一直以來,企業(yè)的安全管理主要集中于對(duì)其網(wǎng)絡(luò)邊界的保護(hù),直到世界上第一臺(tái)智能手機(jī)的面市,業(yè)務(wù)流程和數(shù)據(jù)的重心便轉(zhuǎn)向了企業(yè)網(wǎng)絡(luò)的內(nèi)部。然而,移動(dòng)革命的浪潮徹底改變了員工互動(dòng)、互訪和信息共享的方式。雖然一些組織升級(jí)了內(nèi)部網(wǎng)絡(luò)的防御系統(tǒng),但是黑客也在尋找其他進(jìn)入企業(yè)網(wǎng)絡(luò)內(nèi)部的方式,他們?cè)噲D把焦點(diǎn)轉(zhuǎn)移到網(wǎng)絡(luò)邊緣,利用移動(dòng)設(shè)備來獲得進(jìn)入的權(quán)限。
移動(dòng)安全:企業(yè)網(wǎng)絡(luò)安全的又一次大革命
而安全專家也認(rèn)為,下一波企業(yè)黑客將通過移動(dòng)設(shè)備這條渠道進(jìn)行網(wǎng)絡(luò)攻擊。據(jù)反釣魚工作組(APWG)的調(diào)查結(jié)果顯示,移動(dòng)設(shè)備已經(jīng)成為吸引世界各地的犯罪分子的目標(biāo),移動(dòng)詐騙的增長速度近乎電腦詐騙的五倍。因此,對(duì)于組織而言,管理移動(dòng)應(yīng)用程序和設(shè)備風(fēng)險(xiǎn)、控制網(wǎng)絡(luò)訪問權(quán)限是必不可少的防線。那么,組織面臨的移動(dòng)/BYOD設(shè)備威脅都有哪些呢?
據(jù)國際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)《2012信息科技風(fēng)險(xiǎn)與回報(bào)測量研究》( ISACA 2012 IT Risk / Reward Barometer)調(diào)查,在美國,近乎72%的組織允許自己的員工在工作時(shí)使用BYOD。這種新的實(shí)踐途經(jīng)把企業(yè)面臨的風(fēng)險(xiǎn)暴露無遺,這將威脅到整個(gè)企業(yè)的安全、降低企業(yè)的生產(chǎn)率。由于移動(dòng)設(shè)備和BYOD的便攜性,以及與公共云應(yīng)用一體化的性質(zhì),數(shù)據(jù)盜竊或泄露的風(fēng)險(xiǎn)也將大大增加。事實(shí)上,Decisive Analytics的一項(xiàng)研究顯示,在允許BYOD連接到自己內(nèi)網(wǎng)的企業(yè)中,有近半的企業(yè)已經(jīng)遭受到了數(shù)據(jù)泄露的慘痛教訓(xùn)。
的確,移動(dòng)/BYOD設(shè)備打開了一個(gè)全新的攻擊層面,黑客能夠利用這些可尋漏洞進(jìn)入到企業(yè)網(wǎng)絡(luò)中,從而獲取到所需的數(shù)據(jù)。這些漏洞可以被攻擊者用以下幾種方法所利用:
黑客使用不同的技術(shù)對(duì)移動(dòng)/BYOD設(shè)備發(fā)動(dòng)惡意攻擊,通過種種感染方式(例如MMS、SMS、email、藍(lán)牙、WiFi、用戶安裝、自安裝、內(nèi)存卡分配和USB)和拒絕服務(wù)的攻擊方式(例如藍(lán)牙劫持、SMS拒絕、不完整的OEBX信息、不完整的格式字符串和SMS信息)來部署惡意軟件(例如病毒、蠕蟲、特諾伊木馬和間諜程序),還有發(fā)動(dòng)移動(dòng)消息攻擊(例如短信詐騙、短信垃圾、惡意短信內(nèi)容、SMS/MMS漏洞利用)。
所有的這些技術(shù)都可以用來進(jìn)行活動(dòng)監(jiān)控和數(shù)據(jù)檢索,不合法的撥號(hào)、短信和網(wǎng)上支付,不合法的網(wǎng)絡(luò)連接、數(shù)據(jù)檢索、系統(tǒng)修改以及利用泄露出的數(shù)據(jù)模擬用戶界面。這些攻擊活動(dòng)對(duì)任何一個(gè)組織而言都構(gòu)成了巨大的威脅,特別是當(dāng)終端用戶在移動(dòng)設(shè)備上保存了密碼,這構(gòu)成的威脅將不可估量。
因此,移動(dòng)設(shè)備制造商應(yīng)該針對(duì)這些威脅安裝殺毒軟件。例如,三星就在幾天前宣布,他們?cè)?a class="hui14_line" style="color: rgb(0, 0, 0); text-decoration: none; border-bottom-width: 1px; border-bottom-style: dashed; border-bottom-color: rgb(255, 79, 79); ">android智能手機(jī)上增加了一個(gè)企業(yè)安全包。
