調(diào)查顯示，很多手機(jī)殺毒軟件應(yīng)用程序是沒(méi)有用的。本文中移動(dòng)設(shè)備管理和移動(dòng)應(yīng)用程序管理專(zhuān)家將教你應(yīng)對(duì)手機(jī)安全問(wèn)題。BYOD政策讓企業(yè)對(duì)這些風(fēng)險(xiǎn)引起高度重視。我們看到很多關(guān)于移動(dòng)設(shè)備管理(MDM)和移動(dòng)應(yīng)用程序管理(MAM)工具，以及這些工具如何防止數(shù)據(jù)盜竊的文章。即便如此，由于MAM/MDM仍然是新興產(chǎn)業(yè)，人們很自然地會(huì)質(zhì)疑，獨(dú)立的殺毒軟件是否能夠提供足夠的保護(hù)。

最近由AV-Comparatives、AV-TEST和PC安全實(shí)驗(yàn)室進(jìn)行的測(cè)試發(fā)現(xiàn)，很多產(chǎn)品未能防止惡意程序，只有少數(shù)“佼佼者”表現(xiàn)不俗。Savid Technologies公司首席執(zhí)行官M(fèi)ike Davis表示，很多手機(jī)殺毒應(yīng)用程序都深陷于基于簽名的跟蹤方法—這是PC廠(chǎng)商十年前使用的陳舊的方法，而沒(méi)有采用行為分析—著眼于程序試圖執(zhí)行的活動(dòng)，而不是代碼中預(yù)定義的標(biāo)識(shí)符的更現(xiàn)代的方法。 基于簽名的手機(jī)殺毒產(chǎn)品善于發(fā)現(xiàn)已知的威脅，但是如果設(shè)備下載一個(gè)新的病毒，安全泄露將無(wú)法被發(fā)現(xiàn)，直到已經(jīng)造成損害。

Davis表示，這并不全是供應(yīng)商的責(zé)任，因?yàn)橐苿?dòng)操作系統(tǒng)并沒(méi)有被設(shè)計(jì)為適應(yīng)基于行為的惡意軟件追蹤。他說(shuō)：“沒(méi)有根級(jí)管理用戶(hù)，所以殺毒軟件不具有完全的控制來(lái)執(zhí)行這種分析。”

Gartner研究公司副總裁Peter Firstbrook警告說(shuō)，即使智能手機(jī)和平板電腦采用了基于行為或者啟發(fā)式的掃描，也不一定能確保移動(dòng)設(shè)備無(wú)懈可擊。行為分析經(jīng)常出問(wèn)題，因?yàn)?ldquo;壞的應(yīng)用程序或者好的應(yīng)用程序的行為，是一個(gè)見(jiàn)仁見(jiàn)智的問(wèn)題”。為了說(shuō)明這一點(diǎn)，他提到使用擊鍵顯示器讓用戶(hù)知道其聊天對(duì)象正在輸入的程序，這種程序體現(xiàn)了“合法的API和系統(tǒng)調(diào)用”可能會(huì)出現(xiàn)偏差。

正因?yàn)槿绱死щy，F(xiàn)irstbrook表示，當(dāng)涉及抵御惡意軟件時(shí)，對(duì)移動(dòng)操作系統(tǒng)的選取的重要性要高于安全軟件的選取。他表示，iOS比Android更安全，因?yàn)樘O(píng)果打造了一個(gè)基本封閉式的系統(tǒng)平臺(tái)，攻擊者更難以滲透。

他認(rèn)為，企業(yè)面臨的主要iOS安全挑戰(zhàn)包括密碼保護(hù)、加密、遠(yuǎn)程擦除和其他MDM/MAM問(wèn)題，因?yàn)閿?shù)據(jù)被盜通常源自設(shè)備丟失，而不是病毒。對(duì)于Android設(shè)備，F(xiàn)irstbrook指出，情況有所不同，因?yàn)楦嘤脩?hù)從非法市場(chǎng)下載應(yīng)用程序。事實(shí)上，最近的Arxan調(diào)查發(fā)現(xiàn)，幾乎所有流行的Android應(yīng)用程序都已經(jīng)被黑客攻擊，這說(shuō)明用戶(hù)使用認(rèn)可來(lái)源的程序的重要性。該調(diào)查還發(fā)現(xiàn)，大多數(shù)iOS應(yīng)用程序受到攻擊，但所幸的是，iPhone和iPad用戶(hù)不太鐘情于非官方市場(chǎng)。

