當前位置:安全行業動態 → 正文

2020年應該認真對待的8種移動設備安全威脅

責任編輯:cres 作者:JR Raphael |來源:企業網D1Net  2020-03-05 10:09:03 原創文章 企業網D1Net

如今,移動設備安全已成為企業擔憂的頭等大事,這是有充分理由的:現在幾乎所有員工通過智能手機訪問企業的數據,這意味著其敏感信息可能落入他人之手,使安全工作變得越來越復雜。因此,這一風險比以往任何時候都要高:根據波洛蒙研究所在2018年發布的一份調查報告,每次數據泄露的平均損失高達386萬美元。這比一年前的估計損失高出6.4%。
 
雖然人們很容易將注意力集中在惡意軟件這一令人矚目的話題,但事實上,手機被惡意軟件感染在現實世界中是極其罕見的。根據一項調查,手機感染幾率遠遠低于被閃電擊中的幾率。實際上,惡意軟件目前被認為是數據泄露事件中最不常見的攻擊事件,實際上其在Verizon公司發布的《2019年數據泄露調查報告》中的威脅排名甚至在物理攻擊之后。這要歸功于移動設備惡意軟件的性質以及現代移動設備操作系統中內置的固有保護。
 
更為現實的移動設備安全隱患存在于一些容易被忽視的領域,所有這些領域只會變得更加緊迫:
 
1.數據泄漏
 
數據泄漏被普遍認為是2019年企業安全最令人擔憂的威脅之一。還記得手機幾乎沒有被惡意軟件感染的幾率嗎?根據波洛蒙研究所的最新研究,在涉及數據泄露時,企業在未來兩年內至少發生一次事件的幾率為28%,換句話說,幾率是四分之一以上。
 
這個問題令人煩惱的方面在于,它也許只是用戶無意中對哪些應用程序能夠查看和傳輸其信息做出的不明智決定。
 
調研機構Gartner公司移動設備安全研究總監Dionisio Zumerle說:“主要的挑戰是如何實施應用程序審核,而這一過程不會使管理員不知所措,也不會使用戶感到沮喪。”他建議使用移動設備威脅防御(MTD)解決方案,例如Symantec公司的Endpoint Protection Mobile,CheckPoint公司的SandBlast Mobile和Zimperium公司的zIPS Protection之類的產品。Zumerle說,這些實用程序會掃描應用程序中的“泄漏行為”,并可以自動阻止有問題的進程。
 
當然,即使這樣也不會總能覆蓋由于用戶錯誤而導致的泄漏,例如將企業文件傳輸到公共云存儲服務,將機密信息發送到錯誤的位置或將電子郵件轉發給不當的收件人。這是醫療保健行業目前正在努力克服的挑戰:專業保險提供商Beazley公司聲稱,“意外泄露”是醫療保健組織在2018年第三季度調查報告中數據泄露的主要原因。意外泄露和內部泄漏幾乎占在這個報告的所有數據泄露事件的一半。
 
對于這種類型的泄漏,數據丟失防護(DLP)工具可能是最有效的保護措施。此類軟件經過專門設計,可防止在意外情況下泄露敏感信息。
 
2.社交工程
 
移動設備與臺式機一樣,遭遇的欺騙策略同樣令人困擾。盡管人們認為可以輕松地避免社交工程弊端,但它們仍然具有驚人的效果。
 
根據安全機構FireEye公司的2018年報告,91%的網絡犯罪始于電子郵件。該公司將此類事件稱為“無惡意軟件攻擊”,因為它們依靠假冒等策略誘騙人們點擊危險鏈接或提供敏感信息。該公司表示,網絡釣魚在2017年增長了65%,并且移動設備用戶面臨更大風險,因為許多移動設備電子郵件客戶端只顯示發件人的姓名,這使得欺騙郵件和誘騙人們認為電子郵件來自他們認識或信任的人從而容易點擊。
 
根據IBM公司的一項研究,實際上,用戶對移動設備上的網絡釣魚攻擊的可能性是臺式機的三倍,其部分原因是人們喜歡在手機上瀏覽消息。Verizon公司的最新研究支持這一結論,并指出,手機較小的屏幕尺寸以及智能手機上詳細信息的相應顯示有限(特別是在通知中,現在經常包含一鍵式選項以打開鏈接或響應消息),也可能增加網絡釣魚成功的可能性。
 
