在移動浪潮的早期階段,如今被認(rèn)為迫在眉睫的威脅(惡意軟件、網(wǎng)絡(luò)釣魚和不法分子濫用設(shè)備)當(dāng)時(shí)常常僅限于理論上,果真影響企業(yè)的可能性很小。盡管這些威脅變得更加“切實(shí)”,但量化風(fēng)險(xiǎn)、證明有必要投入開支以防范這些風(fēng)險(xiǎn)還是一大挑戰(zhàn)。
因而,市面上銷售的大多數(shù)移動安全軟件仍然是為了防范可能會給企業(yè)帶來災(zāi)難性影響的單次事件,被認(rèn)為是企業(yè)經(jīng)營成本的一部分。
與這種想法相反的是,移動欺詐不是一次“重大的壞事件”,而是一連串比較小的日常破壞活動,它們常常難以察覺。要是不加以解決,這些多重攻擊就會給企業(yè)帶來嚴(yán)重的累積影響。
如果企業(yè)奉行重大的壞事件理念,使用傳統(tǒng)的移動企業(yè)安全解決方案,結(jié)果會忽視哪些方面?我認(rèn)為這三大方面令人擔(dān)憂:
首先,欺詐最先出現(xiàn)在你無法控制的系統(tǒng)上。
企業(yè)安全對允許訪問公司系統(tǒng)的設(shè)備擁有一定程度的控制。BYOD計(jì)劃利用移動設(shè)備管理(MDM)解決方案等工具,控制設(shè)備的安全狀況。如果在B2C環(huán)境下處理客戶那些“未加管理的設(shè)備”,獲得這種程度的控制就要難得多,有時(shí)不可能實(shí)現(xiàn)。
雖然IT安全部門擅長保護(hù)端點(diǎn)設(shè)備、服務(wù)器和數(shù)據(jù)庫之類的企業(yè)資產(chǎn),但面臨這一難題:保護(hù)并不由企業(yè)控制的資產(chǎn),具體來說是客戶的設(shè)備。從某種意義上來說,這正是最初的“BYOD”問題――保護(hù)用戶的訪問和交易/事務(wù),而不控制底層設(shè)備。
教育用戶懂得保護(hù)自己的工作成效不大:人性敵不過社會工程學(xué)伎倆和暫時(shí)的判斷失誤。用戶有時(shí)候破解移動設(shè)備或獲得root權(quán)限,以安裝未授權(quán)應(yīng)用程序。被破解或獲得root權(quán)限的設(shè)備很容易中惡意軟件的招,惡意軟件會接管重要的設(shè)備功能,比如短信(SMS);可能被用于強(qiáng)驗(yàn)證;可能導(dǎo)致登錄信息失竊和經(jīng)濟(jì)損失。又由于移動設(shè)備的屏幕尺寸有限,用戶常常很難識別嵌入在電子郵件中虛假的網(wǎng)絡(luò)釣魚URL。
其次,欺詐管理是一種高頻率/高摩擦活動。
美國商家每年因信用卡欺詐蒙受的損失高達(dá)約1900億美元。如果欺詐性交易進(jìn)入企業(yè)系統(tǒng),會觸發(fā)商家采取一系列行動,面對受影響的有關(guān)方(客戶、合作伙伴或供應(yīng)商),商家需要采取這些行動。支持團(tuán)隊(duì)參與進(jìn)來,負(fù)責(zé)處理與欺詐受害者之間的互動。分析和調(diào)查人員需要審查取證數(shù)據(jù),查明發(fā)生的情況、資金流向,力圖及早挽回?fù)p失。恢復(fù)“照常營業(yè)”常常需要受害者投入時(shí)間和精力,證明自己的系統(tǒng)很安全。如果你考慮到這些欺詐案的發(fā)生非常頻繁,這會導(dǎo)致與有關(guān)方進(jìn)行極其重復(fù)、強(qiáng)度極大的互動。
相比之下,如果我們談?wù)撈髽I(yè)自有系統(tǒng)里面的安全,只有導(dǎo)致數(shù)據(jù)丟失的實(shí)際泄密事件(相對很少發(fā)生)才需要投入大量精力。比如說,據(jù)美國波耐蒙研究所(Ponemon Institute)聲稱,只有20%的數(shù)據(jù)泄密事件牽涉至少10000條記錄。
第三,欺詐暴露在世人面前。
遇到欺詐的客戶會對移動渠道乃至整個(gè)企業(yè)失去信任。要是損失沒有由企業(yè)自動填補(bǔ)(如果企業(yè)銀行帳戶泄密,就是這種情況),訴訟就會接踵而來,從而給品牌造成負(fù)面影響。即便事件范圍比較小,那些不開心的客戶也會在社交網(wǎng)絡(luò)上吐槽欺詐事件,這最終會導(dǎo)致客戶流失。另外,欺詐性活動會引來監(jiān)管部門對程序和過程進(jìn)行更嚴(yán)格的審查,這進(jìn)一步分走了業(yè)務(wù)部門和IT部門的資源。除非作為一項(xiàng)監(jiān)管或合規(guī)要求,丟失的數(shù)據(jù)需要披露,否則一些企業(yè)安全泄密事件可能不會公之于眾。因而,許多泄密事件并沒有披露出來。
移動企業(yè)安全和移動欺詐防范有著同樣的目標(biāo):保護(hù)敏感的企業(yè)資產(chǎn)和機(jī)密的客戶信息。遺憾的是,許多安全團(tuán)隊(duì)和企業(yè)組織仍把移動安全和移動欺詐防范視作是一個(gè)整體,卻沒有認(rèn)識到它們目前的戰(zhàn)略并沒有起到應(yīng)有的保護(hù)效果。確切地說,除了保護(hù)公司設(shè)備網(wǎng)絡(luò)里面的數(shù)據(jù)外,公司還有必要實(shí)施一項(xiàng)戰(zhàn)略,保護(hù)客戶遠(yuǎn)離惡意活動。
英文:Deconstructing Mobile Fraud Risk
京公網(wǎng)安備 11010502049343號