根據(jù)安全廠(chǎng)商趨勢(shì)科技核心技術(shù)營(yíng)銷(xiāo)高級(jí)經(jīng)理Jon Clay表示，即使是合法應(yīng)用程序市場(chǎng)也不足夠。他在接受記者采訪(fǎng)時(shí)指出，攻擊者主要依靠第三方應(yīng)用程序商店來(lái)傳播他們的攻擊程序，但仍然有相當(dāng)多的惡意程序滲透到Google Play，Google Bouncer是Android生態(tài)系統(tǒng)提高安全性的很好的一步，但并沒(méi)有完全消除威脅。

Firstbrook表示，很多企業(yè)因此盡量遠(yuǎn)離Android，這也是為什么開(kāi)發(fā)人員更愿意為蘋(píng)果的操作系統(tǒng)開(kāi)發(fā)程序，盡管Android擁有更大的用戶(hù)群。

盡管存在平臺(tái)差異和根權(quán)限限制，Clay表示，手機(jī)殺毒程序仍然是雞肋：“如果你不能檢測(cè)出惡意軟件，就可能被攻擊。”企業(yè)需要的不僅僅是局部解決方案，隨著企業(yè)將注意力轉(zhuǎn)移到MAM/MDM，安全廠(chǎng)商應(yīng)該如何應(yīng)對(duì)?

后端方法是一個(gè)不錯(cuò)的選擇，F(xiàn)-Secure實(shí)驗(yàn)室安全顧問(wèn)Sean Sullivan表示，其公司的產(chǎn)品對(duì)客戶(hù)端采用有限的啟發(fā)式掃描，但全面的行為分析將需要企業(yè)對(duì)設(shè)備進(jìn)行越獄。因此，F(xiàn)-Secure在后端使用仿真和自動(dòng)化來(lái)分析潛在的新威脅。

趨勢(shì)科技以及賽門(mén)鐵克等公司采用了類(lèi)似的方法，即評(píng)估應(yīng)用程序來(lái)源的聲譽(yù)。

這種技術(shù)具有“啟發(fā)式般的氣質(zhì)”，不僅可以評(píng)估應(yīng)用程序的惡意性，還能夠評(píng)估其對(duì)電池壽命、代碼和其他變量的影響。他表示他的團(tuán)隊(duì)試圖與應(yīng)用程序供應(yīng)商合作，允許他們?cè)L問(wèn)基于信譽(yù)的數(shù)據(jù)以及授權(quán)應(yīng)用程序，這種方法可以讓企業(yè)避免給最終用戶(hù)帶來(lái)負(fù)擔(dān)。它還提供了潛在的安全網(wǎng)，以檢查開(kāi)發(fā)人員無(wú)意留下的漏洞利用機(jī)會(huì)、企業(yè)內(nèi)部開(kāi)發(fā)的應(yīng)用程序，以及最初以合法形式發(fā)布，隨后又以“惡意形式”重新發(fā)布的應(yīng)用程序。

Lookout公司首席安全工程師Tim Wyatt同樣主張采用后端的做法。在接受采訪(fǎng)時(shí)，他指出，Lookout對(duì)超過(guò)2500萬(wàn)個(gè)注冊(cè)設(shè)備建立了移動(dòng)威脅網(wǎng)絡(luò)，“該網(wǎng)絡(luò)不斷地分析世界各地的威脅數(shù)據(jù)以盡快識(shí)別和主動(dòng)阻止新威脅”。

總言之，很多殺毒應(yīng)用程序不能提供充分的保護(hù)，但一些安全廠(chǎng)商能夠順逆而上，主要是通過(guò)補(bǔ)償根級(jí)訪(fǎng)問(wèn)限制。然而，Wyatt表示，并不存在放之四海而皆準(zhǔn)的解決方案，企業(yè)必須采取全面的戰(zhàn)略以滿(mǎn)足其企業(yè)需求。