移動安全:企業網路安全的又一次大革命
本文講的是 : 移動安全:企業網路安全的又一次大革命 ,【IT168 編譯】一直以來,企業的安全管理主要集中於對其網路邊界的保護,直到世界上第一臺智慧手機的面市,業務流程和資料的重心便轉向了企業網路的內部。然而,移動革命的浪潮徹底改變了員工互動、互訪和資訊共享的方式。雖然一些組織升級了內部網路的防禦系統,但是黑客也在尋找其他進入企業網路內部的方式,他們試圖把焦點轉移到網路邊緣,利用移動裝置來獲得進入的許可權。
而安全專家也認為,下一波企業黑客將通過移動裝置這條渠道進行網路攻擊。據反釣魚工作組(APWG)的調查結果顯示,移動裝置已經成為吸引世界各地的犯罪分子的目標,移動詐騙的增長速度近乎電腦詐騙的五倍。因此,對於組織而言,管理移動應用程式和裝置風險、控制網路訪問許可權是必不可少的防線。那麼,組織面臨的移動/BYOD裝置威脅都有哪些呢?
據國際資訊系統審計協會(ISACA)《2012資訊科技風險與回報測量研究》( ISACA 2012 IT Risk / Reward Barometer)調查,在美國,近乎72%的組織允許自己的員工在工作時使用BYOD。這種新的實踐途經把企業面臨的風險暴露無遺,這將威脅到整個企業的安全、降低企業的生產率。由於移動裝置和BYOD的便攜性,以及與公共雲應用一體化的性質,資料盜竊或洩露的風險也將大大增加。事實上,Decisive Analytics的一項研究顯示,在允許BYOD連線到自己內網的企業中,有近半的企業已經遭受到了資料洩露的慘痛教訓。
的確,移動/BYOD裝置開啟了一個全新的攻擊層面,黑客能夠利用這些可尋漏洞進入到企業網路中,從而獲取到所需的資料。這些漏洞可以被攻擊者用以下幾種方法所利用:
黑客使用不同的技術對移動/BYOD裝置發動惡意攻擊,通過種種感染方式(例如MMS、SMS、email、藍芽、WiFi、使用者安裝、自安裝、記憶體卡分配和USB)和拒絕服務的攻擊方式(例如藍芽劫持、SMS拒絕、不完整的OEBX資訊、不完整的格式字串和SMS資訊)來部署惡意軟體(例如病毒、蠕蟲、特諾伊木馬和間諜程式),還有發動移動訊息攻擊(例如簡訊詐騙、簡訊垃圾、惡意簡訊內容、SMS/MMS漏洞利用)。
所有的這些技術都可以用來進行活動監控和資料檢索,不合法的撥號、簡訊和網上支付,不合法的網路連線、資料檢索、系統修改以及利用洩露出的資料模擬使用者介面。這些攻擊活動對任何一個組織而言都構成了巨大的威脅,特別是當終端使用者在移動裝置上儲存了密碼,這構成的威脅將不可估量。
因此,移動裝置製造商應該針對這些威脅安裝防毒軟體。例如,三星就在幾天前宣佈,他們在android智慧手機上增加了一個企業安全包。
雖然如此,移動作業系統和移動應用程式在設計或實施上存在的漏洞,依然會暴露移動/BYOD裝置的敏感資料,從而被黑客所攻擊。隨著數以百萬計的移動應用程式的上市,應用程式存在的漏洞風險指數明顯要高於其他的威脅。雖然商業應用程式提供商的數量是可審查的、移動應用程式開發商和來源的數量也是巨大的,但卻是時刻在發生著改變,很難對其信任和聲譽進行一個準確的評估。
這些漏洞能夠導致但並不侷限於以下威脅:資料洩露(偶然或故意的)、不安全的資料儲存(例如銀行和支付系統的PIN號碼、信用卡號、線上服務密碼)、不安全的資料傳輸(例如自動連線到公共WiFi),還有不合法的連線許可請求。
除了漏洞,大量的應用程式也展現出了它們的一些隱私慣例,像以何種方式收集電話或地理位置的資料,以及如何請求應用程式沙箱以外的資料。
事實上,終端使用者的行為往往是不可預測的,應用程式不能訪問一些敏感資料,也不會被黑客攻擊,只會增加移動風險。但最終會由於缺少防毒軟體對移動裝置的保護,藍芽和WiFi也不斷地被使用,敏感資訊和檔案都儲存在移動裝置記憶體中,清除這種移動安全威脅的工作將會變得愈加困難。
考慮到這些挑戰,在主動管理和消除安全風險的時候,我們可以採取哪些措施來維持企業生產率、節約成本呢?
