移動安全如今已經成為了所有企業最擔心的問題之一。這是有充分理由的：幾乎所有員工都會定期從智能手機上獲取公司數據。由于疫情在全球范圍內的持續流行，這種情況變得更加突出。與公司數據交互的絕大多數設備現在都是移動設備。事實上，據市場調查機構Zimperium調查，目前這一比例約為60%。隨著遠程辦公逐漸普及，這個數字必然還會不斷增長。

所有這一切都意味著防范敏感信息被不法分子掌握的難題正變得越來越復雜。可以說，目前的風險比以往任何時候都高。Ponemon研究所在2020年的一份報告中評估認為，企業數據泄露的平均成本高達386萬美元。這比三年前的評估結果高出了6.4%。考慮到在家遠程辦公帶來的額外挑戰，新冠肺炎疫情將會使得這一費用進一步上升。

雖然人們很容易聯想到惡意軟件，但事實是，手機惡意軟件感染在現實世界中并不常見，被感染的幾率大大低于被閃電擊中的幾率。Verizon在《2020年數據泄露調查報告》中指出，惡意軟件是數據泄露事件中最不常見的初始行為之一。這主要得益于移動惡意軟件的本質和內置于現代移動操作系統中的固有保護。

[[399771]]

更為現實的是移動安全隱患存在于一些經常被忽視的領域，在未來幾個月中這些領域中的問題將會變得更加緊迫：

01、社交工程

在新冠肺炎疫情期間，這種古老的詭計比以往任何時候都更加令人不安，移動領域尤其如此。Zimperium稱，自疫情暴發后，網絡釣魚攻擊已經增加了6倍，移動設備已經成為了主要目標，尤其是打著疫情幌子的攻擊正在增長。

Zimperium負責安全研究的副總裁Nico Chiaraviglio說：“攻擊者知道人們在家工作，并且花在移動設備上的時間越來越多。同時他們還知道，這些移動設備并不像傳統電腦那樣采取了嚴格的防范措施。在攻擊者眼里，這無疑是一塊肥肉。”

在這種大環境中，沒有企業可以獨善其身。安全公司FireEye在一份報告中指出，91%的網絡犯罪始于電子郵件。他們將此類事件稱為“無惡意軟件攻擊”，因為它們只依靠模仿等手段誘使人們點擊危險鏈接或提供敏感信息。FireEye表示，網絡釣魚在過去幾年里發展迅速，移動用戶上當的風險最大，因為許多移動電子郵件客戶端只顯示發件人的姓名，這使得偽造郵件和讓受害者特別容易誤以為郵件來自他們認識或信任的人。

更重要的是，盡管人們認為社交工程可以很容易被識破，但是這種攻擊方式在移動領域仍然非常有效。IBM的一項研究表明，用戶對移動設備上的網絡釣魚攻擊的響應率是臺式機的3倍，部分原因在于手機是人們最有可能首先看到信息的地方。Verizon的研究也支持這一結論，同時Verizon還補充指出，智能手機較小的屏幕尺寸造成詳細信息顯示有限(特別是在通知中，而通知中通常又含有打開鏈接或回復消息的點擊選項)，這也增加了釣魚成功的可能性。

除此之外，移動電子郵件客戶端中的操作按鈕設計的過于醒目，工作人員傾向于使用智能手機以及使用時并不專注都放大了這種效果。大多數網絡流量現在都發生在移動設備上，這一事實只會進一步吸引攻擊者瞄準這一前沿。

PhishMe為一家利用模擬真實環境來訓練員工識別和應對網絡釣魚攻擊的公司，其信息安全和反釣魚策略師John“Lex”Robinson說：“移動計算總體增長和BYOD工作環境的持續增長也推動了這種攻擊的增長。”

Robinson指出，如今工作設備和個人設備之間的界限也在不斷模糊。越來越多的員工會在智能手機上同時查看多個收件箱。這些收件箱連接著工作賬戶和個人賬戶，并且幾乎所有人在工作日都會在網上處理某種形式的個人業務(即使沒有疫情和在家遠程辦公，情況依然如此)。因此，除了與工作相關的郵件外，員工同時接收私人郵件的情況從表面上看并不奇怪，但實際上這可能是攻擊者的一個詭計。

