張元

移動安全如今已經(jīng)成為組織擔憂的首要問題，幾乎所有員工都定期從智能手機訪問組織的數(shù)據(jù)，由于持續(xù)蔓延的新型冠狀病毒疫情，這一趨勢變得更加突出。實際上現(xiàn)在與組織數(shù)據(jù)進行交互的絕大多數(shù)設(shè)備都是移動設(shè)備。根據(jù)安全服務(wù)商Zimperium的調(diào)查，這一比例約為60 %，隨著人們逐漸適應遠程工作，這一數(shù)字勢必會繼續(xù)攀升。

所有這一切都意味著組織需要更加關(guān)注保護敏感信息，這是一個日益復雜的難題?？梢哉f，現(xiàn)在這方面面臨的風險比以往任何時候都要高。根據(jù)波洛蒙研究所在2020年發(fā)布的一份調(diào)查報告，組織的每次數(shù)據(jù)泄露的平均成本高達386萬美元。這比三年前估計的平均成本高出6.4 %，由于員工在家遠程工作帶來了額外的挑戰(zhàn)，預計將使這種損失進一步上升。

雖然人們很容易將注意力集中在引起轟動的惡意軟件攻擊事件上，但事實上，在現(xiàn)實世界中移動設(shè)備惡意軟件的攻擊事件并不常見，其被攻擊的幾率遠遠低于被閃電擊中的幾率。Verizon公司發(fā)布的一份2020年數(shù)據(jù)泄露調(diào)查報告指出，惡意軟件是移動設(shè)備數(shù)據(jù)泄露事件中最不常見的原因之一，這是由于移動操作系統(tǒng)中內(nèi)置的有效的保護措施。

更加現(xiàn)實的移動安全隱患在于一些經(jīng)常被忽視的領(lǐng)域，這些領(lǐng)域面臨的威脅將在未來變得更加緊迫。

社交工程

在疫情的影響下，社交軟件的釣魚攻擊比以往任何時候都更令人不安，在移動設(shè)備方面尤其如此。據(jù)Zimperium公司的調(diào)查，自從新型冠狀病毒疫情發(fā)生以來，釣魚攻擊增加了6倍，移動設(shè)備現(xiàn)在成為主要目標，特別是與疫情相關(guān)的網(wǎng)絡(luò)攻擊呈上升趨勢。

Zimperium公司安全研究副總裁Nico Chiaraviglio表示：“欺詐者知道人們在家遠程工作，在移動設(shè)備上花費更多的時間，且并沒有采取與計算機相同的預防措施。從網(wǎng)絡(luò)攻擊者的角度來看，這是一種很好的機會。”

這種行為將影響組織的運營。安全服務(wù)商FireEye公司的一份調(diào)查報告表明，91 %的網(wǎng)絡(luò)犯罪始于電子郵件。該公司將此類事件稱為“無惡意軟件攻擊”，因為它們依賴于模仿等措施，誘使人們在設(shè)備上點擊危險鏈接或提供敏感信息。該公司表示，過去幾年，網(wǎng)絡(luò)釣魚的發(fā)展迅速，移動用戶更多有可能因此而受騙，因為許多移動電子郵件客戶端只顯示發(fā)件人的名字，這讓人們?nèi)菀渍J為電子郵件來自他們認識或信任的人。

而且，盡管人們認為可以輕松避免社交工程弊端，但在移動領(lǐng)域仍然具有驚人的效果。根據(jù)IBM公司的一項研究，用戶在移動設(shè)備上遭遇網(wǎng)絡(luò)釣魚的可能性是電腦的3倍，其中的一個原因是手機是人們最有可能首先看到消息的地方。Verizon公司的調(diào)查支持這一結(jié)論，并補充說，智能手機上的屏幕尺寸較小，顯示的信息也比較有限（特別是在消息通知中，通常包括打開鏈接或響應消息的一個點擊選項）也會增加釣魚成功的可能性。

