黑客或攻擊者總能找到一些可以利用的媒介或要素。例如，員工越來越多地在工作場合使用移動(dòng)設(shè)備，各種應(yīng)用商店提供了五花八門的移動(dòng)應(yīng)用。由于這些應(yīng)用的源頭不一，質(zhì)量參差不齊，所以普通用戶很難判斷哪些是最新的，更難以判斷其是否有惡意目的。黑客深諳此道，因而可以設(shè)計(jì)一些看似善意的功能強(qiáng)大的應(yīng)用，其中卻可能包含病毒、木馬或損害設(shè)備和公司網(wǎng)絡(luò)的其它惡意軟件，員工不知不覺成為“引狼入室”的罪魁禍?zhǔn)住?/p>

但這些專門設(shè)計(jì)的應(yīng)用程序并非是將企業(yè)置于風(fēng)險(xiǎn)中的唯一罪犯。還有許多可能泄密的應(yīng)用程序，在用戶自認(rèn)為安全地輸入個(gè)人信息后，殊不知還有“他人”可以訪問此信息。通常一些移動(dòng)版的游戲都與廣告商共享信息，但最近的一些報(bào)告卻表明，事情遠(yuǎn)沒有如此簡單。為避免這些有可能泄露機(jī)密的應(yīng)用程序和以應(yīng)用程序?yàn)橹行牡钠渌{，公司應(yīng)當(dāng)依靠策略、技術(shù)、教育等綜合手段，不但保護(hù)雇員，更要從整體上保護(hù)企業(yè)。

泄密的應(yīng)用程序及其危險(xiǎn)性

總體上說，有兩類典型的可能泄密的應(yīng)用程序。第一類應(yīng)用程序是真正泄露信息，即將信息傳送到環(huán)境之外。而在另一類程序中，第三方實(shí)體會(huì)竊取用戶的登錄憑據(jù)(無論這些信息是否存在于設(shè)備自身)。這灰應(yīng)用程序往往來自一些不可信的源，而非官方的應(yīng)用商店(如Google Play)。

如果用戶禁不住誘惑從一個(gè)不可信的第三方下載了可能看似或冒充合法的應(yīng)用，如一個(gè)墻紙應(yīng)用。所有這些移動(dòng)應(yīng)用都有與之相關(guān)的訪問權(quán)限清單。如果用戶認(rèn)真思考一下，就能得到一個(gè)理智的答案：墻紙應(yīng)用不應(yīng)當(dāng)訪問用戶的登錄憑據(jù)、電子郵件信息或聯(lián)系人信息。

如今，最常見的安全方法是雙重認(rèn)證，其中有用戶名和口令，還有另一種形式的驗(yàn)證，如發(fā)送到手機(jī)的一個(gè)數(shù)字。最近出現(xiàn)了一種趨勢，黑客在用戶的智能手機(jī)或桌面上安裝一個(gè)特洛伊木馬，從而可以輕松獲取用戶的賬戶和資產(chǎn)信息。

如何避免問題和減輕風(fēng)險(xiǎn)?

不管是應(yīng)對直接泄露信息的應(yīng)用還是將用戶的登錄憑據(jù)置于風(fēng)險(xiǎn)中的應(yīng)用，避免這種風(fēng)險(xiǎn)的首要一步就是僅從可信的官方應(yīng)用商店下載和安裝應(yīng)用，或者是公司允許的應(yīng)用商店。對于那些將設(shè)備派發(fā)給雇員的企業(yè)來說，這還是較容易做到的，因?yàn)槠髽I(yè)對于維持這些設(shè)備的標(biāo)準(zhǔn)配置本身擁有更多控制。但是如果員工使用的設(shè)備是自帶設(shè)備(BYOD)，問題就麻煩一些。但首要的一步仍是向終端用戶清楚地闡明允許在這些設(shè)備上運(yùn)行哪些應(yīng)用，對于可能違反策略的情況還要制定相應(yīng)的懲治措施。

下一步就是要為移動(dòng)設(shè)備實(shí)施某種軟件信譽(yù)服務(wù)，如Appthority。這類服務(wù)與移動(dòng)設(shè)備管理(MDM)和移動(dòng)應(yīng)用管理(MAM)平臺(tái)集成在一起，所以管理員可以獲得運(yùn)行在終端用戶移動(dòng)設(shè)備上的全部應(yīng)用的清單，然后據(jù)此審查移動(dòng)設(shè)備上的軟件信譽(yù)。管理員實(shí)際上就是根據(jù)可信的經(jīng)許可的基于云的應(yīng)用清單，決定在雇員的移動(dòng)設(shè)備上運(yùn)行哪些應(yīng)用，以此確保任何應(yīng)用都不是未經(jīng)授權(quán)的或可能惡意的軟件。

移動(dòng)設(shè)備是一個(gè)問題，但如果雇員不謹(jǐn)慎，也很容易將惡意軟件下載到桌面上。對于這種情況，安全專家往往建議企業(yè)采用白名單的方法。提供白名單工具的安全套件和方案實(shí)際上可以使管理員僅允許下載和安裝此清單上的應(yīng)用。由此，管理員不再是允許下載任何軟件后再運(yùn)行掃描工具，以檢查其是否惡意，而是僅允許安裝和執(zhí)行可信的善意應(yīng)用。這是一種有效的方法。

除了使用白名單方案，還有一些產(chǎn)品或公司可以為桌面或其它平臺(tái)的軟件提供安全檢查。有些公司或產(chǎn)品可以驗(yàn)證一款軟件是否用良好的安全方法進(jìn)行編寫，是否將健全的安全方法融合到軟件的開發(fā)過程中。從開發(fā)過程的初始就確保軟件注重安全為軟件提供了另外一層保護(hù)。

改進(jìn)內(nèi)部開發(fā)過程

審查軟件的觀念和重視安全的開發(fā)方法也可以擴(kuò)展到公司內(nèi)部的應(yīng)用和軟件開發(fā)過程中。多數(shù)公司都處于經(jīng)?；虿粩嗟赝瞥鲂聭?yīng)用，不斷地以很快的速度開發(fā)、整合、交付軟件。如今，云交付模式越來越普遍，企業(yè)很容易不進(jìn)行正確檢查就發(fā)布軟件。在這種匆忙的軟件開發(fā)過程中，極有可能現(xiàn)出人為錯(cuò)誤，并且極有可能在代碼中出現(xiàn)安全漏洞。

關(guān)鍵是在交付軟件之前發(fā)現(xiàn)這些漏洞，并且防止不必要的風(fēng)險(xiǎn)，而這些正是軟件審查公司的職責(zé)所在。公司們需要做的就是將其軟件提交給一個(gè)基于云的應(yīng)用安全測試平臺(tái)，并且在將軟件交付生產(chǎn)之前獲知軟件的安全性，以確保軟件不會(huì)包含可能被利用的任何漏洞。但是，除了在整個(gè)開發(fā)過程中確保使安全性享有高級優(yōu)先權(quán)，企業(yè)還要重視良好的策略、過程和方法。