移动安全如今已经成为了所有企业最担心的问题之一。这是有充分理由的:几乎所有员工都会定期从智能手机上获取公司数据。由于疫情在全球范围内的持续流行,这种情况变得更加突出。与公司数据交互的绝大多数设备现在都是移动设备。事实上,据市场调查机构Zimperium调查,目前这一比例约为60%。随着远程办公逐渐普及,这个数字必然还会不断增长。
所有这一切都意味着防范敏感信息被不法分子掌握的难题正变得越来越复杂。可以说,目前的风险比以往任何时候都高。Ponemon研究所在2020年的一份报告中评估认为,企业数据泄露的平均成本高达386万美元。这比三年前的评估结果高出了6.4%。考虑到在家远程办公带来的额外挑战,新冠肺炎疫情将会使得这一费用进一步上升。
虽然人们很容易联想到恶意软件,但事实是,手机恶意软件感染在现实世界中并不常见,被感染的几率大大低于被闪电击中的几率。Verizon在《2020年数据泄露调查报告》中指出,恶意软件是数据泄露事件中最不常见的初始行为之一。这主要得益于移动恶意软件的本质和内置于现代移动操作系统中的固有保护。
更为现实的是移动安全隐患存在于一些经常被忽视的领域,在未来几个月中这些领域中的问题将会变得更加紧迫:
社交工程
在新冠肺炎疫情期间,这种古老的诡计比以往任何时候都更加令人不安,移动领域尤其如此。Zimperium称,自疫情暴发后,网络钓鱼攻击已经增加了6倍,移动设备已经成为了主要目标,尤其是打着疫情幌子的攻击正在增长。
Zimperium负责安全研究的副总裁Nico Chiaraviglio说:“攻击者知道人们在家工作,并且花在移动设备上的时间越来越多。同时他们还知道,这些移动设备并不像传统电脑那样采取了严格的防范措施。在攻击者眼里,这无疑是一块肥肉。”
在这种大环境中,没有企业可以独善其身。安全公司FireEye在一份报告中指出,91%的网络犯罪始于电子邮件。他们将此类事件称为“无恶意软件攻击”,因为它们只依靠模仿等手段诱使人们点击危险链接或提供敏感信息。FireEye表示,网络钓鱼在过去几年里发展迅速,移动用户上当的风险最大,因为许多移动电子邮件客户端只显示发件人的姓名,这使得伪造邮件和让受害者特别容易误以为邮件来自他们认识或信任的人。
更重要的是,尽管人们认为社交工程可以很容易被识破,但是这种攻击方式在移动领域仍然非常有效。IBM的一项研究表明,用户对移动设备上的网络钓鱼攻击的响应率是台式机的3倍,部分原因在于手机是人们最有可能首先看到信息的地方。Verizon的研究也支持这一结论,同时Verizon还补充指出,智能手机较小的屏幕尺寸造成详细信息显示有限(特别是在通知中,而通知中通常又含有打开链接或回复消息的点击选项),这也增加了钓鱼成功的可能性。
除此之外,移动电子邮件客户端中的操作按钮设计的过于醒目,工作人员倾向于使用智能手机以及使用时并不专注都放大了这种效果。大多数网络流量现在都发生在移动设备上,这一事实只会进一步吸引攻击者瞄准这一前沿。
虽然Verizon的最新数据显示,只有约3.4%的用户实际点击了与网络钓鱼相关的链接,但是他们的早期研究表明,那些容易上当受骗的员工往往并不是第一次受到攻击。人们点击网络钓鱼活动链接的次数越多,将来再次点击的可能性就越大。Verizon曾经指出,15%被成功钓鱼的受害者在同一年内至少会再上当一次。
PhishMe为一家利用模拟真实环境来训练员工识别和应对网络钓鱼攻击的公司,其信息安全和反钓鱼策略师John“Lex”Robinson说:“移动计算总体增长和BYOD工作环境的持续增长也推动了这种攻击的增长。”