除此之外，點擊按鈕在移動電子郵件客戶端中的顯著位置，以及工作人員傾向于使用智能手機完成多任務(wù)的方式，將會加大欺騙效果。大多數(shù)網(wǎng)絡(luò)流量都在移動設(shè)備上發(fā)生，這一事實將進一步鼓勵網(wǎng)絡(luò)攻擊者針對這一領(lǐng)域進行攻擊。

根據(jù)Verizon公司的最新調(diào)查，雖然只有大約3.4 %的用戶點擊了與網(wǎng)絡(luò)釣魚相關(guān)的鏈接，但這些人往往是重復犯錯者。該公司指出，點擊網(wǎng)絡(luò)釣魚活動鏈接的次數(shù)越多，將來再次點擊的可能性就越大。Verizon公司之前發(fā)布的一份調(diào)查報告表明，在被成功釣魚的用戶中，15 %的用戶會在一年內(nèi)至少再遭受一次網(wǎng)絡(luò)釣魚攻擊。

PhishMe公司信息安全和反網(wǎng)絡(luò)釣魚策略師John Robinson說：“我們確實看到移動計算的整體增長和BYOD工作環(huán)境的持續(xù)增長，推動了移動設(shè)備欺詐事件的普遍提高。”

Robinson指出，工作與個人計算之間的界線也在繼續(xù)模糊，越來越多的員工正在智能手機上查看多個收件箱，這些收件箱通常連接了工作帳戶和個人帳戶，并且?guī)缀趺總€人都在工作日在線進行某種形式的個人業(yè)務(wù)。因此，除了接收工作相關(guān)的消息以外，還接收個人電子郵件的做法并不罕見。

因此這種風險只會不斷增加。如今，網(wǎng)絡(luò)欺詐者甚至還在利用網(wǎng)絡(luò)釣魚來誘騙人們放棄旨在保護帳戶免遭未經(jīng)授權(quán)訪問的雙因素身份驗證代碼。采用基于硬件的身份驗證（通過專用的物理安全密鑰，例如谷歌公司的Titan或Yubico公司的YubiKeys或通過Google的設(shè)備上的安全密鑰選項），被廣泛認為是提高安全性、降低網(wǎng)絡(luò)釣魚幾率的最有效方法。

根據(jù)谷歌公司、紐約大學和加州大學圣地亞哥分校聯(lián)合進行的一項研究，設(shè)備的身份驗證可以防止99 %的大規(guī)模網(wǎng)絡(luò)釣魚攻擊和90 %的針對性攻擊。

除此之外，采用針對移動設(shè)備的網(wǎng)絡(luò)釣魚檢測軟件，是阻止員工成為網(wǎng)絡(luò)釣魚受害者的最明智的方法。Zimperium公司的Chiaraviglio說：“員工是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)?！?/p>

數(shù)據(jù)泄漏

數(shù)據(jù)泄漏被普遍認為是2021年組織安全最令人擔憂的威脅之一，也是成本最高昂的威脅之一。根據(jù)IBM公司和波洛蒙研究的最新調(diào)查，完全基于遠程工作的組織在數(shù)據(jù)泄露方面的平均損失將增加13.7萬美元。

這個問題特別令人煩惱的是，從本質(zhì)上講發(fā)生這些事件通常不是惡意目的，這可能是用戶無意中決定哪些應用程序能夠查看和傳輸其信息的問題。

Gartner公司移動安全研究主管Dionisio Zumerle說：“主要的挑戰(zhàn)是如何實施應用程序?qū)徍诉^程，而不會使管理員不知所措，也不會使用戶感到沮喪?！彼ㄗh使用移動威脅防御（MTD）解決方案，例如Symantec公司的Endpoint Protection Mobile、CheckPoint公司的SandBlast Mobile和Zimperium公司的zIPS Protection之類的產(chǎn)品。Zumerle表示，這樣的實用程序會掃描應用程序中的“泄漏行為”，并可自動阻止有問題的進程。

即使這樣也不會總是覆蓋由于用戶錯誤而發(fā)生的泄漏，這就像將組織文件傳輸?shù)焦苍拼鎯Ψ?wù)、將機密信息粘貼到錯誤的地方或?qū)㈦娮余]件轉(zhuǎn)發(fā)給意外的收件人等。對于這種類型的泄漏，數(shù)據(jù)丟失預防工具可能是最有效的保護形式。這種軟件的設(shè)計，可以防止在意外情況下泄露敏感信息。