首先最簡單的實踐方法就是實施宣傳方案,向移動/BYOD終端使用者進行關於安全威脅和其避免方法的教育。比如,移動裝置包含了大量的資料,但不是所有的都是敏感資料,而攻擊者需要滲透到一個安全的網路來獲取到準確的資料,如電子郵件賬戶憑證、使用者密碼和企業VPN的登入資料。此外,裝置本身也可以作為一個可以直接連入企業網路的通道,例如,如果一個黑客用惡意軟體讓一個移動裝置中了病毒,那麼他們將可以用該軟體通過VPN而連線到內部網路。因為許多終端使用者是通過USB介面讓自己的移動裝置連線到工作站,所以這也是一種能夠讓網路受到感染的一種途徑。
接下來就是圍繞移動裝置的使用來建立嚴格的策略,一個好的參考框架就是 “企業移動裝置安全管理的指導方針”,它是由美國國家標準與技術研究所(NIST)在其特別出版物(SP)800-124修訂版1中提出的。建立移動裝置的使用策略是相對容易的,困難的是收集風險預測資訊,這些資訊要用來確定移動裝置是否、何時以及怎樣連線到一個可信的組織網路。在這方面,很多組織要依賴於像移動裝置管理或移動應用管理這些工具。
雖然這些工具具備基本的風險評估和策略實施能力,但是它們在企業移動和BYOD的風險狀況方面,缺乏全面的、實時的考察。值得高興的是,新型移動信託服務正脫穎而出,這種服務能夠識別每一層移動堆疊上(基礎設施、硬體、作業系統和應用程式)的漏洞,使這些資料在安全生態系統範圍內(例如安全控制的使用,像加密、基於角色的訪問控制等技術)與現存的威脅和風險係數有一定的聯絡。反過來,這些風險係數也可以用來確定是否授予一個網路的訪問許可權,如果有的話,那麼又有哪些許可權是應當受到限制的。一旦允許訪問,連續監測就應該用來更新風險評估係數。
原文釋出時間為:2015年7月6日
本文作者:歐雪娥
本文來自雲棲社群合作伙伴IT168,瞭解相關資訊可以關注IT1684
原文標題 :移動安全:企業網路安全的又一次大革命
相關文章
- 【網路安全】知名網路安全企業有哪些?
- 企業網路安全策略
- 中小企業網路安全評估
- 巴西企業網路安全風險最高
- 【網路安全分享】移動網際網路所面臨的安全威脅有哪些?
- 10個企業網路安全建議,解決99%的網路安全問題
- 中國企業如何應對網路安全
- 企業網路安全的“人防”工事該如何建?
- 強大的網路安全如何為企業增值?
- 教你改善企業網路安全的八個技巧
- 網際網路企業安全之埠監控
- 安全分析:中小型企業網路安全現狀剖析(轉)
- 企業網路安全管理維護之探析
- 企業網路:安全只能靠兩招
- “智慧能源”驅動發電企業網路安全新思考
- 網際網路企業安全指南3.2 不同階段的安全建設重點
- BYOD來襲:企業如何建立移動安全策略
- 安全牛:2020中國網路安全企業100強
- 為小微企業解決80%網路安全風險?上海保險業推出普惠版網路安全保險!
- 江民KV網路版企業網路安全解決方案(轉)
- 網際網路企業如何選擇網路安全防護公司?
- 企業在提高網路安全方面可以採取哪些行動?
- 威脅加劇促使企業提高行動網路安全預算
- 付傑:移動網際網路時代的全新安全思考
- 全球700名企業高管如何看待網路安全
- 工業網際網路企業網路安全分類分級工作啟動會在中新賽克工業網際網路安全技術創新中心召開
- 網際網路時代,企業需要重視“動態”資料安全問題
- 機構或企業中誰是網路安全最有力的推動者?
- 假期總結保障企業網路安全的關鍵(轉)
- 網路安全對企業的危害及防範措施(轉)
- 華為雲:網路安全愈發重要,企業該如何保障自身業務安全?
- 一文了解網路安全中的橫向移動
- 瑞星年度網路安全報告揭示“網際網路+”企業最“高危”
- 你的企業有這樣的網路安全盲點嗎?
- 企業如何保障網站安全?網站
- 學習網路安全有哪些就業方向?網路安全就業前景!就業
- 企業辦公wifi提高網路安全解決方案WiFi
- Zscaler:2021年企業網路安全報告