云計算時代下的移動設備安全初探
隨著種類繁多的消費類設備不斷進入工作場所,首席信息官以及首席信息安全官正面臨著一場嚴峻的信息安全考驗。現在,越來越多的用戶使用移動設備訪問企業服務、查看企業數據、進行業務操作。此外,很多設備不受管理員的控制,這就意味著企業敏感數據沒有受到企業現有遵從、安全及數據丟失防護(DLP)等政策的約束。
更為復雜的是,當今的移動設備并不是信息孤島—它們可以與一個支持云服務和電腦服務的生態系統相連接。一款典型的智能手機至少可以與一個公有云服務同步連接而不受管理員的控制。同時,很多用戶也會直接將移動設備跟家用電腦連接,對重要的設置或數據進行備份。就上述兩種情況而言,企業的重要資產很有可能儲存在某個不受企業直接管理、無安全保障的地方。
目前,最受人們青睞的移動設備操作系統有兩款,即谷歌Android(安卓)與蘋果iOS。在此白皮書中,我們將對這兩種操作系統的安全模式進行評估。同時,隨著移動設備的普及,我們在本文也將談及它們對企業信息安全帶來的影響。
移動設備安全目標
談及安全方面,這兩款主流移動平臺與傳統的桌面及服務器操作系統所采用的安全模式不盡相同。雖然兩種平臺都是在現有操作系統(iOS基于蘋果OSX操作系統,Android(安卓)基于Linux操作系統)的基礎上開發而來,但每款操作系統都針對自身的核心應用設計更為精密的安全模式。其目標是使移動平臺自身就具備良好的安全性,從而擺脫對第三方安全軟件的依賴。
那么,蘋果和谷歌對創建安全移動平臺的探索成功了嗎?為了找到答案,我們將分別對兩款軟件的安全模式以及應用實施進行分析,從而判斷它們能否抵御當今主要的網絡安全威脅。這些安全威脅包括:
◆ 基于網站和網絡的攻擊。該類型的病毒攻擊通常因為訪問惡意網站或非法網站而引發。
◆ 惡意軟件。這種軟件可以分成三大類:傳統電腦病毒、電腦蠕蟲病毒、特洛伊木馬病毒。
◆ 社會工程學攻擊。該類型的攻擊,例如釣魚,便是利用社會工程學誘使用戶泄露敏感信息或誘導用戶在電腦上安裝惡意軟件。
◆網絡可用資源和服務濫用。很多攻擊的目的都是濫用設備相關的網絡、計算或身份資源而達到非法目的。
◆ 惡意和無意的數據丟失。當員工或黑客從受保護的設備或網絡中獲取敏感信息時,通常會導致數據丟失。
◆ 對設備數據完整性的攻擊。在數據完整性攻擊當中,攻擊者在未得到數據所有方允許的情況下試圖對數據進行破壞或修改。
蘋果iOS操作系統
蘋果iOS操作系統(OS)可應用于iPod、iPhone、iPad等移動設備,是蘋果OS X Mac操作系統的簡化版本。
系統漏洞
截至本文撰寫之時,安全研究人員已發現:從iOS操作系統發行之初到現在,該系統的所有版本存在大約200種不同的漏洞,但大部分的漏洞問題并不是很嚴重。攻擊者可以利用其中絕大部分的漏洞實現對某個程序的控制,如Safari程序,但他們要實現對設備的管理員級控制卻絕非易事。但其中一部分漏洞導致的問題則非常嚴重,如果這些漏洞被利用,攻擊者可以實現對設備的管理員級控制,這樣一來他們就可以獲取設備中幾乎所有的數據和服務。這類更為嚴重的漏洞被歸類為權限提升型漏洞,因為攻擊者可以利用這些漏洞提高自身權限并實現對設備的完全控制。
根據賽門鐵克統計的數據,截至本文撰寫之時,蘋果公司平均每12天就要對新發現的漏洞進行修復。#p#
iOS操作系統安全概述
賽門鐵克認為:iOS操作系統的安全模式設計良好,并且實踐證明它可以抵御多種攻擊。總體而言:
◆ iOS加密系統能很好地保護郵件及郵件附件,同時也讓設備得到清理,但卻無法有效防范蓄意攻擊者對物理設備進行的攻擊。
◆ iOS系統原理可以確保蘋果公司對每款公開應用程序進行檢測,但這種檢測方式也并不是萬無一失。而且幾乎可以肯定的是,它能被一些蓄意攻擊者繞開。到現在為止,還遠不能證明這種方式能很好地防范惡意軟件攻擊、數據丟失型攻擊、數據完整性攻擊,以及拒絕服務式攻擊。
◆ iOS隔離模式能夠完全防范傳統的電腦病毒、蠕蟲病毒,還能最大限度地防范數據被間諜軟件竊取。同時,它還能防止絕大多數的基于網絡的攻擊,如避免設備被控制。但是,它無法防范所有類型的攻擊,如:數據丟失型攻擊、資源濫用型攻擊或數據完整性攻擊。
◆iOS權限模式確保在未得到設備所有者同意的情況下,應用程序無法獲取設備位置,無法利用設備發送短信或進行通話等。
◆ 沒有任何一種iOS安全保護技術可以防范如網絡釣魚或垃圾郵件這樣的社會工程學攻擊。
谷歌Android(安卓)操作系統
谷歌Android(安卓)操作系統是Linux和Dalvik(基于Java平臺)兩種操作系統的結合體,Dalvik是廣受歡迎的Java操作平臺的一個分支。每款Android(安卓)應用程序在其相應的虛擬機中運行,而且每個虛擬機又因Linux程序而互相獨立。這種模式的好處是,除非是“越獄”設備,否則沒有程序可以訪問另一個程序的資源。Java虛擬機被設計成一個安全的、可能包含潛在惡意程序的沙箱系統,但Android(安卓)操作系統并不依賴虛擬機來保障安全。反之,所有安全保障是由基于Linux的Android操作系統本身來直接執行。