WiFi干擾

移動設(shè)備僅與通過其傳輸數(shù)據(jù)的網(wǎng)絡(luò)一樣安全。在網(wǎng)絡(luò)時代，人們不斷連接到可能無法獲得最佳安全保護的網(wǎng)絡(luò)（無論是為遠程工作人員配置的家庭網(wǎng)絡(luò)，還是為公共WiFi網(wǎng)絡(luò)配置的網(wǎng)絡(luò)），人們的信息通常都沒有他們想象的那樣得到安全保護。

這到底有多重要？根據(jù)Wandera公司的調(diào)查，在2020年，組織員工的移動設(shè)備使用WiFi的次數(shù)幾乎是使用運營商流量數(shù)據(jù)的3倍。將近25 %的設(shè)備連接到開放且可能不安全的WiFi網(wǎng)絡(luò)，并且有4 %的移動設(shè)備平均在1個月內(nèi)遭受中間人攻擊，由于疫情期間旅行減少和業(yè)務(wù)減少，這一數(shù)字在過去一年中有所下降，但這并不意味著威脅已經(jīng)消失，即使員工大部分時間在家工作。

Wandera公司產(chǎn)品副總裁Michael Covington說：“建議組織采用更主動的方法來確保遠程連接的安全，而不是依靠中間人攻擊的檢測軟件來做出反應。組織為確保WiFi安全性，需要采取的措施是，為遠程工作采用零信任網(wǎng)絡(luò)接入模式?！?/p>

過時的設(shè)備

智能手機、平板電腦和小型互聯(lián)設(shè)備給組織安全帶來了風險，因為與傳統(tǒng)的工作設(shè)備不同，它們通常不能保證及時和持續(xù)的軟件更新，這一點在安卓技術(shù)領(lǐng)域尤為明顯。在安卓技術(shù)領(lǐng)域，絕大多數(shù)制造商在保持產(chǎn)品更新（無論是操作系統(tǒng)更新還是每月的安全補?。┮约拔锫?lián)網(wǎng)設(shè)備（其中許多設(shè)備甚至都沒有獲取更新的設(shè)計）方面效率低下，這有些令人尷尬。

專門研究智能手機安全問題的美國錫拉丘茲大學計算機科學教授Kevin Du說：“現(xiàn)在許多手機沒有內(nèi)置補丁機制，而這正成為當今越來越大的威脅?！?/p>

根據(jù)Wandera公司的調(diào)查，2020年，大約28 %的組織仍采用過時的操作系統(tǒng)以及具有已知安全漏洞的軟件。Covington說：“盡管確實存在允許遠程工作人員使用更多非托管設(shè)備的趨勢，但目前的情況似乎讓人們注意到了當安全態(tài)勢變得過于寬松時所遇到的真正風險?！?/p>

Wandera公司的調(diào)查表明，更讓人擔心的是，自新型從冠狀病毒疫情爆發(fā)以來，在工作時間內(nèi)與“不當內(nèi)容”的連接增加了100 %。而且，這類網(wǎng)站由于會誘使訪問者下載可疑內(nèi)容而臭名昭著。而過時的操作系統(tǒng)使得任何形式的不當內(nèi)容更加危險，因為其可能沒有適當?shù)谋Ｗo措施。

波洛蒙公司的調(diào)查表明，除了網(wǎng)絡(luò)攻擊可能性增加之外，移動平臺的廣泛使用提高了數(shù)據(jù)泄露的總體成本，大量與工作相關(guān)的物聯(lián)網(wǎng)產(chǎn)品只會導致這一數(shù)字攀升。正如網(wǎng)絡(luò)安全服務(wù)商Raytheon公司所言，物聯(lián)網(wǎng)是一扇敞開的大門。Raytheon公司贊助的一項研究表明，82 %的IT專業(yè)人士預測，不安全的物聯(lián)網(wǎng)設(shè)備會在他們的組織內(nèi)造成數(shù)據(jù)泄露，其后果很可能是災難性的。