雖然如此,移動(dòng)操作系統(tǒng)和移動(dòng)應(yīng)用程序在設(shè)計(jì)或?qū)嵤┥洗嬖诘穆┒矗廊粫?huì)暴露移動(dòng)/BYOD設(shè)備的敏感數(shù)據(jù),從而被黑客所攻擊。隨著數(shù)以百萬計(jì)的移動(dòng)應(yīng)用程序的上市,應(yīng)用程序存在的漏洞風(fēng)險(xiǎn)指數(shù)明顯要高于其他的威脅。雖然商業(yè)應(yīng)用程序提供商的數(shù)量是可審查的、移動(dòng)應(yīng)用程序開發(fā)商和來源的數(shù)量也是巨大的,但卻是時(shí)刻在發(fā)生著改變,很難對(duì)其信任和聲譽(yù)進(jìn)行一個(gè)準(zhǔn)確的評(píng)估。
這些漏洞能夠?qū)е碌⒉痪窒抻谝韵峦{:數(shù)據(jù)泄露(偶然或故意的)、不安全的數(shù)據(jù)存儲(chǔ)(例如銀行和支付系統(tǒng)的PIN號(hào)碼、信用卡號(hào)、在線服務(wù)密碼)、不安全的數(shù)據(jù)傳輸(例如自動(dòng)連接到公共WiFi),還有不合法的連接許可請(qǐng)求。
除了漏洞,大量的應(yīng)用程序也展現(xiàn)出了它們的一些隱私慣例,像以何種方式收集電話或地理位置的數(shù)據(jù),以及如何請(qǐng)求應(yīng)用程序沙箱以外的數(shù)據(jù)。
事實(shí)上,終端用戶的行為往往是不可預(yù)測的,應(yīng)用程序不能訪問一些敏感數(shù)據(jù),也不會(huì)被黑客攻擊,只會(huì)增加移動(dòng)風(fēng)險(xiǎn)。但最終會(huì)由于缺少殺毒軟件對(duì)移動(dòng)設(shè)備的保護(hù),藍(lán)牙和WiFi也不斷地被使用,敏感信息和文件都存儲(chǔ)在移動(dòng)設(shè)備內(nèi)存中,清除這種移動(dòng)安全威脅的工作將會(huì)變得愈加困難。
考慮到這些挑戰(zhàn),在主動(dòng)管理和消除安全風(fēng)險(xiǎn)的時(shí)候,我們可以采取哪些措施來維持企業(yè)生產(chǎn)率、節(jié)約成本呢?
首先最簡單的實(shí)踐方法就是實(shí)施宣傳方案,向移動(dòng)/BYOD終端用戶進(jìn)行關(guān)于安全威脅和其避免方法的教育。比如,移動(dòng)設(shè)備包含了大量的數(shù)據(jù),但不是所有的都是敏感數(shù)據(jù),而攻擊者需要滲透到一個(gè)安全的網(wǎng)絡(luò)來獲取到準(zhǔn)確的數(shù)據(jù),如電子郵件賬戶憑證、用戶密碼和企業(yè)VPN的登錄數(shù)據(jù)。此外,設(shè)備本身也可以作為一個(gè)可以直接連入企業(yè)網(wǎng)絡(luò)的通道,例如,如果一個(gè)黑客用惡意軟件讓一個(gè)移動(dòng)設(shè)備中了病毒,那么他們將可以用該軟件通過VPN而連接到內(nèi)部網(wǎng)絡(luò)。因?yàn)樵S多終端用戶是通過USB接口讓自己的移動(dòng)設(shè)備連接到工作站,所以這也是一種能夠讓網(wǎng)絡(luò)受到感染的一種途徑。
接下來就是圍繞移動(dòng)設(shè)備的使用來建立嚴(yán)格的策略,一個(gè)好的參考框架就是 “企業(yè)移動(dòng)設(shè)備安全管理的指導(dǎo)方針”,它是由美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)在其特別出版物(SP)800-124修訂版1中提出的。建立移動(dòng)設(shè)備的使用策略是相對(duì)容易的,困難的是收集風(fēng)險(xiǎn)預(yù)測信息,這些信息要用來確定移動(dòng)設(shè)備是否、何時(shí)以及怎樣連接到一個(gè)可信的組織網(wǎng)絡(luò)。在這方面,很多組織要依賴于像移動(dòng)設(shè)備管理或移動(dòng)應(yīng)用管理這些工具。
雖然這些工具具備基本的風(fēng)險(xiǎn)評(píng)估和策略實(shí)施能力,但是它們?cè)谄髽I(yè)移動(dòng)和BYOD的風(fēng)險(xiǎn)狀況方面,缺乏全面的、實(shí)時(shí)的考察。值得高興的是,新型移動(dòng)信托服務(wù)正脫穎而出,這種服務(wù)能夠識(shí)別每一層移動(dòng)堆棧上(基礎(chǔ)設(shè)施、硬件、操作系統(tǒng)和應(yīng)用程序)的漏洞,使這些數(shù)據(jù)在安全生態(tài)系統(tǒng)范圍內(nèi)(例如安全控制的使用,像加密、基于角色的訪問控制等技術(shù))與現(xiàn)存的威脅和風(fēng)險(xiǎn)系數(shù)有一定的聯(lián)系。反過來,這些風(fēng)險(xiǎn)系數(shù)也可以用來確定是否授予一個(gè)網(wǎng)絡(luò)的訪問權(quán)限,如果有的話,那么又有哪些權(quán)限是應(yīng)當(dāng)受到限制的。一旦允許訪問,連續(xù)監(jiān)測就應(yīng)該用來更新風(fēng)險(xiǎn)評(píng)估系數(shù)。
京公網(wǎng)安備 11010502049343號(hào)