BYOD和移動設備給企業安全帶來了重大挑戰。有的企業IT根本無法有效控制保存公司數據、應用程序和通信的移動設備。隨著針對智能手機、平板電腦的惡意軟件日益增多，這種困難將日漸加劇。安全管理者和開發者不能坐視不管，而應當遵循和利用業界的滲透測試方法和框架，從整體上對移動設備網絡進行有效的滲透測試。

關于移動測試，我們確實可以找到一些所謂的指南。但其出發點是對移動設備劃分為幾個獨立的范疇。現有的方法主要依靠的是設備證書的使用，但它并未得到相關技術的充分支持。事實上，證書只不過是一個沒有與設備綁定的文件，因而設備的身份失竊也就輕而易舉了。

網絡世界的戰爭依靠的是已經擁有的武器，而不是希望得到的武器。下文將討論一些進行滲透測試的原則和工具。在此，我們不會討論公司文化、預算限制，也不涉及測試每個客戶端的配置。

定義策略

策略應當將企業的戰略轉換為可執行的指南。更新安全策略，使其包含強健的移動安全，這對于增強公司對移動網絡上公司數據的掌控是非常關鍵的。

要求員工在聲明上簽字，宣稱自己會遵循公司的策略，否則就會面臨懲罰，這是創建安全意識和責任的重要步驟。安全應當成為一種共享責任的事情。

盡一切可能驗證

對于每個策略，IT必須確立通過哪種方式進行驗證。IT可以對一些措施進行遠程驗證。

例如，通過使用設備的指紋識別技術，對于未知設備并不阻止，而是作為一種捕獲異常的觸發器。在一個設備的身份變成另一個設備的身份時，就表明發生了嚴重的問題。

掃描設備平臺

移動設備安全的第一層就是移動設備自身的平臺。有些平臺比其它平臺更安全或更好，而老版本往往在比賽中落敗。記住，有些移動平臺本身可能比標準的公司工作站更安全。

這意味著檢查并記錄移動設備的操作系統。這一步對于靜態設備的滲透測試是很常見的一步。這一步的目標是檢查用戶是否沒有使用易被攻擊的老系統。企業IT應阻止與某些有明顯漏洞的老操作系統版本進行通信。

設備端口安全

公司允許移動設備訪問公司的無線網絡，那些這些設備就會將類似端口作為靜態設備。其中包括TCP和UDP端口。IT應經常檢查端口，并掃描這些端口背后的應用程序的版本。

欺詐性移動應用

IT不可能測試一切，但這不能成為偷懶的理由。對移動平臺及其應用進行測試的最有效方法是，驗證系統的權利。移動應用需要某些系統訪問權。受到破壞的應用程序版本往往要求超過其實際需要的訪問權。

IT安全團隊應檢查用戶經常下載的移動應用，并且對最初開發者所允許的訪問權限的原始清單與該移動應用實際得到的權限進行比較。如果二者不匹配，就應引起足夠的警戒。

應用端點

移動設備上的應用程序可以使用幾種應用端點。這里的端點是指一個移動應用連接到應用程序的連接器，例如，它可被用于下載廣告或更豐富的內容。

無疑，企業必須強化這些端點，使攻擊者無法通過端點利用系統漏洞。企業IT必須知道有些移動應用包含漏洞，并且有可能造成損害。

安全應用

移動應用市場上，確實有一些很不錯的創新可以增強移動安全性。在任何時候，移動應用的自動更新都是最佳的安全方法。此措施可以為應用打上最新的安全補丁。一些著名廠商也推出了不少安全精品，其中有大家熟悉的工具(如反病毒和防火墻)。

例如，著名的ZANTI就是一款基于Android的安全測試平臺，管理者可以用它進行網絡掃描、模擬中間人攻擊，并對總體的漏洞狀況做出評估。而且此工具還有一款免費版本。Zimperium這款掃描工具也有iOS版本。

在移動滲透測試過程中，不管是定制的工具還是現成的方法，企業都需要評估哪些工具和技術適合自己。移動的強化是很重要的問題，但監視也不容忽視。

對于在高度復雜的環境中的防御措施，找到能夠檢測異常活動的補充機制是成功的關鍵。單獨靠一種掃描不可能完全奏效，因而將多種措施結合起來進行適時處理是很關鍵的。

通過在信息安全領域中應用最佳可行的原則和方法，并且根據移動滲透測試的方向進行調整，企業就能夠獲得可靠且可行的情報。