几维资讯> 行业资讯

是真的吗

几维安全 2019-08-02 14:50:40   397
分享到:

提到 “移动安全威胁”,你脑海里只有 “移动恶意软件”?事实上,还有很多移动安全威胁类型要远比移动恶意软件更加紧迫。而对于 2019 年最紧迫的 7 种移动安全威胁类型,每个企业都应该加以关注并认真对待。

移动安全.jpg

如今,移动安全是每家公司最担心的问题——而且理由很充分:现在几乎所有工作人员都习惯使用智能手机访问公司数据,这就意味着确保敏感信息不落入坏人之手正成为一个越来越错综复杂的难题。甚至可以说,这种风险比以往任何时候都要高:根据波耐蒙研究所 (Ponemon Institute) 2018 年的一份报告显示,企业数据泄露的平均成本高达 386万美元,这一数字要比一年前的估计成本高出 6.4%。

虽然人们很容易把注意力放在 “恶意软件” 这种极具震撼性的话题上,但事实上,移动恶意软件感染在现实世界中是非常罕见的——根据一项估计显示,你被移动恶意软件感染的几率要明显低于你被闪电击中的几率。恶意软件目前在数据泄露事件中被列为 “最不常见的初始行为”,事实上,在 Verizon 发布的《2019年数据泄露调查报告》中,恶意软件甚至排在 “物理攻击” 之后。这主要归功于移动恶意软件的性质,以及现代移动操作系统内置的固有保护机制。

更现实的移动安全隐患存在于一些容易被忽视的领域,随着 2019 年的到来,这些问题预计只会变得更加紧迫:

一、数据泄漏

这听起来像是机器人泌尿外科医生的诊断,但数据泄露被广泛视为 “2019年企业安全最令人担忧的威胁之一”。还记得那些几乎不存在的被恶意软件感染的几率吗?好吧,根据 Ponemon 的最新研究显示,当涉及到数据泄露时,公司有近 28% 的几率在未来两年内经历至少一起事件——换句话说,就是有超过四分之一的可能性。

让这个问题变得特别棘手的原因是,它本质上并不是邪恶的;相反地,这是用户在无意中做出了不明智的决定,决定哪些应用程序能够查看和传输他们的信息。

Gartner 移动安全研究主管 Dionisio Zumerle 表示,“主要的挑战是如何实施一种既不会增加管理员任务负担,也不会让用户感到沮丧的应用审查流程。” 他建议转向移动威胁防御 (MTD) 解决方案——如赛门铁克的 Endpoint Protection Mobile、CheckPoint 的 SandBlast Mobile 以及 Zimperium 的 zIPS 保护等产品。Zumerle 表示,这些实用程序可以扫描应用程序的 “泄漏行为”,并可以自动阻止有问题的进程。

当然,即便这样也不能完全解决由于公开的用户错误而导致的泄漏——一些简单的事情,比如将公司文件传输到公共云存储服务上,将机密信息粘贴到错误的地方,或是将电子邮件转发给一个无意的收件人。这是医疗行业目前正在努力克服的一个挑战:根据专业保险提供商 Beazley 的说法,“意外泄露” 是2018年第三季度医疗保健组织报告的数据泄露的首要原因。在这段时间内,该类别与 “内部消息泄露”一起占据了所有报告的泄密事件的近一半。

对于这种类型的泄漏,数据丢失防护 (DLP) 工具可能是最有效的保护形式。此类软件明确设计用于防止敏感信息的暴露,包括在意外情况下的信息泄露。

二、社会工程

这种屡试不爽的欺骗策略在移动端和台式机上一样令人不安。尽管人们很容易认为社会工程的弊端是可以避免的,但它们仍然非常有效。

根据安全公司 FireEye 2018 年发布的一份报告显示,91% 的网络犯罪始于电子邮件。该公司将此类事件称为 “无恶意软件攻击”,因为它们依靠模仿等策略来诱骗人们点击危险的链接或提供敏感信息。该公司表示,网络钓鱼在 2017 年期间增长了 65%,移动用户面临着最大的风险,因为许多移动电子邮件客户端仅显示发件人名称——这使得欺骗消息变得特别容易蒙混过关,让用户相信该电子邮件来自他们认识或信任的人。

