談企業移動安全 你不能避開談移動APP
如今,企業移動管理(EMM)在移動環境中已經有了自己的地位,但是,在涉及移動安全時,EMM僅僅是一個起點。
不管用戶是誰,移動安全技術都應提供安全和信任,并且支持應用級的監視和控制,防止當前移動環境中的漏洞,而這些功能都是EMM無法獨立實施的。為什么呢?
企業移動管理(EMM)的核心是移動設備管理(MDM)。由于移動設備大量地進入工作場所,IT不得不利用這種機制來跟上其步伐。雖然企業中EMM方案有了廣泛應用,但是EMM主要是作為一種嚴重依賴管理設備和用戶的管理平臺。當今的移動世界要求企業必須重視BYOD、APP和日益增加的安全挑戰。如果企業無法深入地監視操作系統中正在發生什么,也就不能完全相信設備。
隨著移動設備和應用的快速發展,圍繞著BYOD和移動應用的諸多勢力開始粉墨登場,并將重新塑造我們對移動和移動安全需求的認識。移動應用的不斷增長,正在進一步強化企業對真正移動安全方案的需求,但EMM無法滿足新形勢下的安全需求。
BYOD不僅針對雇員
大約十年前,移動性意味著企業購買并根據需要給雇員派發一塊黑莓手機。而如今,在企業中,BYOD和app呈激增態勢。BYOD不僅涉及雇員,越來越多的合伙人和客戶開始通過設備上的移動應用與企業交互。這意味著,企業無法控制這些設備,對移動安全來說,傳統的IT和MDM方法已經過時。
移動應用的發展已經不可逆轉,所以,企業不僅需要保障設備的安全,而且,不管是什么設備類型,在不影響用戶體驗的情況下保障應用的安全。為此,企業必須采用一種已經被證明的而非假想的模式。企業對移動設備和應用必須采用零信任的模式,將安全性整合到要部署的任何應用中。
任何人都可能成為app的開發者
隨著企業日益重視移動設備和應用,企業的CIO在滿足終端用戶的需求時面臨著不少壓力,這是因為他們既要向業務人員和合作伙伴提供安全的應用,又要向直接使用app的客戶快速提供應用。結果,可使應用程序的開發更容易的大量的移動應用開發平臺和移動應用開發工具紛至沓來,無論是技術人員還是非技術人員都可以創建移動app。但移動app開發者的安全知識卻不能保持同步和一致。
構建移動app的安全知識發生的這種變化,再加上企業要求快速將應用推向市場的迫切需求,導致了app的可用性戰勝了安全性,造成了大量不安全的應用。
為解決這個問題,我們必須利用工作在app層的安全方案,并且在所有移動app中提供一種一致的安全框架。這種方案不僅要保護app,還要確保不健全的app不會成為攻擊者的前門。只有這樣,企業的CISO和CIO才可能對移動應用的完整性有信心。
app激增
企業正快速地將大量的業務應用(如電子郵件、日程、瀏覽器)遷移到大量的所謂生產率應用(productivity app),而其潛在的固有漏洞給企業的敏感數據帶來更大的攻擊面。敏感信息正日益面臨被暴露的風險,這是因為“雇員日益成為擁有其自己的IT部門”的員工,將不安全的應用下載并在其設備上運行。調查發現,許多企業都存在某種形式的BYOA(自帶應用),還有許多雇員在已經存在一個可用的應用時,還要下載其自己的應用。
從本質上說,企業都要求對所有移動應用進行更精細的控制,但EMM無法提供此功能。即使對于從蘋果和谷歌下載的app來說,問題也是如此。攻擊者還能夠將惡意軟件偽裝成一個新聞網站app,以此吸引目標。所以,公司需要的不僅僅是EMM,更應找到一個對所有移動客戶交付安全產品的方法,當然,這種產品應當與設備類型無關。
移動app漏洞的出現
黑客們都知道移動應用固有的不安全性,因而他們就有機會發動更高級的攻擊。攻擊者們喜歡一直連網卻缺乏監視、檢測的目標,這就使得移動設備和應用成為攻擊的好途徑。只要我們看看研究人員和黑客們已經發現和正在發現的重大漏洞,就會感到問題的嚴重性。
企業往往要求開發者們快速將應用推向市場,開發者就不斷地更新,或在開發移動應用期間,利用一些外包的或外部的框架。這確實可以提高開發速度,但也意味著開發者可能在不知不覺中就引入了一些安全風險,尤其是在使用第三方的組件時,問題就更為嚴重。例如,如果被廣泛用于Web的可信加密庫OpenSSL存在漏洞,還有哪個更新的“移動編程庫(MPL)”能夠擔當重任?
移動設備和應用在企業中的演變步伐將極大地改變企業考慮安全的方式。企業需要在一個自己越來越不容易控制的由設備、app、用戶所構成的環境中建立信任和安全。在此過程中,要有效地控制風險就要真正地理解人在移動設備上的工作方式及其與移動設備和應用的交互方式。攻擊者總是跟蹤那些 廣泛使用的并且有安全缺陷的移動應用,這意味著下一種威脅公司數據和用戶私密的就是移動設備和應用。
對移動設備和應用實施零信任模式并在app層上實施適當的安全控制既能提升效率又可以促進安全。但是最根本的問題是,這種模式不再是關于設備的,而應是關于app的。