[[399772]]

攻擊者的手法也在不斷翻新。這些網絡騙子現在甚至會利用網絡釣魚來欺騙人們放棄使用雙因素身份驗證碼，而雙因素身份驗證正是為了保護賬戶不受未經授權的訪問。基于硬件的身份驗證目前被公認為是提高安全性和降低網絡釣魚成功機率的最有效方法，如通過專用物理安全密鑰(谷歌的Titan或Yubico的YubiKeys)或通過谷歌的設備安全密鑰選項。

據谷歌、紐約大學和加州大學圣地亞哥分校進行的一項研究顯示，設備上的身份驗證可以阻止99%的批量釣魚攻擊和90%的目標攻擊。相比之下，使用更易受釣魚攻擊影響的傳統2FA代碼阻止同類攻擊的有效率分別為96%和76%。

除此之外，防止企業員工成為下一個網絡釣魚受害者的最明智的方法是針對手機使用的培訓和精心挑選的網絡釣魚檢測軟件。Zimperium的Chiaraviglio說：“員工是攻擊鏈條上最薄弱的一環。”

02、數據泄漏

數據泄漏被廣泛地認為是2021年企業安全面臨的最令人擔憂的威脅之一，也是最昂貴的威脅之一。IBM和Ponemon Institute的最新研究成果顯示，一個遠程團隊可以使數據泄露防護的平均成本增加13.7萬美元。

這個問題的棘手之處在于，其本身并不是罪惡的。相反，這是一個用戶不經意間就哪些應用程序能夠查看和傳輸他們的信息做出了不明智的決定。

市場研究機構Gartner的移動安全研究總監Dionisio Zumerle說：“主要的挑戰是如何實施一個既不會讓管理員不知所措，又不會讓用戶失望的應用程序審查流程。”他建議使用移動威脅防御(MTD)解決方案，例如Symantec的Endpoint Protection Mobile、CheckPoint的SandBlast Mobile和Zimperium的zIPS Protection。Zumerle認為，這些程序可以掃描應用程序的“泄漏行為”，并可以自動阻止有問題的進程。

即使這樣，也不一定能夠覆蓋明顯的用戶錯誤導致的泄露，比如將公司文件傳輸到公有云存儲服務、將機密信息粘貼到錯誤的位置，或者將電子郵件轉發給錯誤的收件人。對于這種類型的泄漏，數據丟失防護(DLP)工具可能是最有效的保護措施。此類軟件的設計明確旨在防止敏感信息的暴露，包括意外情況。

03、Wi-Fi干擾攻擊

移動設備和傳輸數據的網絡的安全性同樣重要。如今，我們都在不斷地連接到可能沒有最佳安全保護的網絡。無論是配置不當的家庭網絡，還是公共Wi-Fi網絡，信息往往沒有像我們想象的那樣受到保護。

根據Wandera的研究顯示，在一年當中，企業移動設備使用Wi-Fi的數量幾乎是使用蜂窩數據的3倍。近1/4的設備連接到開放且可能不安全的Wi-Fi網絡上，4%的設備在平均一個月就會遭遇中間人攻擊(即有人惡意攔截雙方的通信)。在過去的一年里，這些數字有所下降，原因是旅游減少，在疫情期間開設的實體企業減少，但是這并不意味著這種威脅已經消失，也不意味著沒有必要保持領先地位，即使員工大多在家工作。

Wandera的產品副總裁Michael Covington說：“我們建議企業采取更積極主動的方法來保護遠程連接，而不是在發現了中間人攻擊后再做出反應。為了提高Wi-Fi安全性，企業能做的最簡單的事情就是為遠程辦公采用零信任網絡接入模式。”

04、過時的設備

智能手機、平板電腦和小型互聯設備(物聯網)給企業安全帶來了風險，因為與傳統的工作設備不同，它們通常不能保證及時和持續的軟件更新。這一點在安卓平臺尤為明顯，在安卓平臺，絕大多數制造商在保持產品最新(無論是操作系統更新還是每月安全補丁)方面效率低下。物聯網設備情況也是如此，許多設備甚至都沒有設計獲取更新的功能。

