所有這一切都意味著組織需要更加關注保護敏感信息,這是一個日益復雜的難題。可以說,在這方面面臨的風險比以往任何時候都要高。根據波洛蒙研究所在2020年發布的一份調查報告,組織的每次數據泄露的平均成本高達386萬美元。這比三年前估計的平均成本高出6.4%,由于員工在家遠程工作帶來了額外的挑戰,預計將使這種損失進一步上升。
雖然人們很容易將注意力集中在引起轟動的惡意軟件攻擊事件上,但事實上,在現實世界中,移動設備惡意軟件的攻擊事件并不常見,其被攻擊的幾率遠遠低于被閃電擊中的幾率。Verizon公司發布的一份2020年數據泄露調查報告指出,惡意軟件是移動設備數據泄露事件中最不常見的原因之一,這是由于移動操作系統中內置有效的保護措施。
更加現實的移動安全隱患在于一些經常被忽視的領域,這些領域面臨的威脅將在未來變得更加緊迫:
1.社交工程
在冠狀病毒疫情的影響下,社交軟件的釣魚攻擊比以往任何時候都更令人不安,在移動設備方面尤其如此。據Zimperium公司的調查,自從冠狀病毒疫情發生以來,釣魚攻擊增加了6倍,移動設備現在成為主要目標,特別是與疫情相關的網絡攻擊呈上升趨勢。
Zimperium公司安全研究副總裁Nico Chiaraviglio表示:“欺詐者知道人們在家遠程工作,并且在移動設備上花費更多的時間,通常并沒有采取與計算機相同的預防措施。從網絡攻擊者的角度來看,這是一種很好的機會。”
這種行為將影響組織的運營。安全服務商FireEye公司的一份調查報告表明,91%的網絡犯罪始于電子郵件。該公司將此類事件稱為“無惡意軟件攻擊”,因為它們依賴于模仿等措施,誘使人們在設備上點擊危險鏈接或提供敏感信息。該公司表示,過去幾年,網絡釣魚的發展迅速,移動用戶更多有可能因此而受騙,因為許多移動電子郵件客戶端只顯示發件人的名字,這讓人們容易認為電子郵件來自他們認識或信任的人。
而且,盡管人們認為可以輕松避免社交工程弊端,但在移動領域仍然具有驚人的效果。根據IBM公司的一項研究,用戶在移動設備上遭遇網絡釣魚的可能性是電腦的三倍,其中的一個原因是手機是人們最有可能首先看到消息的地方。Verizon公司的調查支持這一結論,并補充說,智能手機上的屏幕尺寸較小,顯示的信息也比較有限(特別是在消息通知中,通常包括打開鏈接或響應消息的一個點擊選項)也會增加釣魚成功的可能性。
除此之外,點擊按鈕在移動電子郵件客戶端中的顯著位置以及工作人員傾向于使用智能手機完成多任務的方式,將會加大欺騙效果。大多數網絡流量都在移動設備上發生,這一事實將進一步鼓勵網絡攻擊者針對這一領域進行攻擊。
根據Verizon公司的最新調查,雖然只有大約3.4%的用戶點擊了與網絡釣魚相關的鏈接,但這些人往往是重復犯錯者。該公司指出,點擊網絡釣魚活動鏈接的次數越多,將來再次點擊的可能性就越大。Verizon公司之前發布的一份調查報告表明,在被成功釣魚的用戶中,15%的用戶將會在一年內至少再遭受一次網絡釣魚攻擊。
PhishMe公司信息安全和反網絡釣魚策略師John Robinson說:“我們確實看到移動計算的整體增長和BYOD工作環境的持續增長,推動了移動設備欺詐事件的普遍提高。”
Robinson指出,工作與個人計算之間的界線也在繼續模糊。他指出,越來越多的員工正在智能手機上查看多個收件箱,這些收件箱通常連接了工作帳戶和個人帳戶,并且幾乎每個人都在工作日在線進行某種形式的個人業務。因此,除了接收工作相關的消息以外,還接收個人電子郵件的做法并不罕見。