除此之外,面向動作的按鈕在移動設備電子郵件客戶端中的顯著位置以及工作人員傾向于使用智能手機面向多任務的分散方式擴大了這種影響,而且大多數網絡流量現在通常發生在移動設備,這將進一步鼓勵網絡攻擊者針對這一領域。
 
這也不僅僅是電子郵件:正如企業安全機構Wandera公司在其最新的移動設備威脅報告中所指出的那樣,過去一年中83%的網絡釣魚攻擊發生在電子郵件之外,例如短信、Facebook Messenger、WhatsApp等應用程序以及各種游戲和社交媒體服務。
 
此外,根據Verizon公司的最新調查數據,只有百分之幾的用戶真正點擊與網絡釣魚相關的鏈接(根據行業的不同,點擊率在1%到5%之間),但Verizon公司的早期研究表明,這些受騙的人們往往會再受欺騙。該公司指出,用戶點擊網絡釣魚活動鏈接的次數越多,將來再次點擊的可能性就越大。Verizon公司此前曾報道,被成功釣魚的用戶中有15%會在同一年至少再被欺騙一次。
 
PhishMe公司的信息安全和反網絡釣魚策略師John Robinson說,“我們確實看到移動設備敏感性總體上受到移動計算整體增長的推動,以及自攜設備(BYOD)工作環境的持續增長。”該公司利用真實世界的模擬訓練員工識別和應對釣魚企圖。
 
Robinson指出,工作和個人計算之間的界限也在繼續模糊。他指出,越來越多的員工在智能手機上查看多個收件箱(連接到工作和個人賬戶的組合),幾乎每個人在工作日都在網上實施某種個人業務。因此,在收到與工作相關的信息的同時,接收看似是個人郵件的想法似乎一點也不稀奇,即使這實際上可能是一種詭計。
 
如今的風險將會不斷攀升。顯然,網絡欺詐者現在還在使用網絡釣魚來誘騙人們放棄旨在保護帳戶免遭未經授權訪問的雙因素身份驗證代碼。轉向基于硬件的身份驗證,通過專用的物理安全密鑰(例如谷歌公司的Titan或Yubico公司的YubiKeys或通過谷歌公司的Android手機的設備上安全密鑰選項),被廣泛認為是提高安全性并減少網絡釣魚可能性的最有效方法。
 
根據谷歌、紐約大學和加州大學圣地亞哥分校聯合進行的一項研究,即使只是在設備上進行身份驗證,也可以防止99%的批量網絡釣魚攻擊和90%的目標攻擊,相比之下,對于那些更易受網絡釣魚影響的2FA碼的同類攻擊,有效率分別為96%和76%。
 
3. Wi-Fi干擾
 
移動設備僅與通過其傳輸數據的網絡一樣安全。在這個時代,人們都不斷地連接到公共Wi-Fi網絡,這意味著人們的信息通常不像想象的那樣安全。
 
這到底有多重要?根據Wandera公司的研究,企業移動設備使用Wi-Fi幾乎是使用蜂窩通信設備數據的三倍。近四分之一的設備已連接到開放且可能不安全的Wi-Fi網絡,并且有4%的設備在最近一個月內遭受了中間人攻擊(即有人惡意攔截了兩方之間的通信)。安全廠商McAfee公司表示,最近,網絡欺騙量已經急劇增加,但只有不到一半的人在旅行和依賴公共網絡時保護自己的連接。
 
美國錫拉丘茲大學計算機科學教授Kevin Du專門研究智能手機安全性,他說:“如今,對流量進行加密并不難。如果沒有VPN,那么就會敞開許多大門。”
 
但是,選擇適合的企業級VPN并非易事。與大多數與安全性相關的考慮一樣,幾乎總是需要進行權衡。Gartner公司的Zumerle指出:“通過移動設備,VPN的交付需要更加智能,因為最大限度地減少資源(主要是電池)的消耗是至關重要的。”他表示,有效的VPN應該知道僅在絕對必要時才激活,而不是在用戶訪問新聞站點之類的東西或在已知安全的應用程序中工作時才激活。
 
4.過時的設備
 
智能手機、平板電腦和小型互聯設備(通常稱為物聯網)給企業安全帶來了新的風險,因為與傳統的工作設備不同,它們通常無法保證及時且持續的軟件更新。尤其是在Android平臺上,絕大多數制造商都無法通過操作系統(OS)更新以及它們之間安全補丁程序以及物聯網設備來保持其產品的最新狀態。
 
Kevin Du說:“其中許多甚至沒有內置的修補程序機制,如今這些威脅正越來越多。”
 
