如何使用威脅情報提升移動安全性
安全專業人士建議公司將威脅情報與移動設備管理平臺整合在一起,實現共享關于網絡安全威脅和惡意應用的情報信息,提升移動安全性。
Lower Colorado River Authority首席安全官Larry Whiteside, Jr.建議首先確保能夠從企業移動管理(EMM)/移動設備管理(MDM)提供商那里得到與桌面安全提供商相同等級的日志信息。
“我并沒有看到那些已經安裝了賽門鐵克、邁克菲或其它新桌面安全工具的人說,‘嗯,你采取這些保護措施就可以了,我們不需要知道什么東西正在攻擊它們,也不需要知道正在發生什么。保護它們,我們信任你。’”
Whiteside稱,然而這就是我們目前在移動領域中所采取的做法。他稱,當公司考慮MDM解決方案時,他們僅傾向于關注集成和能力,并沒有對確保得到日志、威脅類型等一些基本功能提出過多的要求。
關鍵是集成威脅情報源
將威脅情報源整合至MDM系統中可使我們能夠使用關于危險和惡意應用的情報提升移動威脅防御能力。這是應用安全服務提供商Marble Security的主席、首席執行官兼首席技術官David Jevans給出的建議。通常情況下,我們可以通過MDM或是威脅情報提供商的API將威脅情報源整合至MDM/EMM平臺中,
Jevans 稱:“威脅情報可讓企業迅速將識別哪些應用不應當被允許接入網絡,企業內部可在數小時內做出相關決策。”這一理念是獲取數據源,將其與MDM聯系起來,然后快速刪除這些應用或是通知相關用戶。
當然,在自備辦公設備(BYOD)環境中情況比較復雜,不過Jevans仍建議我們將威脅源整合至MDM中。他警告稱,公司需要具備管理BYOD的能力,以清楚哪些東西正在用戶的設備上運行著。這通常意味著需要在用戶設備上部署并運行一個客戶端,讓我們知道設備正在運行哪些東西,這樣才能將設備與威脅情報關聯起來。
Good Technology也認同Jevans提出的BYOD將會給威脅情報帶來一些獨特問題的觀點。他還指出了將威脅情報直接整合至MDM中可帶來的另一個好處。“你可能會希望某個設備停止接入公司的網絡中,雖然我們無法對整個設備中的內容進行擦除,或是希望讓它們停止與AT&T或是家庭WiFi接入在一起,因為它們不是我們自己的設備。”
Van Someren補充稱:“由于移動設備不同,我們可以采取許多不同的辦法。但是在許多層面上,它們都具有相同的活動,因此威脅情報需要一個全局性解決方案,而不是一個單點解決方案。”
他稱:“典型的MDM解決方案與容器化解決方案相比具有更多弱點。因為在容器化解決方案中,容器的重點是讓我們僅能得到針對某個容器化應用的資源。這種容器解決方案可以更好的應對我們這里討論的一些單點威脅。從移動性方面看,由于在管理上就存在缺陷,無法控制公司網絡中的設備,因此我們沒有太多的機會收集移動領域中的信息。”
這里面還有一些隱私問題。“我們必須要認真考慮這一問題。我們是否應當停止從這些終端中收集信息?在行動上同樣存在著相似的問題,我們是否了解自己的設備,如果設備的設置出錯,那么它們就可能執行一些錯誤的行為,如果它們是個人的設備,我們將無法強制性對這些設備中的內容進行擦除。”
采取一個全局性解決方案
Van Someren稱,在網絡安全專家眼中根本沒有移動設備威脅情報這一概念,這一點非常重要。威脅情報只有應用在整個基礎設施中才有意義。
運營情報與日志管理解決方案提供商Splunk的首席安全專家Monzy Merza建議,威脅情報不要僅僅應用于針對個人交易的單個IP地址和域中。
他建議企業應當全盤考慮整個IT環境,包括服務器、數據庫和應用以搞清楚移動交互是如何產生的,將威脅情報應用在一個盡可能廣的范圍內。
我們應當部署一些允許我們將威脅情報應用至移動應用日志、防火墻日志甚至是電子郵件內容當中的工具。他建議稱:“不要僅局限‘事件數據’應當將威脅情報應用在所有的數據來源中。”
微軟企業移動產品營銷部高級總監Andrew Conway 稱:“談到獲取一些關于員工所做事情的情報,我認為最重要的是部署能夠向我們匯報誰正在訪問如些應用,以及在什么時間的解決方案,讓我們對應用的訪問具有直觀性。”在考慮威脅情報時,我們應當搞清楚“誰正在訪問,在什么時間,他們是如何做的。”
Marble Security的Jevans給出的另一個提示是將移動威脅情報與網絡情報綜合在一起。網絡情報數據可能將包括:
· 網絡坐標,即惡意流量正在從移動設備中流向何處。
· 與企業網絡相連的設備是否在防火墻內部,它們是否通過VPN相連。
聚焦威脅情報和網絡情報可讓我們更好地描述惡意信息并將其添加至我們在用的威脅阻止系統中,無論它們是防火墻還是設備管理。此外我們還能夠實現對它們的追蹤。Jevans 稱:“你在機場時可能無法檢測它們,但是當你回到辦公室就可以對它們進行檢測。”
網絡、數據和移動服務提供商MetTel的網絡服務業務副總裁Ed Fox和移動業務副總裁Max Silber建議在內部組建一個負責處理威脅情報源的SWAT團隊,以為那些正在面臨攻擊威脅的用戶提供目標信息。
IBM 安全部門資深安全總顧問Diana Kelley建議在內部建立起一個恰當的移動設備保護環境。如果沒有收到來自外部的威脅情報,它們可使用MDM解決方案探測企業中被越獄的設備或是被root的設備。
Kelley 認為:“威脅情報真的非常重要,因為雖然它們不是整合行業性情報,但是它們是關們我們內部環境的情報。他們是否對設備進行了越獄?如果是,你可能采取措施關閉這些設備,限制它們訪問公司容器,不允許它們訪問公司的系統。”
針對移動設備的威脅只是企業每天所面臨的大威脅環境中的一部分。將MDM/EMM與威脅情報整合在一起相當于為移動安全增加了一層網絡安全防護,從而確保可對日益增加的移動網絡安全威脅采取快速響應。
