企業(yè)不應(yīng)忽視移動(dòng)設(shè)備所帶來(lái)的安全隱患
如今,幾乎每個(gè)辦公室員工都攜帶移動(dòng)手機(jī)進(jìn)出,并且大多數(shù)時(shí)候,這些設(shè)備都是非常先進(jìn)的智能手機(jī),例如Android手機(jī)、黑莓設(shè)備或者蘋果公司的iPhone。員工幾乎從來(lái)沒有考慮過攜帶連接設(shè)備進(jìn)入公司的安全隱患。
然而這種趨勢(shì)并沒有逃脫首席安全官和信息技術(shù)管理員的關(guān)注。智能手機(jī)在企業(yè)內(nèi)部提供了很多便利,但是安全團(tuán)隊(duì)并沒有找到辦法來(lái)保護(hù)這些設(shè)備的安全。
移動(dòng)設(shè)備安全公司Lookout公司的首席執(zhí)行官John Hering表示,“他們花了大量資源(包括時(shí)間和金錢)來(lái)保護(hù)他們的企業(yè)網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)安全外圍,但是對(duì)于獲取訪問企業(yè)機(jī)密數(shù)據(jù)的訪問權(quán)限的移動(dòng)設(shè)備,他們卻無(wú)從下手。這基本等同于企業(yè)內(nèi)部的木馬程序,為攻擊者大開后門。”
換句話說(shuō),內(nèi)部攻擊可能不是來(lái)自于有惡意企圖的員工,而是來(lái)自于攜帶受感染設(shè)備進(jìn)入工作場(chǎng)合的無(wú)知員工,Hering表示。
結(jié)果并不令人驚訝:在過去一年中,安全研究人員和攻擊者越來(lái)越關(guān)注智能手機(jī)和其他移動(dòng)平臺(tái),這種關(guān)注突出了移動(dòng)設(shè)備的潛在攻擊情況,包括信息泄漏和直接控制個(gè)人設(shè)備發(fā)動(dòng)攻擊。
此外,移動(dòng)電話已經(jīng)成為所謂的“以用戶驅(qū)動(dòng)的IT”趨勢(shì)的主要驅(qū)動(dòng)力,就像剛畢業(yè)的大學(xué)生將早期的電子郵件習(xí)慣帶入公司一樣,消費(fèi)者正在將他們的移動(dòng)設(shè)備帶到工作場(chǎng)合,并希望IT管理員能夠解除安全隱患。
智能手機(jī)是非常有價(jià)值的設(shè)備,攻擊者可能從此下手。智能手機(jī)通常都有個(gè)人數(shù)據(jù)、麥克風(fēng)和GPS系統(tǒng),攻擊者可以使用這些設(shè)備作為他們自己在公司內(nèi)的個(gè)人監(jiān)控系統(tǒng)。例如,如果一個(gè)攻擊者目標(biāo)是數(shù)據(jù)中心管理員,他們可以找到服務(wù)器在公司大樓的位置或者通過在執(zhí)行會(huì)議中打開麥克風(fēng)竊聽相關(guān)信息,移動(dòng)設(shè)備安全公司Zenprise公司的市場(chǎng)營(yíng)銷副總裁Ahmed Datoo表示。
“存在于智能手機(jī)中的安全漏洞類型非常獨(dú)特,并且非常危險(xiǎn),如果沒有確保它的安全性的話,”Datoo表示。
舉例來(lái)說(shuō),對(duì)于移動(dòng)設(shè)備網(wǎng)站安全性的關(guān)注非常少,所以攻擊者可能會(huì)開始考慮將這個(gè)渠道作為攻擊智能手機(jī)的方式,并且從防火墻后面滲透入公司。斯坦福大學(xué)研究人員發(fā)現(xiàn)有一類漏洞可以被攻擊者利用來(lái)通過用戶的瀏覽器發(fā)動(dòng)攻擊,這也是web開發(fā)人員都知道的漏洞,這種漏洞在為移動(dòng)設(shè)備構(gòu)建的網(wǎng)站中仍然沒有被修復(fù)。“移動(dòng)設(shè)備網(wǎng)站安全應(yīng)該與非移動(dòng)設(shè)備網(wǎng)站安全一樣被受到關(guān)注,否則,可能發(fā)生攻擊事故,”斯坦福大學(xué)安全研究室博士后研究員Elie Bursztein表示。
最大的挑戰(zhàn)之一就是,IT管理人員通常都不知道有哪些移動(dòng)設(shè)備連接到了他們的網(wǎng)絡(luò),Datoo表示,企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該確保部署政策來(lái)確定企業(yè)網(wǎng)絡(luò)中的移動(dòng)設(shè)備,并且確保這些設(shè)備已經(jīng)部署了適當(dāng)?shù)陌踩摺?/P>
讓智能手機(jī)遵守企業(yè)政策也十分重要,Lookout公司的首席技術(shù)官Kevin Mahaffey表示。企業(yè)應(yīng)該確保他們的用戶及時(shí)修復(fù)了設(shè)備的漏洞,并且下載所有更新程序來(lái)刪除惡意應(yīng)用程序。此外,雖然蘋果公司和谷歌公司為應(yīng)用程序市場(chǎng)制訂了良好的政策,但用戶應(yīng)該只從受信任的第三方下載應(yīng)用程序。
“在這里有一點(diǎn)不協(xié)調(diào),對(duì)于攻擊者能夠更加容易地控制移動(dòng)設(shè)備,而我們?nèi)匀惶幵诜烙蛷?qiáng)大政策以及軟件確保企業(yè)網(wǎng)絡(luò)安全的早期研究階段。”
總體而言,針對(duì)移動(dòng)設(shè)備的攻擊技術(shù)狀態(tài)是一個(gè)移動(dòng)目標(biāo),防御同樣如此。
Hering表示,“試圖找到一種方式來(lái)管理、監(jiān)控和保護(hù)企業(yè)環(huán)境中消費(fèi)者設(shè)備的安全真的非常具有挑戰(zhàn)性,我們希望能夠早日解決這個(gè)問題,雖然現(xiàn)在還沒有解決。
【編輯推薦】
