(xiàn)在若是把這個風(fēng)險和前面提到的Wi-Fi干擾攻擊風(fēng)險結(jié)合起來,再乘以工作場所中的員工總數(shù),那些暴露風(fēng)險無疑將迅速成倍地增加。
大多數(shù)人似乎完全忘記了他們在這方面的疏忽。在谷歌和Harris Poll的調(diào)查中,69%的受訪者在有效保護(hù)自己的在線賬戶方面給自己的評價是“A”或“B”。顯然,我們不能相信用戶自己的風(fēng)險評估。
移動廣告欺詐
eMarketer最近的預(yù)測顯示,移動廣告已經(jīng)讓廣告商們賺得盆滿缽滿。2021年,即便疫情導(dǎo)致開支放緩,這一總額仍可能會超過1170億美元。網(wǎng)絡(luò)犯罪分子也盯上了這些錢,為此他們想法設(shè)法地從中牟利也就不足為奇了。雖然各個研究機(jī)構(gòu)對廣告欺詐成本的估計各不相同,但是Juniper Research預(yù)測,到2023年,每年損失的金額為1000億美元。
廣告欺詐可以采取多種形式,最常見的是使用惡意軟件在廣告上生成點(diǎn)擊,這些點(diǎn)擊看起來都是來自使用合法應(yīng)用程序或網(wǎng)站的真實用戶。例如,用戶可能會下載一個應(yīng)用程序,該應(yīng)用程序提供了一個看似有效的服務(wù),如天氣預(yù)報或消息。不過,在后臺,該應(yīng)用程序會在出現(xiàn)的常規(guī)廣告上產(chǎn)生欺詐性點(diǎn)擊。廣告商通常是根據(jù)所產(chǎn)生的廣告點(diǎn)擊量來付費(fèi)的,因此移動廣告欺詐不僅騙取了公司的廣告預(yù)算,同時也騙取了廣告商的收入。
雖然廣告商和廣告投放公司可能是最明顯的受害者,但是廣告欺詐也會傷害移動用戶。廣告欺詐惡意軟件會在后臺運(yùn)行,從而導(dǎo)致智能手機(jī)過熱、性能下降、耗電量增加,以及高額的數(shù)據(jù)費(fèi)用。通過跟蹤數(shù)據(jù),安全服務(wù)商Upstream估計,智能手機(jī)用戶(或是為設(shè)備支付賬單的公司)每年損失數(shù)百萬美元,移動廣告惡意軟件導(dǎo)致的直接結(jié)果是高額的數(shù)據(jù)費(fèi)用。
Wandera的數(shù)據(jù)顯示,出現(xiàn)這類問題的主要平臺是安卓平臺。雖然安裝在安卓設(shè)備上的應(yīng)用程序受到這類攻擊的可能性是蘋果iOS手機(jī)的5.3倍,但是這并不意味著這些影響是不可避免的。
正如移動安全領(lǐng)域的許多事情一樣,常識能起到很大的作用。除了制訂僅允許用戶從官方應(yīng)用商店下載應(yīng)用程序的政策外,企業(yè)在員工教育方面可以強(qiáng)調(diào)一些基礎(chǔ)知識,比如查看應(yīng)用程序的評論、請求的權(quán)限和開發(fā)人員歷史記錄,以確保在安裝應(yīng)用程序之前,有關(guān)應(yīng)用程序的所有內(nèi)容看起來都是合規(guī)的。從IT的角度來看,監(jiān)控數(shù)據(jù)使用情況發(fā)現(xiàn)異常峰值也有助于及早發(fā)現(xiàn)潛在的問題。
挖礦劫持攻擊
挖礦劫持是一種攻擊類型。在這種攻擊當(dāng)中,攻擊者在受害者不知情的情況下使用受害者的設(shè)備挖掘加密貨幣。和移動廣告欺詐一樣,挖礦劫持攻擊是利用受害者的設(shè)備為攻擊者牟利。這意味著受影響的手機(jī)可能會出現(xiàn)電池壽命差,甚至?xí)霈F(xiàn)手機(jī)因組件過熱而損壞的情況。
雖然挖礦劫持起源于臺式機(jī),但是移動設(shè)備上的挖礦劫持攻擊從2017年底到2018年初出現(xiàn)了激增的情況。Skybox Security的分析報告顯示,在2018年上半年的所有攻擊中,加密貨幣挖掘攻擊占了1/3,與上半年相比增加了70%。Wandera的報告顯示,2017年秋季,針對移動設(shè)備的挖礦劫持攻擊出現(xiàn)了爆發(fā),受影響的移動設(shè)備數(shù)量激增287%。
此后情況有所減少,尤其是在移動領(lǐng)域。這主要得益于幾年前蘋果iOS應(yīng)用商店和谷歌Play商店都禁止了加密貨幣挖掘應(yīng)用。不過,一些安全公司指出,這類攻擊通過移動網(wǎng)站和非官方的第三方市場下載的應(yīng)用程序仍然取得了一定程度的成功。
Verizon的數(shù)據(jù)顯示,與加密貨幣相關(guān)的攻擊目前約占企業(yè)惡意軟件問題的2.5%。約10%的公司報告了相關(guān)的安全問題。Verizon推測實際發(fā)生率可能更高,因為許多此類攻擊沒有被報告。
目前,對于此類攻擊,除了謹(jǐn)慎選擇設(shè)備和嚴(yán)格要求用戶只能從平臺官方店面下載應(yīng)用程序的政策外,還沒有什么好的解決辦法。
物理設(shè)備的管理漏洞
這個問題雖然列在最后,但是并不意味著這個問題不重要。丟失或無人看管的設(shè)備可能是一個重大的安全風(fēng)險,特別是在它們沒有一個強(qiáng)大的密碼和完整的數(shù)據(jù)加密的情況下。盡管這個問題看起來特別愚蠢,但是仍然是令人不安的現(xiàn)實威脅。
Ponemon在2016年的研究中就已經(jīng)指出,35%的專業(yè)人士表示他們的工作設(shè)備沒有強(qiáng)制措施來保護(hù)可訪問的企業(yè)數(shù)據(jù)。更糟糕的是,近一半的受訪者表示,他們的設(shè)備沒有設(shè)置密碼或生物特征安全保護(hù),約2/3的人表示他們沒有使用加密措施。68%的受訪者表示,他們有時會在通過移動設(shè)備訪問的個人賬戶和工作賬戶,并且兩個賬戶使用的是相同的密碼。
雖然自報告公布之后情況有所改善,但是Wandera在其2020年移動威脅形勢分析中指出,3%的工作設(shè)備仍然沒有使用鎖屏功能。更令人不安的是,在此問題上沒有得到適當(dāng)保護(hù)的設(shè)備上發(fā)現(xiàn)其他威脅的機(jī)率非常高。少量的個人用戶漏洞就可以造成公司的巨大麻煩,這一點(diǎn)已經(jīng)得到了驗證。教訓(xùn)非常簡單,把責(zé)任交給用戶是不夠的。不要假設(shè),要制定相應(yīng)的政策。事后,你會慶幸自己當(dāng)初的明智決定。