系統漏洞
截至本文撰寫之時,安全研究人員發現:自Android(安卓)操作系統發行之初到現在,該系統所有版本存在18種不同漏洞,但絕大部分的漏洞問題并不大。此類漏洞若被利用,攻擊者也只能夠控制單個的程序—如網絡瀏覽器程序,但無法實現對設備的管理員級控制。而少數漏洞存在的問題卻非常嚴重,如果被利用,攻擊者可以實現對設備的根級別控制,幾乎能訪問設備內的所有數據。
直至目前,這18個漏洞當中,14個已被谷歌修復,還有4個尚未修復。在4個還未修復的漏洞當中,有一個屬于權限提升型漏洞,存在重大安全隱患。隨著Android 2.3操作系統的發布,這個漏洞會得到修復,但舊版本操作系統仍會存在這個問題。如果大部分運營商沒有將手機上的Android(安卓)操作系統版本從原先的2.2升級到2.3,則這些Android(安卓)手機(截至本文撰寫之時)將面臨被攻擊的風險。這個漏洞有可能被任意第三方應用程序利用,攻擊者無需對手機進行物理訪問就可以發動攻擊。賽門鐵克統計數據顯示:截至本文撰寫之時,谷歌每8天就要對其新發現的系統漏洞進行修復。
Android(安卓)操作系統安全概述
總體而言,相對于傳統桌面操作系統及服務器操作系統所使用的安全模式來說,Android(安卓)的安全模式已有了很大的改進,但同時它也存在兩大缺陷。首先,它的源系統可以讓攻擊者在匿名狀態下創建和散布惡意軟件;其次,其權限系統雖然功能極其強大,但最終卻需要用戶作出重要的安全決策,然而絕大多數的用戶技術能力有限,無法作出此類決策,這個問題已經引發了針對Android(安卓)操作系統的社會工程學攻擊。總而言之:
◆ Android(安卓)系統原理確保只有附帶數字簽名的應用程序才能在附帶Android(安卓)操作平臺的設備當中安裝。但是,攻擊者在未得到谷歌認證的情況下,可以利用匿名的數字證書注冊其惡意程序并散布到網絡當中。攻擊者還可以輕易地通過新的匿名證書使用“木馬”或植入惡意代碼,進而通過互聯網進行二次傳播。從積極的一面來看,谷歌確實要求那些想通過Android(安卓)官方應用平臺傳播其程序的作者付費并在谷歌進行注冊(與谷歌共享程序開發者的數字簽名)。就像蘋果公司的注冊方法一樣,這種做法可以有效抵御缺乏組織的攻擊者。
◆ Android(安卓)默認隔離策略能有效地在應用程序之間形成隔離,同時也讓設備當中安裝的絕大多數系統之間形成隔離,包括Android(安卓)操作系統內核。但也會有一些例外情況,如應用程序可以不受限制地讀取SD卡上存儲的所有數據。
◆Android(安卓)系統權限模式確保應用程序獨立于設備中幾乎所有的主要系統,除非這些應用程序明確要訪問這些系統。但不盡如人意的是,Android(安卓)操作系統最終需要用戶自己決定是否允許某種程序運行,這樣一來,這個系統就有可能遭受社會工程學攻擊。因為絕大部分用戶技術水平有限,無法作出此類關于安全性的決策,惡意軟件以及惡意軟件二次攻擊(如Dos攻擊、數據丟失型攻擊等)也就有了可乘之機。#p#
◆目前,Android(安卓)系統沒有提供內置、默認的加密功能,而是依賴上述隔離方式和權限模式來確保數據安全。因此,只要讓Android(安卓)手機進行“越獄”或盜取手機SD卡就可能導致大量數據的丟失。
◆跟iOS操作系統一樣,Android(安卓)操作系統對于社會工程學攻擊如網絡釣魚或其它基于網絡(不針對設備本身)進行詐騙的方式也束手無策。
iOS vs. Android:安全概述
下列表格列舉了這兩種移動設備操作系統在安全方面的優勢和劣勢:
結論
當今移動設備在安全方面可以說是魚龍混雜。此類移動操作平臺在設計之初就注重安全性。但這些設備屬于消費品,有時候為了保證產品的可用性,其安全性會打折。這樣的折中也使得此類平臺廣受歡迎,但在辦公場所使用這類設備所引發的安全風險便會有所增加。
風險增加是因為很多員工會把他們自己的移動設備帶到辦公場所,并且在不被監督的情況下利用這些設備訪問企業資源,如:企業日歷、通訊錄、企業文件、甚至郵件等。員工還經常將這些企業數據與第三方云服務或家用電腦同步連接。這種未被企業直接監管的隱秘連接會導致企業敏感數據通過第三方系統外泄。
總之,移動設備雖然可以大大提高生產率,但也會帶來一些新的安全風險,而企業必須管理這些風險。我們希望通過對上述兩種移動設備操作系統的安全論述,以及對移動設備可能連接的生態系統的分析,能夠為您提供相關的知識,讓您更好地發現這些設備的使用價值,并更有效地管理它們帶來的安全風險。