Robinson指出,如今工作设备和个人设备之间的界限也在不断模糊。越来越多的员工会在智能手机上同时查看多个收件箱。这些收件箱连接着工作账户和个人账户,并且几乎所有人在工作日都会在网上处理某种形式的个人业务(即使没有疫情和在家远程办公,情况依然如此)。因此,除了与工作相关的邮件外,员工同时接收私人邮件的情况从表面上看并不奇怪,但实际上这可能是攻击者的一个诡计。
攻击者的手法也在不断翻新。这些网络骗子现在甚至会利用网络钓鱼来欺骗人们放弃使用双因素身份验证码,而双因素身份验证正是为了保护账户不受未经授权的访问。基于硬件的身份验证目前被公认为是提高安全性和降低网络钓鱼成功机率的最有效方法,如通过专用物理安全密钥(谷歌的Titan或Yubico的YubiKeys)或通过谷歌的设备安全密钥选项。
据谷歌、纽约大学和加州大学圣地亚哥分校进行的一项研究显示,设备上的身份验证可以阻止99%的批量钓鱼攻击和90%的目标攻击。相比之下,使用更易受钓鱼攻击影响的传统2FA代码阻止同类攻击的有效率分别为96%和76%。
除此之外,防止企业员工成为下一个网络钓鱼受害者的最明智的方法是针对手机使用的培训和精心挑选的网络钓鱼检测软件。Zimperium的Chiaraviglio说:“员工是攻击链条上最薄弱的一环。”
数据泄漏
数据泄漏被广泛地认为是2021年企业安全面临的最令人担忧的威胁之一,也是最昂贵的威胁之一。IBM和Ponemon Institute的最新研究成果显示,一个远程团队可以使数据泄露防护的平均成本增加13.7万美元。
这个问题的棘手之处在于,其本身并不是罪恶的。相反,这是一个用户不经意间就哪些应用程序能够查看和传输他们的信息做出了不明智的决定。
市场研究机构Gartner的移动安全研究总监Dionisio Zumerle说:“主要的挑战是如何实施一个既不会让管理员不知所措,又不会让用户失望的应用程序审查流程。”他建议使用移动威胁防御(MTD)解决方案,例如Symantec的Endpoint Protection Mobile、CheckPoint的SandBlast Mobile和Zimperium的zIPS Protection。Zumerle认为,这些程序可以扫描应用程序的“泄漏行为”,并可以自动阻止有问题的进程。
即使这样,也不一定能够覆盖明显的用户错误导致的泄露,比如将公司文件传输到公有云存储服务、将机密信息粘贴到错误的位置,或者将电子邮件转发给错误的收件人。对于这种类型的泄漏,数据丢失防护(DLP)工具可能是最有效的保护措施。此类软件的设计明确旨在防止敏感信息的暴露,包括意外情况。
Wi-Fi干扰攻击
移动设备和传输数据的网络的安全性同样重要。如今,我们都在不断地连接到可能没有最佳安全保护的网络。无论是配置不当的家庭网络,还是公共Wi-Fi网络,信息往往没有像我们想象的那样受到保护。
根据Wandera的研究显示,在一年当中,企业移动设备使用Wi-Fi的数量几乎是使用蜂窝数据的3倍。近1/4的设备连接到开放且可能不安全的Wi-Fi网络上,4%的设备在平均一个月就会遭遇中间人攻击(即有人恶意拦截双方的通信)。在过去的一年里,这些数字有所下降,原因是旅游减少,在疫情期间开设的实体企业减少,但是这并不意味着这种威胁已经消失,也不意味着没有必要保持领先地位,即使员工大多在家工作。
Wandera的产品副总裁Michael Covington说:“我们建议企业采取更积极主动的方法来保护远程连接,而不是在发现了中间人攻击后再做出反应。为了提高Wi-Fi安全性,企业能做的最简单的事情就是为远程办公采用零信任网络接入模式。”
过时的设备
智能手机、平板电脑和小型互联设备(物联网)给企业安全带来了风险,因为与传统的工作设备不同,它们通常不能保证及时和持续的软件更新。这一点在安卓平台尤为明显,在安卓平台,绝大多数制造商在保持产品最新(无论是操作系统更新还是每月安全补丁)方面效率低下。物联网设备情况也是如此,许多设备甚至都没有设计获取更新的功能。