因此這種風險只會不斷增加。如今,網絡欺詐者甚至還在利用網絡釣魚來誘騙人們放棄旨在保護帳戶免遭未經授權訪問的雙因素身份驗證代碼。采用基于硬件的身份驗證(通過專用的物理安全密鑰,例如谷歌公司的Titan或Yubico公司的YubiKeys或通過Google的設備上的安全密鑰選項),被廣泛認為是提高安全性、降低網絡釣魚幾率的最有效方法。
根據谷歌公司、紐約大學和加州大學圣地亞哥分校聯合進行的一項研究,設備的身份驗證可以防止99%的大規模網絡釣魚攻擊和90%的針對性攻擊。
除此之外,采用針對移動設備的網絡釣魚檢測軟件是阻止員工成為網絡釣魚受害者的最明智的方法。Zimperium公司的Chiaraviglio說:“員工是網絡安全中最薄弱的環節。”
2.數據泄漏
數據泄漏被普遍認為是2021年組織安全最令人擔憂的威脅之一,也是成本最高昂的威脅之一。根據IBM公司和波洛蒙研究的最新調查,完全基于遠程工作的組織在數據泄露方面的平均損失將增加13.7萬美元。
使這個問題特別令人煩惱的是,從本質上講,發生這些事件通常不是惡意目的。與其相反,這可能是用戶無意中決定哪些應用程序能夠查看和傳輸其信息的問題。
Gartner公司移動安全研究主管Dionisio Zumerle說:“主要的挑戰是如何實施應用程序審核過程,而不會使管理員不知所措,也不會使用戶感到沮喪。”他建議使用移動威脅防御(MTD)解決方案,例如Symantec公司的Endpoint Protection Mobile、CheckPoint公司的SandBlast Mobile和Zimperium公司的zIPS Protection之類的產品。Zumerle表示,這樣的實用程序會掃描應用程序中的“泄漏行為”,并可以自動阻止有問題的進程。
即使這樣也不會總是覆蓋由于用戶錯誤而發生的泄漏,這就像將組織文件傳輸到公共云存儲服務、將機密信息粘貼到錯誤的地方或將電子郵件轉發給意外的收件人等。對于這種類型的泄漏,數據丟失預防(DLP)工具可能是最有效的一種保護形式。這種軟件的設計明確,可以防止在意外情況下泄露敏感信息。
3. WiFi干擾
移動設備僅與通過其傳輸數據的網絡一樣安全。在網絡時代,人們不斷連接到可能無法獲得最佳安全保護的網絡(無論是為遠程工作人員配置的家庭網絡,還是為公共WiFi網絡配置的網絡),人們的信息通常都沒有他們想象的那樣得到安全的保護。
這到底有多重要?根據Wandera公司的調查研究,在去年,組織員工的移動設備使用WiFi的次數幾乎是使用運營商流量數據的三倍。將近四分之一的設備連接到開放且可能不安全的WiFi網絡,并且有4%的移動設備在平均一個月內遭受“中間人攻擊”,由于疫情期間旅行減少和業務減少,這一數字在過去一年中有所下降,但這并不意味著威脅已經消失,即使員工大部分是在家工作。
Wandera公司產品副總裁Michael Covington說:“我們建議組織采用更主動的方法來確保遠程連接的安全,而不是依靠中間人攻擊的檢測軟件來做出反應。組織為確保WiFi安全性,需要采取的措施是為遠程工作采用零信任網絡接入模式。”
4.過時的設備
智能手機、平板電腦和小型互聯設備(物聯網)給組織安全帶來了風險,因為與傳統的工作設備不同,它們通常不能保證及時和持續的軟件更新。這一點在安卓技術領域尤為明顯,在安卓技術領域,絕大多數制造商在保持產品更新(無論是操作系統更新還是每月的安全補丁)以及物聯網(IoT)設備(其中許多設備甚至都不是為獲取更新而設計的)方面效率低下,這有些令人尷尬。
專門研究智能手機安全問題的美國錫拉丘茲大學計算機科學教授Kevin Du說:“現在許多手機沒有內置補丁機制,而這正成為當今越來越大的威脅。”
