2020年應(yīng)該引起關(guān)注的8種移動安全威脅
如今,移動安全已成為每個公司關(guān)注的重點對象,因為現(xiàn)在幾乎所有員工都能夠定期地從智能手機訪問公司數(shù)據(jù),這意味著如果敏感信息被不法分子利用,那么事情就變得復(fù)雜了。現(xiàn)在說移動風險比以往任何時候都要高,這一點也不過分。根據(jù)Ponemon Institute 2018年的一份報告,企業(yè)數(shù)據(jù)泄露的平均成本高達386萬美元。這比一年前的估計成本高出6.4%。
說到移動安全,雖然大家很容易將注意力集中在引起轟動的惡意軟件上,但事實是,鑒于移動惡意軟件的性質(zhì)以及現(xiàn)代移動操作系統(tǒng)中內(nèi)置的固有保護,其感染數(shù)量并不多。根據(jù)一項估計,設(shè)備被感染的概率大大低于人被閃電擊中的概率。在數(shù)據(jù)泄露事件中,惡意軟件目前被認為是最不常見的手段。在Verizon的《2019年數(shù)據(jù)泄露調(diào)查報告》中惡意軟件攻擊在物理攻擊之后,排名第二。更為現(xiàn)實的移動安全隱患位于一些容易被忽視的領(lǐng)域,這些領(lǐng)域的安全才是迫在眉睫:
一、數(shù)據(jù)泄漏
數(shù)據(jù)泄漏被普遍認為是2019年企業(yè)安全最令人擔憂的威脅之一。根據(jù)Ponemon的最新研究,公司在未來兩年內(nèi),至少有28%的概率發(fā)生至少一次數(shù)據(jù)泄露事件。也就是說,幾率是四分之一。
這個問題特別煩人的地方在于,從本質(zhì)上講,它并不是多大的問題。然而,僅是用戶無意間就哪些應(yīng)用程序能夠查看和傳輸其信息做出錯誤建議的問題。
Gartner移動安全研究總監(jiān)Dionisio Zumerle說:“主要的挑戰(zhàn)是如何實施應(yīng)用程序?qū)徍诉^程,而該過程不會使管理員不知所措,也不會使用戶失望。” 他建議使用移動威脅防御(MTD)解決方案,諸如Symantec的Endpoint Protection Mobile,CheckPoint的SandBlast Mobile和Zimperium的zIPS Protection之類的產(chǎn)品。這樣的實用程序會掃描應(yīng)用程序中的“泄漏行為”,并可以自動阻止有問題的進程。
當然,即使那樣也不總能預(yù)防因為用戶低級的錯誤而導(dǎo)致的泄漏,諸如將公司文件傳輸?shù)焦苍拼鎯Ψ?wù),將機密信息粘貼到錯誤的位置或?qū)㈦娮余]件轉(zhuǎn)發(fā)給無關(guān)者。醫(yī)療保健行業(yè)目前也正在努力克服這類困難。根據(jù)專業(yè)保險提供商Beazley的說法,“意外披露”是醫(yī)療保健組織在2018年第三季度報告的數(shù)據(jù)泄露的主要原因。在這段時間內(nèi),該類別與內(nèi)部泄漏的總和幾乎占報告所有事件的一半。
對于這種類型的泄漏,數(shù)據(jù)丟失防護(DLP)工具可能是最有效的保護形式。此類軟件經(jīng)過專門設(shè)計,可防止在意外情況下泄露敏感信息。
二、社會工程
和臺式設(shè)備一樣,在移動端的欺騙策略同樣令人困擾。盡管人們認為可以輕松地避免社會工程的手段,但真正發(fā)生后,它們?nèi)匀痪哂畜@人的效果。