專門研究智能手機安全問題的錫拉丘茲大學的計算機科學教授Kevin Du說：“許多手機甚至沒有內置補丁機制，而這正成為當今越來越大的威脅。”

[[399773]]

Wandera的研究顯示，2020年約28%的企業設備不僅使用過時的操作系統軟件，而且還在使用存在已知安全漏洞的軟件。Covington說：“盡管允許遠程工作者使用更多非托管設備是一個大趨勢，但是目前的情況讓人們已經注意到，當安全態勢變得過于寬松，這將成為真正風險。”

更讓人擔心的是，Wandera的數據顯示，自疫情以來，人們在工作時間內瀏覽“不適當內容”的情況增長了一倍。這類網站因試圖誘使訪問者下載可疑內容而臭名昭著。因為沒有適當的保護措施，過時的操作系統只會讓情況變得更加危險。

Ponemon在研究報告中指出，除了攻擊可能性增加之外，移動平臺的廣泛使用提高了數據泄露的總體成本，大量與工作相關的物聯網產品只會導致這一數字持續飆升。正如網絡安全公司Raytheon指出的那樣，物聯網是一扇“敞開的門”。Raytheon贊助的一項研究顯示，82%的IT專業人士預測，不安全的物聯網設備會在他們的組織機構出現數據泄露，并且后果很可能是“災難性的”。

一個強有力的政策出臺可能需要很長時間。一些安卓設備已經能收到了及時可靠的持續更新，這些措施可以提升幾乎所有手機的安全性。當物聯網領域不再是一片荒蕪沙漠之前，企業必須在自己周圍建立起自己的安全網。

05、糟糕的密碼設置

我們可能認為自己現在已經不存在這種問題了，但是現實情況是許多用戶仍然沒有妥善保護好自己的賬戶。當用戶使用同時包含有公司賬戶和個人賬戶的手機時，這就會成問題。

谷歌和Harris Poll開展的一項調查顯示，超過一半的美國人會在多個賬戶上使用相同的密碼。近1/3的人沒有使用2FA(雙因素認證)。只有1/4的人員在使用密碼管理器，這表明絕大多數人在大多數地方可能沒有設置高強度密碼，因為他們主要是憑借自己的想像和記憶力設置和記憶密碼。

據LastPass的分析顯示，半數的專業人士承認自己在工作賬戶和個人賬戶上使用的密碼是相同的。分析還發現，一名普通員工在受雇期間會與同事共享大約6個密碼。

Verizon在2017年發現，企業中80%以上因黑客攻擊造成的數據泄露都要歸咎于密碼強度脆弱或是密碼被盜。在移動設備上這種情況尤為嚴重，因為員工希望快速登錄應用程序、網站和服務。我們可以想像一下，如果員工在零售網站、聊天應用程序或消息論壇中輸入的密碼與他們在公司賬戶中的密碼相同，會給公司數據帶來什么樣的風險。現在若是把這個風險和前面提到的Wi-Fi干擾攻擊風險結合起來，再乘以工作場所中的員工總數，那些暴露風險無疑將迅速成倍地增加。

大多數人似乎完全忘記了他們在這方面的疏忽。在谷歌和Harris Poll的調查中，69%的受訪者在有效保護自己的在線賬戶方面給自己的評價是“A”或“B”。顯然，我們不能相信用戶自己的風險評估。

06、移動廣告欺詐

eMarketer最近的預測顯示，移動廣告已經讓廣告商們賺得盆滿缽滿。2021年，即便疫情導致開支放緩，這一總額仍可能會超過1170億美元。網絡犯罪分子也盯上了這些錢，為此他們想法設法地從中牟利也就不足為奇了。雖然各個研究機構對廣告欺詐成本的估計各不相同，但是Juniper Research預測，到2023年，每年損失的金額為1000億美元。

廣告欺詐可以采取多種形式，最常見的是使用惡意軟件在廣告上生成點擊，這些點擊看起來都是來自使用合法應用程序或網站的真實用戶。例如，用戶可能會下載一個應用程序，該應用程序提供了一個看似有效的服務，如天氣預報或消息。不過，在后臺，該應用程序會在出現的常規廣告上產生欺詐性點擊。廣告商通常是根據所產生的廣告點擊量來付費的，因此移動廣告欺詐不僅騙取了公司的廣告預算，同時也騙取了廣告商的收入。

