一直以來，企業(yè)的安全管理主要集中于對其網(wǎng)絡(luò)邊界的保護，直到世界上第一臺智能手機的面市，業(yè)務(wù)流程和數(shù)據(jù)的重心便轉(zhuǎn)向了企業(yè)網(wǎng)絡(luò)的內(nèi)部。然而，移動革命的浪潮徹底改變了員工互動、互訪和信息共享的方式。雖然一些組織升級了內(nèi)部網(wǎng)絡(luò)的防御系統(tǒng)，但是黑客也在尋找其他進入企業(yè)網(wǎng)絡(luò)內(nèi)部的方式，他們試圖把焦點轉(zhuǎn)移到網(wǎng)絡(luò)邊緣，利用移動設(shè)備來獲得進入的權(quán)限。

而安全專家也認為，下一波企業(yè)黑客將通過移動設(shè)備這條渠道進行網(wǎng)絡(luò)攻擊。據(jù)反釣魚工作組(APWG)的調(diào)查結(jié)果顯示，移動設(shè)備已經(jīng)成為吸引世界各地的犯 罪分子的目標，移動詐騙的增長速度近乎電腦詐騙的五倍。因此，對于組織而言，管理移動應(yīng)用程序和設(shè)備風險、控制網(wǎng)絡(luò)訪問權(quán)限是必不可少的防線。那么，組織 面臨的移動/BYOD設(shè)備威脅都有哪些呢？

據(jù)國際信息系統(tǒng)審計協(xié)會(ISACA)《2012信息科技風險與回報測量研究》 (ISACA2012ITRisk/RewardBarometer)調(diào)查，在美國，近乎72%的組織允許自己的員工在工作時使用 BYOD。這種新的實踐途經(jīng)把企業(yè)面臨的風險暴露無遺，這將威脅到整個企業(yè)的安全、降低企業(yè)的生產(chǎn)率。由于移動設(shè)備和BYOD的便攜性，以及與公共云應(yīng)用 一體化的性質(zhì)，數(shù)據(jù)盜竊或泄露的風險也將大大增加。事實上，DecisiveAnalytics的一項研究顯示，在允許BYOD連接到自己內(nèi)網(wǎng)的企業(yè) 中，有近半的企業(yè)已經(jīng)遭受到了數(shù)據(jù)泄露的慘痛教訓(xùn)。

的確，移動/BYOD設(shè)備打開了一個全新的攻擊層面，黑客能夠利用這些可尋漏洞進入到企業(yè)網(wǎng)絡(luò)中，從而獲取到所需的數(shù)據(jù)。這些漏洞可以被攻擊者用以下幾種方法所利用：

黑客使用不同的技術(shù)對移動/BYOD設(shè)備發(fā)動惡意攻擊，通過種種感染方式(例如MMS、SMS、email、藍牙、WiFi、用戶安裝、自安裝、內(nèi)存卡 分配和USB)和拒絕服務(wù)的攻擊方式(例如藍牙劫持、SMS拒絕、不完整的OEBX信息、不完整的格式字符串和SMS信息)來部署惡意軟件(例如病毒、蠕蟲、特諾伊木馬和間諜程序)，還有發(fā)動移動消息攻擊(例如短信詐騙、短信垃圾、惡意短信內(nèi)容、SMS/MMS漏洞利用)。

所有的這些技 術(shù)都可以用來進行活動監(jiān)控和數(shù)據(jù)檢索，不合法的撥號、短信和網(wǎng)上支付，不合法的網(wǎng)絡(luò)連接、數(shù)據(jù)檢索、系統(tǒng)修改以及利用泄露出的數(shù)據(jù)模擬用戶界面。這些攻擊 活動對任何一個組織而言都構(gòu)成了巨大的威脅，特別是當終端用戶在移動設(shè)備上保存了密碼，這構(gòu)成的威脅將不可估量。

因此，移動設(shè)備制造商應(yīng)該針對這些威脅安裝殺毒軟件。例如，三星就在幾天前宣布，他們在android智能手機上增加了一個企業(yè)安全包。

雖然如此，移動操作系統(tǒng)和移動應(yīng)用程序在設(shè)計或?qū)嵤┥洗嬖诘穆┒矗廊粫┞兑苿?BYOD設(shè)備的敏感數(shù)據(jù)，從而被黑客所攻擊。隨著數(shù)以百萬計的移動應(yīng)用程序的上市，應(yīng)用程序存在的漏洞風險指數(shù)明顯要高于其他的威脅。雖然商業(yè)應(yīng)用程序提供商的數(shù)量是可審查的、移動應(yīng)用程序開發(fā)商和來源的數(shù)量也是巨大的， 但卻是時刻在發(fā)生著改變，很難對其信任和聲譽進行一個準確的評估。