根据 IBM 的一项研究显示,用户在移动设备上对网络钓鱼攻击的回应率实际上是台式机的三倍——部分原因是因为手机是人们最有可能率先看到消息的地方。与此同时,Verizon 的最新研究也支持了这一结论,并补充道:较小的屏幕尺寸以及智能手机上显示的详细信息有限(特别是通知栏中通常只包含用于打开链接或回复信息的单击选项)等因素都增加了网络钓鱼攻击成功的可能性。

除此之外,移动电子邮件客户端中 “行动导向” 的按钮所在的位置过分显著,以及用户使用智能手机时的不专心和多任务处理方式等都加剧了这种威胁效果——而且大多数网络流量现在大多发生在移动设备上的事实只能进一步鼓励攻击者继续瞄准这一领域。

当然,社会工程威胁不仅仅是针对电子邮件:正如企业安全公司 Wandera 在其最新的移动威胁报告中指出的那样,过去一年中 83% 的网络钓鱼攻击发生在电子邮件以外的地方——例如,短信或 Facebook Messenger 和 WhatsApp 等应用程序,以及各种游戏和社交媒体服务之中。

此外,根据 Verizon 的最新数据显示,虽然实际上只有 1% 到 5% 不等(具体取决于行业)的用户点击了网络钓鱼相关链接,但那些容易上当的用户往往是屡犯不改。该公司指出,有人点击网络钓鱼活动链接的次数越多,他们将来再次这样做的可能性就越大。Verizon 此前曾报道称,15% 成功被钓鱼的用户将在同一年内至少再被钓鱼一次。

PhishMe(一家使用真实世界模拟训练员工识别和应对网络钓鱼企图的公司)的信息安全和反网络钓鱼策略师 John Robinson 表示,我们确实看到了整体移动计算的增长推动了移动敏感度的普遍上升,以及 BYOD 工作环境的持续增长。如今,工作和个人电脑之间的界限也在不断模糊,越来越多的员工在智能手机上同时查看多个收件箱,而且几乎每个人在工作日都会在网上处理一些个人事务。因此,在收到工作邮件的同时收到私人邮件在表面上看起来一点也不奇怪,即使这实际上可能是一个诡计。

这种威胁形势只会日益严峻。网络骗子现在显然正在使用网络钓鱼手段来试图诱骗人们放弃双因素身份验证码(旨在保护账户免受未经授权的访问)。为了应对这种情况,用户可以转向基于硬件的身份验证——通过 Google 的 Titan 或 Yubico 的 YubiKeys 等专用物理安全密钥,或者通过 Google 的 Android 手机设备安全密钥选项——这是提高安全性和降低基于网络钓鱼的接管几率的最有效方法。

根据谷歌、纽约大学和加州大学圣地亚哥分校进行的一项研究显示,即使只是设备上的身份验证也可以防止 99% 的大规模网络钓鱼攻击和 90% 的针对性攻击,相比之下,更易受网络钓鱼攻击影响的 2FA 代码对于相同类型攻击的有效防御率分别为 96% 和 76%。

三、无线 (Wi-Fi) 干扰

移动设备的安全性取决于它传输数据的网络。在这个我们都在不断连接公共 Wi-Fi 网络的时代,这就意味着我们的信息通常不像我们想象的那么安全。

这个问题究竟有多重要?根据 Wandera 公司进行的一项研究显示,企业移动设备使用 Wi-Fi 几乎是使用蜂窝数据的三倍。近四分之一的设备可能连接到开放且不安全的 Wi-Fi 网络,并且有 4% 的设备在最近一个月内遭遇了中间人攻击 (MitM)——即有人恶意拦截双方之间的通信。与此同时,McAfee 表示,网络欺骗最近 “急剧增加”,然而,只有不到一半的人愿意在旅行和依赖公共网络时努力保护他们的连接安全。