[[399774]]

雖然廣告商和廣告投放公司可能是最明顯的受害者，但是廣告欺詐也會傷害移動用戶。廣告欺詐惡意軟件會在后臺運行，從而導致智能手機過熱、性能下降、耗電量增加，以及高額的數據費用。通過跟蹤數據，安全服務商Upstream估計，智能手機用戶(或是為設備支付賬單的公司)每年損失數百萬美元，移動廣告惡意軟件導致的直接結果是高額的數據費用。

Wandera的數據顯示，出現這類問題的主要平臺是安卓平臺。雖然安裝在安卓設備上的應用程序受到這類攻擊的可能性是蘋果iOS手機的5.3倍，但是這并不意味著這些影響是不可避免的。

正如移動安全領域的許多事情一樣，常識能起到很大的作用。除了制訂僅允許用戶從官方應用商店下載應用程序的政策外，企業在員工教育方面可以強調一些基礎知識，比如查看應用程序的評論、請求的權限和開發人員歷史記錄，以確保在安裝應用程序之前，有關應用程序的所有內容看起來都是合規的。從IT的角度來看，監控數據使用情況發現異常峰值也有助于及早發現潛在的問題。

07、挖礦劫持攻擊

挖礦劫持是一種攻擊類型。在這種攻擊當中，攻擊者在受害者不知情的情況下使用受害者的設備挖掘加密貨幣。和移動廣告欺詐一樣，挖礦劫持攻擊是利用受害者的設備為攻擊者牟利。這意味著受影響的手機可能會出現電池壽命差，甚至會出現手機因組件過熱而損壞的情況。

雖然挖礦劫持起源于臺式機，但是移動設備上的挖礦劫持攻擊從2017年底到2018年初出現了激增的情況。Skybox Security的分析報告顯示，在2018年上半年的所有攻擊中，加密貨幣挖掘攻擊占了1/3，與上半年相比增加了70%。Wandera的報告顯示，2017年秋季，針對移動設備的挖礦劫持攻擊出現了爆發，受影響的移動設備數量激增287%。

此后情況有所減少，尤其是在移動領域。這主要得益于幾年前蘋果iOS應用商店和谷歌Play商店都禁止了加密貨幣挖掘應用。不過，一些安全公司指出，這類攻擊通過移動網站和非官方的第三方市場下載的應用程序仍然取得了一定程度的成功。

Verizon的數據顯示，與加密貨幣相關的攻擊目前約占企業惡意軟件問題的2.5%。約10%的公司報告了相關的安全問題。Verizon推測實際發生率可能更高，因為許多此類攻擊沒有被報告。

目前，對于此類攻擊，除了謹慎選擇設備和嚴格要求用戶只能從平臺官方店面下載應用程序的政策外，還沒有什么好的解決辦法。

08、物理設備的管理漏洞

這個問題雖然列在最后，但是并不意味著這個問題不重要。丟失或無人看管的設備可能是一個重大的安全風險，特別是在它們沒有一個強大的密碼和完整的數據加密的情況下。盡管這個問題看起來特別愚蠢，但是仍然是令人不安的現實威脅。

Ponemon在2016年的研究中就已經指出，35%的專業人士表示他們的工作設備沒有強制措施來保護可訪問的企業數據。更糟糕的是，近一半的受訪者表示，他們的設備沒有設置密碼或生物特征安全保護，約2/3的人表示他們沒有使用加密措施。68%的受訪者表示，他們有時會在通過移動設備訪問的個人賬戶和工作賬戶，并且兩個賬戶使用的是相同的密碼。

雖然自報告公布之后情況有所改善，但是Wandera在其2020年移動威脅形勢分析中指出，3%的工作設備仍然沒有使用鎖屏功能。更令人不安的是，在此問題上沒有得到適當保護的設備上發現其他威脅的機率非常高。少量的個人用戶漏洞就可以造成公司的巨大麻煩，這一點已經得到了驗證。教訓非常簡單，把責任交給用戶是不夠的。不要假設，要制定相應的政策。事后，你會慶幸自己當初的明智決定。