根據(jù)安全公司FireEye的2018年報告,91%的網(wǎng)絡(luò)犯罪始于電子郵件,這個數(shù)字是讓人震驚的。該公司將此類事件稱為“無惡意軟件攻擊”,因為它們依靠假冒等策略誘騙人們單擊危險鏈接或提供敏感信息。該公司表示,網(wǎng)絡(luò)釣魚在2017年期間增長了65%,并且移動用戶面臨巨大的安全風險,因為許多移動電子郵件客戶端只顯示發(fā)件人的姓名,這使得偽造虛假信息特別容易,欺騙用戶以為電子郵件是來自他們認識或信任的人。
根據(jù)IBM的一項研究,實際上,移動設(shè)備上的網(wǎng)絡(luò)釣魚攻擊的可能性是臺式機的三倍,部分原因是人們最容易在手機上看到消息。Verizon的最新研究也證實了該結(jié)論,并補充說,較小的屏幕尺寸以及智能手機上的詳細信息顯示有限(特別是在通知中,現(xiàn)在經(jīng)常包含一鍵式選項以打開鏈接或響應(yīng)消息),這也可能增加網(wǎng)絡(luò)釣魚的成功幾率。
除此之外,在移動電子郵件客戶端中,回復(fù)的按鈕處在顯著的位置,工作人員也傾向于使用以多任務(wù)、不集中的方式使用智能手機,都會擴大影響。而且大多數(shù)Web流量現(xiàn)在通常都在移動設(shè)備上,這也導(dǎo)致了攻擊者將目光轉(zhuǎn)向移動設(shè)備了。
而且,現(xiàn)在不僅是電子郵件了。企業(yè)安全公司W(wǎng)andera在其最新的移動威脅報告中指出,過去一年中83%的網(wǎng)絡(luò)釣魚攻擊都發(fā)生在收件箱之外,比如文本消息或Facebook Messenger和WhatsApp之類的應(yīng)用程序以及各種游戲和社交媒體服務(wù)。
此外,根據(jù)Verizon的最新數(shù)據(jù),雖然只有百分之幾的用戶點擊了與網(wǎng)絡(luò)釣魚相關(guān)的鏈接,視行業(yè)而定,范圍從1%到5%,但Verizon的早期研究表明,那些容易受騙的人傾向于再次上鉤。 該公司指出,某人點擊網(wǎng)絡(luò)釣魚活動鏈接的次數(shù)越多,將來他們再次執(zhí)行此操作的可能性就越大。Verizon之前曾報告說,成功釣魚的用戶中有15%會在同一年至少會被再釣魚一次。
PhishMe的信息安全和反網(wǎng)絡(luò)釣魚策略師John“ Lex” Robinson說:“我們確實看到移動敏感總體上受到移動計算整體增長的推動,以及BYOD工作環(huán)境的持續(xù)增長。” PhishMe是一家用真實世界的模擬來培訓員工識別和應(yīng)對網(wǎng)絡(luò)釣魚的公司。
Robinson指出,工作與個人計算之間的界線也在繼續(xù)模糊。越來越多的員工在智能手機上同時查看多個收件箱,這些收件箱連接了工作和個人賬號,并且?guī)缀趺總€人都在工作日網(wǎng)上操作某些個人業(yè)務(wù)。 因此,從表面上看,似乎個人郵件和工作信息接收如常,而實際上可能暗藏陷阱。
風險只會不斷攀升。 顯然,網(wǎng)絡(luò)騙子現(xiàn)在甚至還利用網(wǎng)絡(luò)釣魚來誘騙人們放棄兩因素身份驗證,一種旨在保護賬號以防未經(jīng)授權(quán)訪問的代碼。轉(zhuǎn)向基于硬件的身份驗證被廣泛認為是提高安全性并減少網(wǎng)絡(luò)釣魚可能性的最有效方法,比如通過專用的物理安全密鑰(例如Google的Titan或Yubico的YubiKeys),或Android手機通過Google的的設(shè)備安全密鑰選項。