根據Wandera公司的調查, 2020年,大約28%的組織仍采用過時的操作系統以及具有已知安全漏洞的軟件。Covington說:“盡管確實存在允許遠程工作人員使用更多非托管設備的趨勢,但目前的情況似乎讓人們注意到了當安全態勢變得過于寬松時所遇到的真正風險。”
Wandera公司的調查表明,更讓人擔心的是,自從冠狀病毒疫情爆發以來,在工作時間內與“不當內容”的連接增加了100%。而且,這類網站由于誘使訪問者下載可疑內容而臭名昭著。而過時的操作系統使得任何形式的不當內容更加危險,因為可能沒有適當的保護措施。
波洛蒙公司的調查表明,除了網絡攻擊可能性增加之外,移動平臺的廣泛使用提高了數據泄露的總體成本,大量與工作相關的物聯網產品只會導致這一數字攀升。正如網絡安全服務商Raytheon公司所言,物聯網是一扇敞開的大門。Raytheon公司贊助的一項研究表明,82%的IT專業人士預測,不安全的物聯網設備會在他們的組織內造成數據泄露,其后果很可能是災難性的。
但是,采取強有力的安全政策可能會走很長一段路。某些Android設備確實提供及時可靠的持續更新,并且可以采取措施來提高手機的安全性。直到物聯網領域更加安全之前,提高安全性都取決于組織自己創建的安全網絡。
5.密碼策略不佳
如今,很多用戶仍然沒有妥善保護其帳戶的安全。當他們攜帶包含組織帳戶和個人登錄信息的手機時,可能會面臨密碼安全問題。
谷歌公司和Harris Poll公司聯合進行的一項調查發現,一半以上的美國人在多個帳戶中使用同一個密碼。同樣令人擔憂的是,將近三分之一的人沒有使用雙因素身份驗證。只有四分之一的人正在積極使用密碼管理器,這表明絕大多數人在大多數地方都沒有設置強大的密碼,因為他們自己設置和記住密碼。
事情只會變得更復雜:根據LastPass公司進行的一項分析,一半的專業人士承認在工作和個人賬戶上使用了相同的密碼。調查發現,每名員工通常與其同事共享大約6個密碼。
Verizon公司在2017年的調查發現,80%以上的黑客違規行為都要歸咎于密碼安全性不足或密碼被盜,尤其是在移動設備上。這是因為員工希望快速登錄應用程序、網站和服務。而即使只有一名員工在零售網站、聊天應用程序或消息論壇上的提示中,草率地輸入他們公司賬戶的密碼,也將給組織的關鍵數據帶來風險。現在把這個風險和WiFi干擾風險結合起來,再乘以工作場所的員工總數,可以表明潛在的泄露點將會大幅增加。
也許更令人煩惱的是,大多數人似乎并不知道他們在這方面的疏忽。在谷歌公司和Harris Poll公司進行的調查中,69%的受訪者在有效保護自己的在線賬戶方面給自已一個“A”或“B”的評分,盡管在調查表明并非如此。顯然,不能相信用戶自己進行的風險評估。
6.移動設備的廣告欺詐
根據eMarketer公司的最新預測,即使受到疫情影響而導致組織的支出減少,在移動設備發布廣告也會產生大量收入。全球移動設備2021年的廣告收入可能會達到1170億美元。網絡犯罪分子更加關注這一領域,因此,他們找到從移動廣告收入流中獲利的方法,根據研究機構瞻博公司的預計,到2023年,全球移動設備廣告收入由于網絡攻擊,每年可能損失1000億美元。
廣告欺詐可以采取多種形式,但最常見的是使用惡意軟件生成點擊廣告,這些點擊似乎是來自使用合法應用程序或網站的真正用戶。例如,用戶可以下載一個應用程序,該應用程序提供有效的外觀服務,如天氣預報或消息傳遞。然而,該應用程序會在出現的常規廣告上產生欺詐性點擊。廣告商通常是通過他們所產生的廣告點擊次數來支付費用,因此移動廣告欺詐竊取了這些公司的廣告收入。