专门研究智能手机安全问题的锡拉丘兹大学的计算机科学教授Kevin Du说:“许多手机甚至没有内置补丁机制,而这正成为当今越来越大的威胁。”
Wandera的研究显示,2020年约28%的企业设备不仅使用过时的操作系统软件,而且还在使用存在已知安全漏洞的软件。Covington说:“尽管允许远程工作者使用更多非托管设备是一个大趋势,但是目前的情况让人们已经注意到,当安全态势变得过于宽松,这将成为真正风险。”
更让人担心的是,Wandera的数据显示,自疫情以来,人们在工作时间内浏览“不适当内容”的情况增长了一倍。这类网站因试图诱使访问者下载可疑内容而臭名昭著。因为没有适当的保护措施,过时的操作系统只会让情况变得更加危险。
Ponemon在研究报告中指出,除了攻击可能性增加之外,移动平台的广泛使用提高了数据泄露的总体成本,大量与工作相关的物联网产品只会导致这一数字持续飙升。正如网络安全公司Raytheon指出的那样,物联网是一扇“敞开的门”。Raytheon赞助的一项研究显示,82%的IT专业人士预测,不安全的物联网设备会在他们的组织机构出现数据泄露,并且后果很可能是“灾难性的”。
一个强有力的政策出台可能需要很长时间。一些安卓设备已经能收到了及时可靠的持续更新,这些措施可以提升几乎所有手机的安全性。当物联网领域不再是一片荒芜沙漠之前,企业必须在自己周围建立起自己的安全网。
糟糕的密码设置
我们可能认为自己现在已经不存在这种问题了,但是现实情况是许多用户仍然没有妥善保护好自己的账户。当用户使用同时包含有公司账户和个人账户的手机时,这就会成问题。
谷歌和Harris Poll开展的一项调查显示,超过一半的美国人会在多个账户上使用相同的密码。近1/3的人没有使用2FA(双因素认证)。只有1/4的人员在使用密码管理器,这表明绝大多数人在大多数地方可能没有设置高强度密码,因为他们主要是凭借自己的想像和记忆力设置和记忆密码。
据LastPass的分析显示,半数的专业人士承认自己在工作账户和个人账户上使用的密码是相同的。分析还发现,一名普通员工在受雇期间会与同事共享大约6个密码。
Verizon在2017年发现,企业中80%以上因黑客攻击造成的数据泄露都要归咎于密码强度脆弱或是密码被盗。在移动设备上这种情况尤为严重,因为员工希望快速登录应用程序、网站和服务。我们可以想像一下,如果员工在零售网站、聊天应用程序或消息论坛中输入的密码与他们在公司账户中的密码相同,会给公司数据带来什么样的风险。现在若是把这个风险和前面提到的Wi-Fi干扰攻击风险结合起来,再乘以工作场所中的员工总数,那些暴露风险无疑将迅速成倍地增加。
大多数人似乎完全忘记了他们在这方面的疏忽。在谷歌和Harris Poll的调查中,69%的受访者在有效保护自己的在线账户方面给自己的评价是“A”或“B”。显然,我们不能相信用户自己的风险评估。
移动广告欺诈
eMarketer最近的预测显示,移动广告已经让广告商们赚得盆满钵满。2021年,即便疫情导致开支放缓,这一总额仍可能会超过1170亿美元。网络犯罪分子也盯上了这些钱,为此他们想法设法地从中牟利也就不足为奇了。虽然各个研究机构对广告欺诈成本的估计各不相同,但是Juniper Research预测,到2023年,每年损失的金额为1000亿美元。
广告欺诈可以采取多种形式,最常见的是使用恶意软件在广告上生成点击,这些点击看起来都是来自使用合法应用程序或网站的真实用户。例如,用户可能会下载一个应用程序,该应用程序提供了一个看似有效的服务,如天气预报或消息。不过,在后台,该应用程序会在出现的常规广告上产生欺诈性点击。广告商通常是根据所产生的广告点击量来付费的,因此移动广告欺诈不仅骗取了公司的广告预算,同时也骗取了广告商的收入。