根據(jù)Google、紐約大學和加州大學圣地亞哥分校的一項研究,即在設(shè)備上的身份驗證可以阻止99%的批量網(wǎng)絡(luò)釣魚攻擊和90%的針對性攻擊,和同類更可疑的2FA代碼釣魚相比,這些設(shè)備的有效率分別為96%和76%。
三、Wi-Fi干擾
移動設(shè)備的安全性與傳輸數(shù)據(jù)的網(wǎng)絡(luò)一樣。在這個時代,我們不斷地連接到公共Wi-Fi網(wǎng)絡(luò),這意味著我們的信息通常不像我們想象的那樣安全。
這到底有多重要?根據(jù)Wandera的研究,企業(yè)移動設(shè)備使用Wi-Fi幾乎是使用蜂窩數(shù)據(jù)的三倍。近四分之一的設(shè)備已連接到開放且可能不安全的Wi-Fi網(wǎng)絡(luò),并且有4%的設(shè)備在最近一個月內(nèi)遭受了中間人攻擊,即有人惡意攔截了兩方之間的通信。McAfee表示,最近,網(wǎng)絡(luò)欺騙已“急劇增加”,但只有不到一半的人在旅行和依賴公共網(wǎng)絡(luò)時愿意保護自己的連接。
錫拉丘茲大學(Syracuse University)計算機科學教授Kevin Du專門研究智能手機安全性,他說:“如今,對流量進行加密并不難。如果沒有VPN,那么邊界就會敞開許多大門。”
但是,選擇正確的企業(yè)級VPN并非易事。與大多數(shù)安全性考慮一樣,幾乎總是需要進行權(quán)衡。 Gartner的Zumerle指出:“移動設(shè)備的VPN交付需要更加智能,因為最大限度地減少資源(主要是電池)的消耗是至關(guān)重要的。有效的VPN應(yīng)該知道僅在絕對必要時才激活,而不是在用戶訪問新聞?wù)军c之類的東西或在已知安全的應(yīng)用程序中工作時激活。
四、過時的設(shè)備版本
智能手機、平板電腦和較小的連接設(shè)備(通常稱為物聯(lián)網(wǎng)(IoT))給企業(yè)安全帶來了新的風險,因為與傳統(tǒng)的工作設(shè)備不同,它們通常無法保證及時且持續(xù)的軟件更新。尤其是在Android方面,確實如此,因為絕大多數(shù)制造商都無法實時更新,不管是通過操作系統(tǒng)(OS)更新,還是物聯(lián)網(wǎng)設(shè)備每月的安全補丁更新,有些甚至在設(shè)計之初就沒有更新的選擇。
Du說:“其中許多甚至沒有內(nèi)置的修補程序機制,可如今這些威脅正越來越多。”
根據(jù)Ponemon的說法,且不論攻擊的可能性增加了,就移動平臺的廣泛使用而言,就會增加數(shù)據(jù)泄露的總體成本,而豐富的工作相關(guān)的物聯(lián)網(wǎng)產(chǎn)品只會使這一數(shù)字進一步攀升。據(jù)網(wǎng)絡(luò)安全公司雷神公司(Raytheon)稱,物聯(lián)網(wǎng)是“一扇敞開的門”。研究表明,有82%的IT專業(yè)人員預(yù)測,不安全的物聯(lián)網(wǎng)設(shè)備將導(dǎo)致企業(yè)內(nèi)部造成數(shù)據(jù)泄露,這將是很大的一場“災(zāi)難”。
同樣,保障安全的有力政策還有很長的路要走。有些Android設(shè)備確實會及時提醒安全更新。然而,目前的物聯(lián)網(wǎng)安全只能由公司把控。
五、加密劫持攻擊
加密劫持是一種新興的移動威脅攻擊,攻擊者在所有者不知情的情況下使用設(shè)備來挖掘加密貨幣。加密采礦過程使用公司的設(shè)備來獲取他人的利益。它在很大程度上依賴于您的設(shè)備技術(shù)來做到這一點,這意味著受影響的手機可能會經(jīng)歷很長的電池壽命,甚至可能由于組件過熱而遭受損壞。