波洛蒙研究所表示,除了增加網絡攻擊的可能性之外,廣泛使用移動設備平臺會增加數據泄露的總體成本,而與工作相關的物聯網產品的豐富只會使這一數字進一步攀升。據網絡安全廠商Raytheon公司稱,物聯網是一扇敞開的門,該公司發布的研究報告表明,82%的IT專業人員預測,不安全的物聯網設備將在其組織內造成數據泄露,可能會導致災難性后果。
 
同樣,實施強有力的安全政策還有很長的路要走。有些Android設備確實會及時收到可靠的持續更新。直到物聯網領域更加成熟,這都取決于企業自己創建的安全網。
 
5.加密劫持攻擊
 
作為相關移動設備威脅列表中的一種相對較新的威脅,加密劫持是一種攻擊,其中有人在所有者不知情的情況下使用設備來挖掘加密貨幣。人們需要知道這一點:加密采礦過程使用企業的設備來獲取他人的利益。它在很大程度上依賴于移動技術來做到這一點,這意味著受到影響的手機電池壽命可能不足,甚至可能由于過熱而受損。
 
雖然加密劫持起源于臺式機,但從2017年末到2018年初,移動設備數量激增。根據Skybox Security公司的分析,不受歡迎的加密貨幣挖礦占2018年上半年所有網絡攻擊的三分之一。與上半年相比,這段時間增加了70%。根據Wandera公司的調查報告,在2017年10月至2017年11月之間,特定于移動設備的加密劫持攻擊爆炸式增長,當時受到影響的移動設備數量激增了287%。
 
從那以后,這種情況有所緩和,特別是在移動設備領域,這一舉措主要得益于蘋果iOS應用商店和Android相關的谷歌游戲商店分別在2018年6月和7月禁止使用加密貨幣挖掘應用。不過,安全機構注意到,通過移動設備網站(甚至只是移動設備網站上的流氓廣告)和從非官方第三方市場下載的應用程序,網絡攻擊仍能在某種程度上取得成功。
 
分析師還注意到,通過互聯網連接的機頂盒進行加密劫持的可能性,一些企業可能會利用機頂盒進行流媒體和視頻播放。安全廠商Rapid7公司表示,黑客已經找到了一種利用明顯漏洞的方法,該漏洞使Android Debug Bridge(僅用于開發人員使用的命令行工具)變得易于訪問,并且可以濫用此類產品。
 
目前,除了謹慎選擇移動設備和堅持要求用戶只能從平臺的官方網站下載應用程序的政策(在那里,加密劫持代碼的可能性顯著降低)之外,沒有別的辦法,實際上,沒有跡象表明大多數公司正面臨任何重大或直接的威脅,特別是考慮到整個行業正在采取的預防措施。盡管如此,鑒于過去幾個月這一領域的活動波動和興趣上升,隨著2019年的進展,這一點令人關注。
 
6.密碼保護意識不強
 
人們可能會認為現在已經加強防范,但不知何故,很多用戶仍然沒有正確地保護他們的帳戶。當他們攜帶的手機登錄公司帳戶和個人帳戶時,這可能面臨嚴重問題。
 
谷歌公司和哈里斯民意調查公司最近共同進行的一項調查發現,根據調查樣本,超過一半的美國人在多個帳戶中重復使用了密碼。同樣令人擔憂的是,將近三分之一沒有使用2FA密碼(或者不知道他們是否在使用2F密碼,這種情況可能會更糟)。只有四分之一的人正在積極使用密碼管理器,這表明絕大多數人在大多數地方可能沒有使用特別強大的密碼,因為他們可能自己設置和記住密碼。
 
事情從此變得更糟:根據LastPass公司2018年的調查分析,一半的專業人士在工作和個人賬戶上使用相同的密碼。分析發現,甚至一名員工在工作過程中與其同事分享了大約6個密碼。
 
Verizon公司在2017年的調查發現,企業中80%以上的黑客相關違規行為都歸咎于弱密碼或被盜密碼。尤其是在移動設備上,企業員工希望快速登錄各種應用程序、網站和服務,如果哪怕只有一個人在隨機零售網站、聊天應用程序或消息論壇的提示中草率地輸入他們用于企業帳戶的相同密碼,也將面臨數據泄露的風險。現在把這個風險和前面提到的Wi-Fi干擾風險結合起來,再乘以工作場所的員工總數,然后再乘以可能暴露的點數,風險正在迅速增加。
 
