2020年应该认真对待的8种移动设备安全威胁

如今，移动设备安全已成为企业担忧的头等大事，这是有充分理由的：现在几乎所有员工通过智能手机访问企业的数据，这意味着其敏感信息可能落入他人之手，使安全工作变得越来越复杂。因此，这一风险比以往任何时候都要高：根据波洛蒙研究所在2018年发布的一份调查报告，每次数据泄露的平均损失高达386万美元。这比一年前的估计损失高出6.4%。

虽然人们很容易将注意力集中在恶意软件这一令人瞩目的话题，但事实上，手机被恶意软件感染在现实世界中是极其罕见的。根据一项调查，手机感染几率远远低于被闪电击中的几率。实际上，恶意软件目前被认为是数据泄露事件中最不常见的攻击事件，实际上其在Verizon公司发布的《2019年数据泄露调查报告》中的威胁排名甚至在物理攻击之后。这要归功于移动设备恶意软件的性质以及现代移动设备操作系统中内置的固有保护。

更为现实的移动设备安全隐患存在于一些容易被忽视的领域，所有这些领域只会变得更加紧迫：

1. 数据泄漏

数据泄漏被普遍认为是2019年企业安全最令人担忧的威胁之一。还记得手机几乎没有被恶意软件感染的几率吗?根据波洛蒙研究所的最新研究，在涉及数据泄露时，企业在未来两年内至少发生一次事件的几率为28%，换句话说，几率是四分之一以上。

这个问题令人烦恼的方面在于，它也许只是用户无意中对哪些应用程序能够查看和传输其信息做出的不明智决定。

调研机构Gartner公司移动设备安全研究总监Dionisio Zumerle说：“主要的挑战是如何实施应用程序审核，而这一过程不会使管理员不知所措，也不会使用户感到沮丧。”他建议使用移动设备威胁防御(MTD)解决方案，例如Symantec公司的Endpoint Protection Mobile，CheckPoint公司的SandBlast Mobile和Zimperium公司的zIPS Protection之类的产品。Zumerle说，这些实用程序会扫描应用程序中的“泄漏行为”，并可以自动阻止有问题的进程。

当然，即使这样也不会总能覆盖由于用户错误而导致的泄漏，例如将企业文件传输到公共云存储服务，将机密信息发送到错误的位置或将电子邮件转发给不当的收件人。这是医疗****行业目前正在努力克服的挑战：专业保险提供商Beazley公司声称，“意外泄露”是医疗****组织在2018年第三季度调查报告中数据泄露的主要原因。意外泄露和内部泄漏几乎占在这个报告的所有数据泄露事件的一半。

对于这种类型的泄漏，数据丢失防护(DLP)工具可能是最有效的保护措施。此类软件经过专门设计，可防止在意外情况下泄露敏感信息。

2. 社交工程

移动设备与台式机一样，遭遇的欺骗策略同样令人困扰。尽管人们认为可以轻松地避免社交工程弊端，但它们仍然具有惊人的效果。

根据安全机构FireEye公司的2018年报告，91%的网络犯罪始于电子邮件。该公司将此类事件称为“无恶意软件攻击”，因为它们依靠假冒等策略诱骗人们点击危险链接或提供敏感信息。该公司表示，网络钓鱼在2017年增长了65%，并且移动设备用户面临更大风险，因为许多移动设备电子邮件客户端只显示发件人的姓名，这使得欺骗邮件和诱骗人们认为电子邮件来自他们认识或信任的人从而容易点击。

根据IBM公司的一项研究，实际上，用户对移动设备上的网络钓鱼攻击的可能性是台式机的三倍，其部分原因是人们喜欢在手机上浏览消息。Verizon公司的最新研究支持这一结论，并指出，手机较小的屏幕尺寸以及智能手机上详细信息的相应显示有限(特别是在通知中，现在经常包含一键式选项以打开链接或响应消息)，也可能增加网络钓鱼成功的可能性。

除此之外，面向动作的按钮在移动设备电子邮件客户端中的显著位置以及工作人员倾向于使用智能手机面向多任务的分散方式扩大了这种影响，而且大多数网络流量现在通常发生在移动设备，这将进一步鼓励网络攻击者针对这一领域。

这也不仅仅是电子邮件：正如企业安全机构Wandera公司在其最新的移动设备威胁报告中所指出的那样，过去一年中83%的网络钓鱼攻击发生在电子邮件之外，例如短信、Facebook Messenger、WhatsApp等应用程序以及各种游戏和社交媒体服务。

此外，根据Verizon公司的最新调查数据，只有百分之几的用户真正点击与网络钓鱼相关的链接(根据行业的不同，点击率在1%到5%之间)，但Verizon公司的早期研究表明，这些受骗的人们往往会再受欺骗。该公司指出，用户点击网络钓鱼活动链接的次数越多，将来再次点击的可能性就越大。Verizon公司此前曾报道，被成功钓鱼的用户中有15%会在同一年至少再被欺骗一次。

PhishMe公司的信息安全和反网络钓鱼策略师John Robinson说，“我们确实看到移动设备敏感性总体上受到移动计算整体增长的推动，以及自携设备(BYOD)工作环境的持续增长。”该公司利用真实世界的模拟训练员工识别和应对钓鱼企图。

Robinson指出，工作和个人计算之间的界限也在继续模糊。他指出，越来越多的员工在智能手机上查看多个收件箱(连接到工作和个人账户的组合)，几乎每个人在工作日都在网上实施某种个人业务。因此，在收到与工作相关的信息的同时，接收看似是个人邮件的想法似乎一点也不稀奇，即使这实际上可能是一种诡计。

如今的风险将会不断攀升。显然，网络欺诈者现在还在使用网络钓鱼来诱骗人们放弃旨在保护帐户免遭未经授权访问的双因素身份验证代码。转向基于硬件的身份验证，通过专用的物理安全密钥(例如谷歌公司的Titan或Yubico公司的YubiKeys或通过谷歌公司的Android手机的设备上安全密钥选项)，被广泛认为是提高安全性并减少网络钓鱼可能性的最有效方法。

根据谷歌、纽约大学和加州大学圣地亚哥分校联合进行的一项研究，即使只是在设备上进行身份验证，也可以防止99%的批量网络钓鱼攻击和90%的目标攻击，相比之下，对于那些更易受网络钓鱼影响的2FA码的同类攻击，有效率分别为96%和76%。

3. Wi-Fi干扰

移动设备仅与通过其传输数据的网络一样安全。在这个时代，人们都不断地连接到公共Wi-Fi网络，这意味着人们的信息通常不像想象的那样安全。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!