盡管加密劫持起源于臺式機,但從2017年末到2018年初,移動端數(shù)量激增。根據(jù)Skybox Security的分析,加密貨幣挖礦占2018年上半年所有攻擊的三分之一。與上半年相比,這段時間內(nèi)突出增加了70%。根據(jù)Wandera的報告,在2017年10月至2017年11月之間,針對于移動設(shè)備的加密劫持攻擊數(shù)量爆炸,當時受影響的移動設(shè)備數(shù)量激增了287%。
從那之后,情況有所好轉(zhuǎn),尤其是在移動領(lǐng)域。這主要得益于,在6月和7月從Apple的iOS App Store和與Android相關(guān)的Google Play商店中禁止使用加密貨幣挖礦應(yīng)用程序。安全公司仍然注意到,通過移動網(wǎng)站(甚至只是移動網(wǎng)站上的流氓廣告)和通過從非官方第三方市場下載的應(yīng)用程序,攻擊仍在持續(xù)。
分析師還指出,還可能通過互聯(lián)網(wǎng)連接的機頂盒進行密碼劫持,某些企業(yè)可能將其用于流媒體和視頻播送。根據(jù)安全公司Rapid7的說法,黑客已經(jīng)找到了一種明顯的漏洞利用的方法,該漏洞使Android Debug Bridge(僅用于開發(fā)人員使用的命令行工具)變得易于訪問,并且可以濫用此類產(chǎn)品。
目前,還沒有很好的應(yīng)對辦法。除了仔細選擇設(shè)備并遵守一項政策,即要求用戶只能從平臺的官方店面下載應(yīng)用程序外,這才能大大降低密碼劫持的可能性。而且,考慮到整個行業(yè)正在采取預(yù)防措施,實際上,沒有跡象表明大多數(shù)公司受到任何重大或直接的威脅。盡管如此,隨著2019年的發(fā)展,鑒于過去幾個月在該領(lǐng)域的活動不斷變化和攻擊者興趣不斷上升,加密劫持仍值得一提。
六、密碼安全強度不夠
密碼安全或許已經(jīng)被重視起來了,但是某種程度上,用戶仍然無法保護好其賬號的安全。當他們同時攜帶包含公司賬號和個人登錄信息的手機時,這尤其成問題。
最近的一項谷歌和哈里斯民意調(diào)查發(fā)現(xiàn),根據(jù)調(diào)查的樣本,超過一半的美國人,重復(fù)使用多個賬號密碼;將近三分之一沒有使用2FA(或者不知道他們是否正在使用2FA);只有四分之一的人有積極使用密碼管理器,這表明絕大多數(shù)人在大多數(shù)地方可能沒有特別強的密碼,因為他們大概是自己生成的。
根據(jù)2018年LastPass的分析,有一半的專業(yè)人士在工作賬號和個人賬號中使用相同的密碼。此外,分析發(fā)現(xiàn),一個普通的員工在他的工作過程中與一個同事共享大約六個密碼。
2017年,Verizon發(fā)現(xiàn),較弱的或被盜的密碼超過80%應(yīng)歸咎于與黑客相關(guān)的企業(yè)數(shù)據(jù)泄露行為。特別是在移動設(shè)備(員工希望快速登錄到各種應(yīng)用程序、網(wǎng)站和服務(wù))中,即使只有一個人粗心地在零售網(wǎng)站、聊天APP或消息論壇上輸入公司賬號的相同密碼,這時候也要考慮對組織數(shù)據(jù)的風險。現(xiàn)在,將這種風險與前面提到的Wi-Fi干擾風險相結(jié)合,將其乘以工作場所中的員工總數(shù),接著就會發(fā)現(xiàn)潛在風險的暴露點迅速增加。在谷歌和哈里斯民意調(diào)查中,有69%的受訪者在有效保護其網(wǎng)絡(luò)賬號上給了“ A”或“ B”。顯然,這不可信。