但是，采取強有力的安全政策可能會走很長一段路。某些Android設(shè)備確實提供及時可靠的持續(xù)更新，并且采取措施來提高手機的安全性。直到物聯(lián)網(wǎng)領(lǐng)域更加安全之前，提高安全性都取決于組織自己創(chuàng)建的安全網(wǎng)絡(luò)。

密碼策略不佳

如今，很多用戶仍然沒有妥善保護其帳戶的安全，當他們攜帶包含組織帳戶和個人登錄信息的手機時，可能會面臨密碼安全問題。

谷歌公司和Harris Poll公司聯(lián)合進行的一項調(diào)查發(fā)現(xiàn)，一半以上的美國人在多個帳戶中使用同一個密碼。同樣令人擔憂的是，將近1/3的人沒有使用雙因素身份驗證。只有1/4的人正在積極使用密碼管理器，這表明絕大多數(shù)人在很多地方都沒有設(shè)置強大的密碼，因為方便自己設(shè)置和記住密碼。

事情只會變得更復雜，根據(jù)LastPass公司進行的一項分析，一半的專業(yè)人士承認在工作和個人賬戶上使用了相同的密碼。調(diào)查發(fā)現(xiàn)，每名員工通常與其同事共享大約6個密碼。

Verizon公司在2017年的調(diào)查發(fā)現(xiàn)，80 %以上的黑客違規(guī)行為都要歸咎于密碼安全性不足或密碼被盜，尤其是在移動設(shè)備上。這是因為員工希望快速登錄應用程序、網(wǎng)站和服務(wù)。而即使只有一名員工在零售網(wǎng)站、聊天應用程序或消息論壇上的提示中，草率地輸入了公司賬戶的密碼，也將給組織的關(guān)鍵數(shù)據(jù)帶來風險?，F(xiàn)在把這個風險和WiFi干擾風險結(jié)合起來，再乘以工作場所的員工總數(shù)，可以表明潛在的泄露點將會大幅增加。

也許更令人煩惱的是，大多數(shù)人似乎并不知道他們在這方面的疏忽。在谷歌公司和Harris Poll公司進行的調(diào)查中，69%的受訪者在有效保護自己的在線賬戶方面給了自已一個A或B的評分，在調(diào)查表明并非如此，顯然，不能相信用戶自己進行的風險評估。

移動設(shè)備的廣告欺詐

根據(jù)eMarketer公司的最新預測，即使受到疫情影響而導致組織的支出減少，在移動設(shè)備發(fā)布廣告也會產(chǎn)生大量收入。全球移動設(shè)備2021年的廣告收入可能會達到1 170億美元。網(wǎng)絡(luò)犯罪分子更加關(guān)注這一領(lǐng)域，因此，他們找到從移動廣告收入流中獲利的方法，研究機構(gòu)瞻博公司預計，到2023年，全球移動設(shè)備廣告收入會由于網(wǎng)絡(luò)攻擊的影響，每年可能損失1 000億美元。

廣告欺詐可以采取多種形式，但最常見的是使用惡意軟件生成點擊廣告，這些點擊似乎是來自合法應用程序或網(wǎng)站的真正用戶。例如，用戶可以下載一個應用程序，該應用程序提供有效的外觀服務(wù)，如天氣預報或消息傳遞。然而，該應用程序會在出現(xiàn)的常規(guī)廣告上產(chǎn)生欺詐性點擊。廣告商通常是通過他們所產(chǎn)生的廣告點擊次數(shù)來支付費用，因此移動廣告欺詐竊取了這些公司的廣告收入。

盡管廣告商和發(fā)行商可能是最主要的受害者，但廣告欺詐也可能損害移動設(shè)備用戶。廣告欺詐惡意軟件在他們的手機后臺運行，可能會降低智能手機的性能、耗盡電池電量，導致更高的數(shù)據(jù)費用，并導致手機過熱。根據(jù)安全供應商Upstream公司的調(diào)查，智能手機用戶（或為其設(shè)備付費的公司）每年因移動廣告惡意軟件會產(chǎn)生更高的數(shù)據(jù)費用。

