如今,几乎每个办公室员工都携带移动手机进出,并且大多数时候,这些设备都是非常先进的智能手机,例如Android手机、黑莓设备或者苹果公司的iPhone。员工几乎从来没有考虑过携带连接设备进入公司的安全隐患。
然而这种趋势并没有逃脱首席安全官和信息技术管理员的关注。智能手机在企业内部提供了很多便利,但是安全团队并没有找到办法来保护这些设备的安全。
移动设备安全公司Lookout公司的首席执行官John Hering表示,“他们花了大量资源(包括时间和金钱)来保护他们的企业网络和传统网络安全外围,但是对于获取访问企业机密数据的访问权限的移动设备,他们却无从下手。这基本等同于企业内部的木马程序,为攻击者大开后门。”
换句话说,内部攻击可能不是来自于有恶意企图的员工,而是来自于携带受感染设备进入工作场合的无知员工,Hering表示。
结果并不令人惊讶:在过去一年中,安全研究人员和攻击者越来越关注智能手机和其他移动平台,这种关注突出了移动设备的潜在攻击情况,包括信息泄漏和直接控制个人设备发动攻击。
此外,移动电话已经成为所谓的“以用户驱动的IT”趋势的主要驱动力,就像刚毕业的大学生将早期的电子邮件习惯带入公司一样,消费者正在将他们的移动设备带到工作场合,并希望IT管理员能够解除安全隐患。
智能手机是非常有价值的设备,攻击者可能从此下手。智能手机通常都有个人数据、麦克风和GPS系统,攻击者可以使用这些设备作为他们自己在公司内的个人监控系统。例如,如果一个攻击者目标是数据中心管理员,他们可以找到服务器在公司大楼的位置或者通过在执行会议中打开麦克风窃听相关信息,移动设备安全公司Zenprise公司的市场营销副总裁Ahmed Datoo表示。
“存在于智能手机中的安全漏洞类型非常独特,并且非常危险,如果没有确保它的安全性的话,”Datoo表示。
举例来说,对于移动设备网站安全性的关注非常少,所以攻击者可能会开始考虑将这个渠道作为攻击智能手机的方式,并且从防火墙后面渗透入公司。斯坦福大学研究人员发现有一类漏洞可以被攻击者利用来通过用户的浏览器发动攻击,这也是web开发人员都知道的漏洞,这种漏洞在为移动设备构建的网站中仍然没有被修复。“移动设备网站安全应该与非移动设备网站安全一样被受到关注,否则,可能发生攻击事故,”斯坦福大学安全研究室博士后研究员Elie Bursztein表示。
最大的挑战之一就是,IT管理人员通常都不知道有哪些移动设备连接到了他们的网络,Datoo表示,企业安全团队应该确保部署政策来确定企业网络中的移动设备,并且确保这些设备已经部署了适当的安全政策。
让智能手机遵守企业政策也十分重要,Lookout公司的首席技术官Kevin Mahaffey表示。企业应该确保他们的用户及时修复了设备的漏洞,并且下载所有更新程序来删除恶意应用程序。此外,虽然苹果公司和谷歌公司为应用程序市场制订了良好的政策,但用户应该只从受信任的第三方下载应用程序。
“在这里有一点不协调,对于攻击者能够更加容易地控制移动设备,而我们仍然处在防御和强大政策以及软件确保企业网络安全的早期研究阶段。”
总体而言,针对移动设备的攻击技术状态是一个移动目标,防御同样如此。
Hering表示,“试图找到一种方式来管理、监控和保护企业环境中消费者设备的安全真的非常具有挑战性,我们希望能够早日解决这个问题,虽然现在还没有解决。
相关阅读