也許最令人煩惱的是,大多數人似乎完全忽略了他們在這一領域的疏忽。在谷歌公司和哈里斯民意調查公司的調查中,69%的受訪者在有效保護自己的在線賬戶方面給自己打了“A”或“B”,顯然不能相信他們自己對安全方面的評價。
 
7.物理設備的數據泄露
 
最后但并非最不重要的是,這似乎特別愚蠢,但仍然是一個令人不安的現實威脅:丟失或無人看管的移動設備可能是一個重大的安全風險,特別是如果它沒有強大的PIN或密碼和完整的數據加密的話。
 
在波洛蒙研究所在2016年進行的一項研究中,35%的專業人士表示,他們的工作設備沒有強制措施來保護可訪問的公司數據。更糟糕的是,近一半的受訪者表示,他們的設備沒有采用密碼、PIN或生物特征安全保護措施,約三分之二的受訪者表示,他們沒有使用加密技術。68%的受訪者表示,他們有時會在通過移動設備訪問的個人和工作帳戶中共享密碼。
 
這種情況似乎并沒有好轉。在其2019年移動設備威脅態勢分析中,43%的公司在其調查中表示至少有一款智能手機沒有任何鎖屏安全措施。調查報告指出,在那些在自己的設備上設置密碼的用戶中,很多人通常選擇使用最短4個字符的密碼。
 
讓用戶自己擔負安全責任是不夠的。企業和員工應該采取嚴格的安全政策和措施,為此將會受益無窮。
 
8.移動設備廣告欺詐
 
根據美國互動廣告局(IAB)的調查,移動設備廣告創造了大量收入,僅在2019年上半年就達到了579億美元。網絡犯罪分子致力尋求從移動設備廣告收入流中獲利的方法也就不足為奇了。而對廣告欺詐損失的估計卻有所不同,根據Juniper Research公司的預計,到2023年,全球每年由于廣告欺詐將損失1000億美元。
 
廣告欺詐可以采取多種形式,但最常見的是使用惡意軟件對廣告進行點擊,這些廣告似乎來自使用合法應用程序或網站的合法用戶。例如,用戶可以下載提供合法服務的應用程序,如天氣預報或消息。不過,在后臺,應用程序會對出現在這個應用程序上的合法廣告產生欺詐性點擊。廣告發布商通常是按其產生的廣告點擊次數付費的,因此移動設備廣告欺詐行為從企業的廣告預算中竊取費用,將顯著減少廣告發布商的收入。
 
最大的受害者是移動設備廣告商和受廣告支持的發布商,但廣告欺詐行為也確實損害了移動用戶的利益。與欺詐劫持一樣,廣告欺詐惡意軟件會在后臺運行,并可能降低智能手機的性能,導致更高的數據費用或手機電池過熱。安全供應商Upstream公司估計,由于移動廣告惡意軟件帶來的更高數據費用,智能手機用戶每人每年可能損失數百美元。
 
到目前為止,Android是最流行的移動設備廣告欺詐平臺,人們要避免這些最流行的Android惡意應用程序:
 
•Snaptube
•GPS速度表
•簡易掃描儀
•天氣預報
•超級計算器
•攝像頭
•快速觸控
 
Upstream公司的調查報告建議用戶:
 
•定期檢查他們的應用程序,并刪除任何看起來可疑的應用程序。
•監控異常峰值的數據使用情況。
•僅從Google Play安裝應用程序。
•安裝之前,請檢查應用程序的評論,開發人員詳細信息以及請求的權限列表,以確保它們均適用于應用程序的既定用途。
 
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。

關鍵字:安全

原創文章 企業網D1Net

2020年應該認真對待的8種移動設備安全威脅 掃一掃
分享本文到朋友圈

關于我們聯系我們版權聲明友情鏈接廣告服務會員服務投稿中心招賢納士

企業網版權所有©2010-2020 京ICP備09108050號-6

^
gta5线上最赚钱的产业 平特一肖是什么玩法 排列五有走势连线的图 北京赛车pk拾开奖结果 吉林快三预测一定牛 腾讯股票查询在线 贵州快3一定牛走势图 私募基金配资合法吗 快3彩票平台 安徽11选五前三直选走势图 内蒙古今日快三开奖结 新疆十一选五走势 幸运飞艇官方高倍平台 河北福彩20选5开奖结果 山东体彩11选5一 新疆时时彩今日开奖号码 福建22选5技巧