Wandera公司表示，到目前為止，Android是需要解決這些問題的主要平臺，Android設(shè)備安裝具有漏洞應用程序的可能性比iOS系統(tǒng)的手機高出5.3倍。但這并不意味著影響是不可避免的。

與移動設(shè)備安全領(lǐng)域中的許多事情一樣，獲得安全性常識還有很長的路要走。除了維護僅允許用戶從官方應用程序商店下載應用程序的策略之外，組織需要教育員工學習一些安全基礎(chǔ)知識，例如查看應用程序的評論、所請求的權(quán)限和開發(fā)人員歷史記錄，以確保安裝前有關(guān)該應用程序的信息都符合要求。從IT的角度來看，監(jiān)視數(shù)據(jù)使用情況是否出現(xiàn)異常高峰也可以幫助及早發(fā)現(xiàn)潛在問題。

加密劫持攻擊

加密劫持是一種攻擊，其中有人在所有者不知情的情況下使用其設(shè)備來挖掘加密貨幣。就像移動設(shè)備廣告欺詐一樣，網(wǎng)絡(luò)攻擊者使用他人的移動設(shè)備來加密采礦以獲取利益。這意味著受影響的手機可能會遇到電池續(xù)航時間短的問題，甚至可能因組件過熱而遭受損壞。

從2017年底到2018年初，加密劫持主要發(fā)生在臺式電腦，但如今移動設(shè)備的加密劫持數(shù)量激增。根據(jù)Skybox Security公司的調(diào)查，加密貨幣挖礦占到2018年上半年所有攻擊的1/3。根據(jù)Wandera公司的調(diào)查報告，特定于移動設(shè)備的加密劫持攻擊在2017年秋季迅速增長，當時受影響的移動設(shè)備數(shù)量激增了287 %。

從那以后，這種情況有所緩解，尤其是在移動領(lǐng)域。這主要得益于蘋果iOS應用商店和Android關(guān)聯(lián)的谷歌游戲商店禁止安裝加密貨幣挖掘應用程序。不過，安全廠商注意到，網(wǎng)絡(luò)攻擊繼續(xù)通過移動網(wǎng)站（甚至只是移動網(wǎng)站上的流氓廣告）和通過非官方第三方市場下載的應用程序取得某種程度的成功。

Verizon公司表示，與加密貨幣相關(guān)的網(wǎng)絡(luò)攻擊現(xiàn)在占組織中與惡意軟件相關(guān)問題的2.5 %，其中約10 %的組織報告了相關(guān)的安全問題。Verizon推測，這種事件發(fā)生率實際更高，因為很多組織沒有報告此類攻擊。

因此，用戶需要謹慎選擇移動設(shè)備，堅持采用安全措施，并且只從官方平臺下載應用程序，以有效應對加密劫持攻擊。

物理設(shè)備的漏洞

最后一點是，物理設(shè)備的漏洞仍然是令人不安的現(xiàn)實威脅，丟失或無人看管的移動設(shè)備可能會成為主要的安全風險，尤其是如果它沒有強大的PIN或密碼以及完整數(shù)據(jù)加密的情況下。

在波洛蒙公司2016年進行的一次調(diào)查中，35 %的受訪者表示他們的移動設(shè)備沒有強制措施來保護可訪問的組織數(shù)據(jù)。更糟糕的是，近一半的受訪者表示，他們的移動設(shè)備沒有設(shè)置密碼、PIN或生物特征安全保護，約2/3的受訪者表示他們沒有使用加密措施。68 %的受訪者表示，他們有時會在通過移動設(shè)備訪問的個人和工作賬戶上共享密碼。

而近年來通過采取一些安全措施，這種情況已有所改善。Wandera公司在其發(fā)布的2020年移動威脅態(tài)勢分析報告中指出，仍有3 %的移動設(shè)備沒有使用鎖屏功能。

總之，對于移動設(shè)備的安全，只將安全責任交給用戶是不夠的，組織和個人需要遵循更加完善的安全政策和措施才能更好地保護移動設(shè)備的安全。