虽然广告商和广告投放公司可能是最明显的受害者,但是广告欺诈也会伤害移动用户。广告欺诈恶意软件会在后台运行,从而导致智能手机过热、性能下降、耗电量增加,以及高额的数据费用。通过跟踪数据,安全服务商Upstream估计,智能手机用户(或是为设备支付账单的公司)每年损失数百万美元,移动广告恶意软件导致的直接结果是高额的数据费用。
Wandera的数据显示,出现这类问题的主要平台是安卓平台。虽然安装在安卓设备上的应用程序受到这类攻击的可能性是苹果iOS手机的5.3倍,但是这并不意味着这些影响是不可避免的。
正如移动安全领域的许多事情一样,常识能起到很大的作用。除了制订仅允许用户从官方应用商店下载应用程序的政策外,企业在员工教育方面可以强调一些基础知识,比如查看应用程序的评论、请求的权限和开发人员历史记录,以确保在安装应用程序之前,有关应用程序的所有内容看起来都是合规的。从IT的角度来看,监控数据使用情况发现异常峰值也有助于及早发现潜在的问题。
挖矿劫持攻击
挖矿劫持是一种攻击类型。在这种攻击当中,攻击者在受害者不知情的情况下使用受害者的设备挖掘加密货币。和移动广告欺诈一样,挖矿劫持攻击是利用受害者的设备为攻击者牟利。这意味着受影响的手机可能会出现电池寿命差,甚至会出现手机因组件过热而损坏的情况。
虽然挖矿劫持起源于台式机,但是移动设备上的挖矿劫持攻击从2017年底到2018年初出现了激增的情况。Skybox Security的分析报告显示,在2018年上半年的所有攻击中,加密货币挖掘攻击占了1/3,与上半年相比增加了70%。Wandera的报告显示,2017年秋季,针对移动设备的挖矿劫持攻击出现了爆发,受影响的移动设备数量激增287%。
此后情况有所减少,尤其是在移动领域。这主要得益于几年前苹果iOS应用商店和谷歌Play商店都禁止了加密货币挖掘应用。不过,一些安全公司指出,这类攻击通过移动网站和非官方的第三方市场下载的应用程序仍然取得了一定程度的成功。
Verizon的数据显示,与加密货币相关的攻击目前约占企业恶意软件问题的2.5%。约10%的公司报告了相关的安全问题。Verizon推测实际发生率可能更高,因为许多此类攻击没有被报告。
目前,对于此类攻击,除了谨慎选择设备和严格要求用户只能从平台官方店面下载应用程序的政策外,还没有什么好的解决办法。
物理设备的管理漏洞
这个问题虽然列在最后,但是并不意味着这个问题不重要。丢失或无人看管的设备可能是一个重大的安全风险,特别是在它们没有一个强大的密码和完整的数据加密的情况下。尽管这个问题看起来特别愚蠢,但是仍然是令人不安的现实威胁。
Ponemon在2016年的研究中就已经指出,35%的专业人士表示他们的工作设备没有强制措施来保护可访问的企业数据。更糟糕的是,近一半的受访者表示,他们的设备没有设置密码或生物特征安全保护,约2/3的人表示他们没有使用加密措施。68%的受访者表示,他们有时会在通过移动设备访问的个人账户和工作账户,并且两个账户使用的是相同的密码。
虽然自报告公布之后情况有所改善,但是Wandera在其2020年移动威胁形势分析中指出,3%的工作设备仍然没有使用锁屏功能。更令人不安的是,在此问题上没有得到适当保护的设备上发现其他威胁的机率非常高。少量的个人用户漏洞就可以造成公司的巨大麻烦,这一点已经得到了验证。教训非常简单,把责任交给用户是不够的。不要假设,要制定相应的政策。事后,你会庆幸自己当初的明智决定。
嗨,这是一条评论。
要开始审核、编辑及删除评论,请访问仪表盘的“评论”页面。
评论者头像来自Gravatar。