专注研究智能手机安全问题的 Syracuse 大学计算机科学教授 Kevin Du 表示:现在,加密流量并不困难。如果你没有 VPN,就等于你在自己周边敞开了很多攻击入口。

但是,选择正确的企业级 VPN 并不容易。和大多数与安全相关的考虑因素一样,这个问题也是需要权衡的。Gartner 的 Zumerle 指出,移动设备的 VPN 交付需要更加智能,因为最大限度地减少资源消耗(主要是电池)是至关重要的。一个有效的 VPN 应该知道只有在绝对必要时才能激活,而不是当用户访问类似新闻网站或在已知安全的应用程序中工作时就随便激活。

四、过时的设备

智能手机、平板电脑和更小的联网设备(通常被称为物联网/IoT)对企业安全构成了新的风险,因为与传统的工作设备不同,它们通常不能保证及时和持续的软件更新。对于 Android 系统而言尤为如此,绝大多数制造商在保持其产品更新方面都表现得 “心有余而力不足”——无论是操作系统 (OS) 更新还是月度安全补丁发布——甚至在大多数物联网设备中根本就没有内置补丁机制,而如今这些因素正成为越来越大的威胁。

Ponemon 认为,撇开攻击可能性增加不提,移动平台的广泛使用提高了数据泄露的总体成本,而大量与工作相关的物联网产品只会导致这一数字进一步攀升。根据网络安全公司 Raytheon 的说法,物联网是一扇 “敞开的大门”。该公司赞助的一项研究显示,82% 的 IT专业人士预测,不安全的物联网设备将会导致企业内部的数据泄露——而且这种数据泄露规模和影响很可能是 “灾难级的”。

同样,一项强有力的政策还有很长的路要走。有些Android设备确实可以及时获得可靠的持续性更新。在物联网领域变得不那么像 “蛮荒西部” 之前,必须由一家公司围绕它们建立自己的安全网络。

五、加密劫持(Cryptojacking)攻击

作为相关移动威胁列表的一个相对较新的补充,Cryptojacking=Cryptocurrency(加密货币)+ Hijacking(劫持),它的字面意义是 “劫持加密数字货币”,实际意义则是劫持用户的计算机设备,并利用其 CPU 或其他处理器来挖掘虚拟加密货币,因而叫做 “加密劫持”。这是一种近乎隐身的技术,企业通常很难察觉,其造成的损害不言而喻。如果加密货币挖掘的恶意软件感染了云基础设施或电费账单,则可能会立即产生财务影响。它还可能通过减慢机器速度,来损害设备的生产效率和性能,而后者的损害结果显然不如前者易于察觉。

虽然 “加密劫持” 起源于桌面,但从 2017 年末到 2018 年初,它在移动端出现了激增的趋势。根据 Skybox Security 一份分析报告显示,2018 年上半年,不受欢迎的加密货币挖掘占所有攻击的三分之一,与前半年相比,这段时间显著增加了 70%。此外,根据 Wandera 的一份报告显示,2017 年 10 月至 11 月期间,针对移动设备的加密劫持攻击爆发了,受影响的移动设备数量激增了 287%。

自那以后,情况已经有所缓解,特别是在移动领域。这一结果主要得益于苹果 iOS 应用商店和 android 相关的谷歌 Play 商店分别在 6 月和 7 月禁止使用加密货币挖掘应用的举措。尽管如此,该安全公司还是注意到,攻击可以继续通过移动网站(甚至只是移动网站上的流氓广告)以及从非官方第三方市场下载的应用程序获得一定程度的成功。

分析人士还指出了通过互联网连接的机顶盒(一些企业可能会使用机顶盒进行流媒体和视频投射)进行加密劫持的可能性。根据安全公司 Rapid7 的说法,黑客已经找到了一种方法来利用一个明显的漏洞,该漏洞使 Android Debug Bridge(一种仅供开发人员使用的命令行工具)变得容易访问,而且滥用这类产品的时机已经成熟。