盡管廣告商和發行商可能是最主要的受害者,但廣告欺詐也可能損害移動設備用戶。廣告欺詐惡意軟件在他們的手機后臺運行,可能會降低智能手機的性能,耗盡電池電量,導致更高的數據費用,并導致手機過熱。根據安全供應商Upstream公司的調查,智能手機用戶(或為其設備付費的公司)每年因移動廣告惡意軟件產生更高的數據費用。
Wandera公司表示,到目前為止,Android是需要解決這些問題的主要平臺,Android設備安裝具有漏洞的應用程序的可能性比iOS系統的手機高出5.3倍。但這并不意味著影響是不可避免的。
與移動設備安全領域中的許多事情一樣,獲得安全性常識還有很長的路要走。除了維護僅允許用戶從平臺的官方應用程序商店下載應用程序的策略之外,組織需要教育員工學習一些安全基礎知識,例如查看應用程序的評論以及所請求的權限和開發人員歷史記錄,以確保安裝前有關該應用程序的信息都符合要求。從IT的角度來看,監視數據使用情況是否出現異常高峰也可以幫助及早發現潛在問題。
7.加密劫持攻擊
加密劫持是一種攻擊,其中有人在設備所有者不知情的情況下使用其設備來挖掘加密貨幣。就像移動設備廣告欺詐一樣,網絡攻擊者使他人的移動設備加密采礦以獲取利益。這意味著受影響的手機可能會遇到電池續航時間短的問題,甚至可能因組件過熱而遭受損壞。
從2017年底到2018年初,加密劫持主要發生在臺式電腦,但如今移動設備的加密劫持數量激增。根據Skybox Security公司的調查,加密貨幣挖礦占到2018年上半年所有攻擊的三分之一。根據Wandera公司的調查報告,特定于移動設備的加密劫持攻擊在2017年秋季迅速增長,當時受影響的移動設備數量激增了287%。
從那以后,這種情況有所緩解,尤其是在移動領域。這主要得益于蘋果iOS應用商店和Android關聯的谷歌游戲商店禁止安裝加密貨幣挖掘應用程序。不過,安全廠商注意到,網絡攻擊繼續通過移動網站(甚至只是移動網站上的流氓廣告)和通過非官方第三方市場下載的應用程序取得某種程度的成功。
Verizon公司表示,與加密貨幣相關的網絡攻擊現在占組織中與惡意軟件相關的問題的2.5%,其中約10%的組織報告了相關的安全問題。Verizon推測,這種事件發生率實際更高,因為很多組織沒有報告此類攻擊。
因此,用戶需要謹慎選擇移動設備,堅持采用安全措施,并且只從官方平臺下載應用程序,可以有效應對加密劫持攻擊。
8. 物理設備的漏洞
最后但并非最不重要的一點是,物理設備的漏洞仍然是令人不安的現實威脅:丟失或無人看管的移動設備可能會成為主要的安全風險,尤其是如果它沒有強大的PIN或密碼以及完整的數據加密的情況下。
在波洛蒙公司在2016年進行的一次調查中,35%的受訪者表示他們的移動設備沒有強制措施來保護可訪問的組織數據。更糟糕的是,近一半的受訪者表示,他們的移動設備沒有設置密碼、PIN或生物特征安全保護,約三分之二的受訪者表示他們沒有使用加密措施。68%的受訪者表示,他們有時會在通過移動設備訪問的個人和工作賬戶上共享密碼。
而近年來通過采取一些安全措施,這種情況已有所改善。Wandera公司在其發布的2020年移動威脅態勢分析報告中指出,仍有3%的移動設備沒有使用鎖屏功能。
總之,對于移動設備的安全,只將安全責任交給用戶是不夠的。組織和個人需要遵循更加完善的安全政策和措施才能更好保護移動設備的安全。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號