阻截移動惡意軟件
移動惡意軟件一直增長并威脅著企業。根據谷歌Android安全情態聯盟的說法,約1%的Android設備有可能在2014年安裝了受感染的應用。而且,又出現了新的、不斷增長的Android惡意軟件類別:商業間諜軟件。
通常,蘋果iOS還是很少遭惡意軟件感染的。不過在九月和十月,兩個明顯的惡意軟件突然爆發——XcodeGhost和YiSpecter,存在于iTunes應用商店的應用中。企業如何與這些移動惡意軟件隔絕開來呢?
為電腦安裝反惡意軟件應用被認為是保護PC安全的有效措施,不過對于移動設備來說這可行不通。反惡意軟件應用受移動操作系統應用沙箱的排斥,使應用相互孤立,在蘋果iOS設備上尤為如此。盡管Android已經開始支持起反惡意軟件應用,它們大多建立在以特征為基礎上的檢測,在零日漏洞攻擊應對方面并不是那么有效。企業安全團隊需要尋找新的方法來阻截移動惡意軟件。
止損措施:黑名單策略
采用黑名單是阻截惡意軟件的一個方法,這依賴IT管理策略來防止設備上安裝不必要的應用。黑名單通常都可以用在移動設備上,進行企業移動管理。
然而,黑名單的障礙是維護和個人隱私。解決前者,企業可以將黑名單作為止損措施,有選擇地創建來識別、隔離以及糾正特定的惡意軟件。這種方法可通過移動應用信譽分析來進行強化。不過這并不適用于BYOD環境,因為企業雇主不愿意對用戶自行安裝的應用也做盤查。
對于帶有EMM的移動設備來說,強制執行的基礎策略能夠明顯減少移動惡意軟件帶來的風險。在Android上,可以避免其他裝載,即安裝非谷歌或公司本身的應用。對于iOS和Android用戶設備,可以安裝EMM代理對越獄和刷機進行檢測并響應。雖然不是所有的惡意軟件都包括越獄、刷機或其他裝載,不過絕大多數移動惡意軟件都是通過這些途徑進行潛伏的。一些企業可能需要越獄,刷機或裝載其他應用,不過這也只是小眾需求。
per-app VPN可減少惡意軟件出場機會
最近出現了一種新的阻截移動惡意軟件的方法:per-app VPN,iOS 9和Android 5移動設備上都可實現。
Per-app VPN在iOS 7中首次亮相,不過彼時只限于應用層的VPN客戶端支持這一功能。在iOS 9中,它集成至本地iOS VPN客戶端并應用至IPsec VPN通道中。此外,可以配置應用通過Kerberos進行身份驗證,并且可以自動啟動本機VPN客戶端驗證。這使得per-app VPN能夠更多地用于企業,是從網絡層通道到企業網絡阻截惡意軟件的有效方式。
傳統VPN下,移動設備上的所有流量會流至企業網絡,這為企業網防護帶來隱患,通過移動網絡防御進入的木馬很可能獲得訪問權限。而IP/端口層面的策略能夠應用到傳統通道中去,對于減少風險來說這些方法還是比較粗糙的,特別是越來越多低效的應用流量穿越SSL/TLS而來。
per-app VPN可以穿件一個范式,僅有企業安裝的應用能夠自動應用。采用這種方法,受信任的企業應用進入白名單,可安全地訪問企業網絡,而其他安裝在移動設備上的應用(包括惡意軟件)沒有訪問VPN的權限。
最后,企業應該綜合上訴策略來管理手機惡意軟件的風險問題。畢竟,在越獄設備上黑名單或是per-app VPN無法被信任。然而,可以組合使用措施來為每個移動設備創建一個更強健的安全狀況,有效地檢測并阻截移動惡意軟件。