這些漏洞能夠?qū)е碌⒉痪窒抻谝韵峦{：數(shù)據(jù)泄露(偶然或故意的)、不安全的數(shù)據(jù)存儲(例如銀行和支付系統(tǒng)的PIN號碼、信用卡號、在線服務(wù)密碼)、不安全的數(shù)據(jù)傳輸(例如自動連接到公共WiFi)，還有不合法的連接許可請求。

除了漏洞，大量的應(yīng)用程序也展現(xiàn)出了它們的一些隱私慣例，像以何種方式收集電話或地理位置的數(shù)據(jù)，以及如何請求應(yīng)用程序沙箱以外的數(shù)據(jù)。

事實上，終端用戶的行為往往是不可預(yù)測的，應(yīng)用程序不能訪問一些敏感數(shù)據(jù)，也不會被黑客攻擊，只會增加移動風險。但最終會由于缺少殺毒軟件對移動設(shè)備的 保護，藍牙和WiFi也不斷地被使用，敏感信息和文件都存儲在移動設(shè)備內(nèi)存中，清除這種移動安全威脅的工作將會變得愈加困難。

考慮到這些挑戰(zhàn)，在主動管理和消除安全風險的時候，我們可以采取哪些措施來維持企業(yè)生產(chǎn)率、節(jié)約成本呢？

首先最簡單的實踐方法就是實施宣傳方案，向移動/BYOD終端用戶進行關(guān)于安全威脅和其避免方法的教育。比如，移動設(shè)備包含了大量的數(shù)據(jù)，但不是所有的 都是敏感數(shù)據(jù)，而攻擊者需要滲透到一個安全的網(wǎng)絡(luò)來獲取到準確的數(shù)據(jù)，如電子郵件賬戶憑證、用戶密碼和企業(yè)VPN的登錄數(shù)據(jù)。此外，設(shè)備本身也可以作為一 個可以直接連入企業(yè)網(wǎng)絡(luò)的通道，例如，如果一個黑客用惡意軟件讓一個移動設(shè)備中了病毒，那么他們將可以用該軟件通過VPN而連接到內(nèi)部網(wǎng)絡(luò)。因為許多終端 用戶是通過USB接口讓自己的移動設(shè)備連接到工作站，所以這也是一種能夠讓網(wǎng)絡(luò)受到感染的一種途徑。

接下來就是圍繞移動設(shè)備的使用來建 立嚴格的策略，一個好的參考框架就是“企業(yè)移動設(shè)備安全管理的指導(dǎo)方針”，它是由美國國家標準與技術(shù)研究所(NIST)在其特別出版物 (SP)800-124修訂版1中提出的。建立移動設(shè)備的使用策略是相對容易的，困難的是收集風險預(yù)測信息，這些信息要用來確定移動設(shè)備是否、何時以及怎 樣連接到一個可信的組織網(wǎng)絡(luò)。在這方面，很多組織要依賴于像移動設(shè)備管理或移動應(yīng)用管理這些工具。

雖然這些工具具備基本的風險評估和策 略實施能力，但是它們在企業(yè)移動和BYOD的風險狀況方面，缺乏全面的、實時的考察。值得高興的是，新型移動信托服務(wù)正脫穎而出，這種服務(wù)能夠識別每一層 移動堆棧上(基礎(chǔ)設(shè)施、硬件、操作系統(tǒng)和應(yīng)用程序)的漏洞，使這些數(shù)據(jù)在安全生態(tài)系統(tǒng)范圍內(nèi)(例如安全控制的使用，像加密、基于角色的訪問控制等技術(shù))與 現(xiàn)存的威脅和風險系數(shù)有一定的聯(lián)系。反過來，這些風險系數(shù)也可以用來確定是否授予一個網(wǎng)絡(luò)的訪問權(quán)限，如果有的話，那么又有哪些權(quán)限是應(yīng)當受到限制的。一 旦允許訪問，連續(xù)監(jiān)測就應(yīng)該用來更新風險評估系數(shù)。