七、物理設(shè)備導(dǎo)致泄露
丟失或無人看管的設(shè)備可能是主要的安全風險,尤其是如果它沒有強大的PIN或密碼以及完整的數(shù)據(jù)加密時。
在2016年的Ponemon研究中,35%的專業(yè)人員表示他們的工作設(shè)備沒有強制性的措施來保護可訪問的公司數(shù)據(jù)。更糟糕的是,將近一半的受訪者表示他們沒有密碼、PIN或生物特征安全保護設(shè)備。大約三分之二的受訪者表示他們不使用加密。68%的受訪者表示,他們有時會在其移動設(shè)備訪問的個人和工作賬號,并在兩者之間共享密碼。
在2019年移動威脅態(tài)勢分析中,Wandera發(fā)現(xiàn)43%的公司中至少有一部智能手機沒有任何鎖屏安全性。在其設(shè)備上設(shè)置了密碼或PIN的用戶中,許多人會選擇使用最少的四個字符的密碼。
因此,僅將責任放在用戶手中是不夠的。不要做假設(shè),要制定政策。
八、移動廣告欺詐
根據(jù)互動廣告局(IAB)的報告,移動廣告產(chǎn)生了大量收入,僅在2019年上半年就達到了579億美元。網(wǎng)絡(luò)犯罪分子也會想從中分一杯羹。因此,他們找到了從移動廣告收入流中竊取現(xiàn)金的方法也就不足為奇了。估計廣告欺詐成本會有多少不同,但Juniper Research預(yù)計到2023年每年將損失1000億美元。
廣告欺詐可以采取多種形式,但最常見的是使用惡意軟件來產(chǎn)生對廣告的點擊,這些點擊似乎來自使用合法應(yīng)用程序或網(wǎng)站的合法用戶。例如,用戶可能會下載提供合法服務(wù)(例如天氣預(yù)報或消息傳遞)的應(yīng)用。但是,在后臺,該應(yīng)用會對在該應(yīng)用上顯示的合法廣告產(chǎn)生欺詐性點擊。發(fā)布商通常會根據(jù)其產(chǎn)生的廣告點擊次數(shù)來付費,因此,移動廣告欺詐行為會竊取公司的廣告預(yù)算,并可能竊取發(fā)布商的收入。
最大的受害者是移動廣告商和受廣告支持的發(fā)布商,但廣告欺詐行為也確實損害了移動用戶。與加密劫持一樣,廣告欺詐惡意軟件會在后臺運行,并可能降低智能手機的性能,耗盡其電池電量,導(dǎo)致更高的數(shù)據(jù)費用或引起過熱。安全供應(yīng)商Upstream估計,由于移動廣告惡意軟件帶來的更高數(shù)據(jù)費用,智能手機用戶每年損失數(shù)百萬美元。
到目前為止,Android是最流行的移動廣告欺詐平臺。根據(jù)Upstream,以下是常見的Android惡意應(yīng)用程序:
- Snaptube
- GPS Speedometer
- Messenger Plus的免費消息、視頻、聊天、文本
- Easy Scanner
- Weather Forecast
- Super Calculator
- Who Unfriended Me
- VidMate
- Quicktouch
Upstream報告建議用戶:
- 定期檢查應(yīng)用程序,并刪除任何看起來可疑的應(yīng)用程序;
- 監(jiān)視數(shù)據(jù)使用情況以發(fā)現(xiàn)異常尖峰;
- 僅從Google Play安裝應(yīng)用;
- 在安裝之前,請檢查應(yīng)用程序的評論,開發(fā)人員詳細信息以及請求的權(quán)限列表,以確保它們均適用于其本身的用途。