目前,对于这种威胁形式并没有什么好的答案,除了仔细选择设备并坚持要求用户仅从平台的官方店面下载应用程序,如此可能会显著降低加密劫持的可能性。而且实际上,目前没有迹象表明大多数公司受到任何重大或直接的威胁,特别是考虑到整个行业都在采取预防措施。尽管如此,考虑到过去几个月该领域的活动起伏不定,而且攻击者对该领域的兴趣不断上升,2019 年的进展情况仍然是一件值得关注的事情。

六、薄弱的密码卫生情况

你可能认为我们现在已经过了这一阶段,但不知何故,用户仍然没有正确地保护他们的帐户——当他们携带的手机同时包含公司帐户和个人登录时,这可能会出现问题。

根据谷歌和哈里斯民意调查 (Harris Poll) 的一项新研究发现,调查样本显示,超过一半的美国人在多个账户上使用相同的密码。同样令人担忧的是,近三分之一的人没有使用双因素身份验证(或者甚至不知道他们是否在使用它,这可能会更糟糕)。而且只有四分之一的人在积极地使用密码管理器,这表明绝大多数人可能在大多数地方都没有设置特别强的密码,因为他们可能需要自己生成和记忆密码,而太过复杂、强大的密码显然并不利于记忆。

情况只会变得越来越糟:根据 2018 年的 LastPass 分析显示,有整整一半的专业人士在工作和个人账户上使用相同的密码。分析还发现,更糟糕的是,一个普通员工在工作过程中会与同事分享大约六个密码。

为了避免你认为这一切都无关紧要,2017 年,Verizon 发现,在与黑客相关的企业入侵事件中,80% 以上要归咎于薄弱或被盗的密码。特别是移动设备上设置或被盗的密码,工作人员想要通过移动设备快速登录到各种应用程序、网站和服务之中,但是,当你这样做时,请考虑一下组织数据面临的风险。即便只有一个人在随机零售网站、聊天应用或消息论坛上使用了与公司账户相同的密码,也会将企业数据置于危险之中。现在,把这个风险和前面提到的 Wi-Fi 干扰的风险结合起来,乘以你工作场所的员工总数,你还会觉得这种威胁无关紧要吗?

也许最令人烦恼的是,大多数人似乎完全忘记了他们在这方面的疏忽。在谷歌和 Harris Poll 调查中,69% 的受访者对于自己是否有效地保护了他们的在线账户,给了自己一个 “A” 或 “B” 的评分,尽管后来的答案表明并非如此。显然,我们无法信任用户自己对此事的评估。

七、物理设备违规

最后且最重要的一点可能看起来特别愚蠢,但仍然是一个令人不安的现实威胁:丢失或无人看管的设备可能是一个主要的安全风险,特别是如果它没有强大的 PIN 或密码和完整的数据加密的话。

关于这种情况的紧迫性,我们可以通过下述数据进行了解:在 2016 年的 Ponemon 研究中,35% 的专业人士表示他们的工作设备中没有设置强制措施来保护可访问的公司数据。更糟糕的是,接近一半的受访者表示他们没有密码、PIN 或生物识别安全机制来保护他们的设备——且大约三分之二的受访者表示他们没有使用任何加密技术。68% 的受访者表示他们有时会通过移动设备访问个人和工作帐户的密码。

如今,时过三年,情况似乎并没有好转。在其 2019 年的移动威胁态势分析中,Wandera 发现,43% 的公司在其登记簿中至少有一部智能手机没有设置任何锁屏安全措施。该报告还指出,即便是在设备上设置了密码或 PIN 的用户,大多数也只是选择了使用最少的四字符代码。

由此,很容易得出结论:仅仅把责任留给用户是不够的。不要只是做出假设,而要切实地制定政策,你以后会感谢自己这样做的。

(文章来源:安全牛)

分享到:



《安卓应用加密》 《Unity3D手游加密》 《源代码加密》 《移动端的KiwiVM虚拟机》