JR Raphael Charles

移动领域的恶意软件？一些移动安全威胁更为紧迫。所有企业都应该关注今年出现的这7个问题。

移动安全是当今所有企业最担心的问题——这是有充分理由的：几乎所有员工现在都习惯于从智能手机上访问企业数据，这意味着不让敏感信息落入坏人之手越来越难了。可以说，现在比以往任何时候都利害攸关：据Ponemon研究所2018年的报告，企业数据泄露的平均成本高达386万美元。这比一年前估计的成本高出6.4%。

虽然恶意软件这种耸人听闻的话题很容易受到关注，但事实是移动恶意软件感染在现实世界中是非常罕见的——据估计，一个人被感染的概率远远低于被闪电击中的概率。这要归功于移动恶意软件的特性以及现代移动操作系统中内置的固有保护功能。

更现实的移动安全隐患存在于一些容易被忽视的领域中，以下所有问题预计在2019年只会变得更为紧迫：

1.数据泄露

2019年，人们普遍认为数据泄露是企业安全最令人担忧的一种威胁。上面曾提到过被移动恶意软件感染的概率非常之低，但据Ponemon的最新研究，至少有28%的企业未来两年内会经历一起泄露事故——换言之，是四分之一以上的概率。

这个问题尤其令人烦恼的是，它通常本质上并不是恶意的;更确切地说，这是因为用户在不经意间对哪些应用程序能够查看和传输他们的信息做出了不明智的决定。

Gartner的移动安全研究主管Dionisio Zumerle指出：“最难的是，怎样实现一种既不让管理员感到困惑、也不让用户感到沮丧的应用程序审查过程。”他建议转向采用移动威胁防御（MTD）解决方案——像赛门铁克的Endpoint Protection Mobile、CheckPoint的SandBlast Mobile和Zimperium的zIPS Protection等产品。Zumerle说，这些工具扫描应用程序寻找“泄露行为”，并能自动阻止有问题的进程。

当然，即使这样也不总能解决由于明显的用户错误而导致的泄露问题，比如把公司文件传输到公有云存储服务上，在错误的地方放置机密信息，或者把电子邮件转发给无关的收件人等等一些简单的事情。这是医疗保健行业目前正在努力克服的难题：据专业保险公司Beazley的说法，“意外泄露”是医疗机构在2018年第三季度所报告数据泄露的最主要原因。這一类泄露再加上内部泄露，几乎占了这段时间内所有报告的泄露事件的一半。

对于这类泄露事件，数据丢失预防（DLP）工具可能是最有效的保护措施。这种软件专门设计用于防止敏感信息的泄露，包括在意外情况下。

2.社会工程攻击

这种老套的欺骗手法在移动领域和在台式机上一样令人烦恼。尽管人们认为能轻易地避开社会工程攻击，但这种攻击仍然非常有效。

据安全公司FireEye 2018年的报告，高达91%的网络犯罪都始于电子邮件。该公司将这类事件称为“无恶意软件攻击”，因为它们依靠伪装之类的策略来欺骗用户点击危险的链接或者提供敏感信息。该公司指出，具体而言，在2017年期间，网络钓鱼事件增长了65%，移动用户最容易落入圈套，因为很多移动电子邮件客户端只显示发件人的姓名——这使得很容易通过欺骗得到信息，诱骗某人认为电子邮件是来自他们认识或者信任的人。

事实上，据IBM的一项研究，用户在移动设备上回应网络钓鱼攻击的可能性是台式机的三倍——这只是因为人们最先在手机上看到消息。虽然只有4%的用户真正点击了网络钓鱼攻击相关联的链接，但是据Verizon的《2018年数据泄露事件调查报告》，那些容易上当的家伙往往是屡教不改者：该公司指出，某人点击网络钓鱼活动链接的次数越多，未来就越有可能还会犯错。Verizon之前曾报道过，15%被成功钓鱼的用户在同一年内至少会被再钓一次。

PhishMe公司使用真实的模拟措施来培训员工识别并响应网络钓鱼企图，该公司的信息安全和反网络钓鱼策略师John “Lex” Robinson介绍说：“我们确实看到，由于移动计算整体上的增长以及‘自带设备工作环境的不断扩展，移动领域越来越容易受到感染。”

Robinson指出，工作计算机和个人计算机之间的界限也越来越模糊了。他说，越来越多的员工在智能手机上查看多个收件箱——这些收件箱连接了工作账户和个人账户，而且几乎所有人都会在工作日处理一些个人事务。因此，会在与工作相关的信息旁收到看似私人电子邮件的东西，表面上看起来这一点也不奇怪——即使这实际上可能是一种诡计。

3.Wi-Fi干扰

移动设备的安全取决于它所传送数据的网络。在一个我们经常连接到公共Wi-Fi网络的时代，这意味着我们的信息通常并不像我们想象的那么安全。

这一问题到底有多重要？据企业安全公司Wandera的研究，企业移动设备使用Wi-Fi的次数几乎是使用蜂窝数据的三倍。近四分之一的设备曾连接到开放或者可能不安全的Wi-Fi网络，4%的设备在最近一个月内遭遇了“人在中间”攻击——其中有人恶意拦截双方的通信。与此同时，McAfee指出，网络欺骗最近“急剧”增加，然而只有不到一半的人在旅行中或者连接公共网络时会想办法保护他们的连接。

雪城大学（Syracuse University）专门研究智能手机安全的计算机科学教授Kevin Du评论说：“如今，对数据流进行加密并不困难。如果没有VPN，那么你的周界上就会有很多漏洞。”

然而，选择合适的企业级VPN并非易事。如同与大多数安全相关的考虑一样，几乎总是需要进行权衡。Gartner的Zumerle指出：“对于移动设备，所采用的VPN应更加智能，因为最重要的是能够尽量减少对资源（主要是电池）的消耗。”他说，高效的VPN应知道仅在绝对必要时才激活，而不是在用户访问新闻网站之类的东西或者在已知安全的应用程序中工作时被激活。

4.过时的设备

智能电话、平板电脑和较小的联网设备——通常被称为物联网（IoT）设备，给企业安全带来了新的风险，因为与传统工作设备不同，通常不能保证对这些设备进行及时、持续的软件更新。这在Android上尤其如此，因为绝大多数制造商在更新他们的产品时效率都非常的低下，这包括操作系统（OS）更新，以及它们之间的每月安全小补丁——物联网设备也是如此，其中很多甚至都没有设计成首先获得更新。

Du说：“这其中的很多设备甚至没有内置的补丁机制，目前这已经成为越来越大的威胁了。”

据Ponemon，移动平台的广泛使用除了更有可能受到攻击之外，还提高了数据泄露的总成本，而大量联网的物联网产品只会导致这些成本进一步攀升。网络安全公司Raytheon赞助的一项研究表明，物联网的“大门是敞开的”，82%的IT专业人士预言，不安全的物联网设备将在企业内造成数据泄露，而且很可能是“灾难性的”。

但强有力的政策尚需时日。有的Android设备的确能够及时获得可靠的持续更新。直到物联网领域开展全面监管之时，企业才会给自己建立安全的网络。

5.挖矿劫持（Cryptojacking）攻击

在所有的相关移动威胁中，挖矿劫持是相对较新的一类攻击，某些人在设备拥有者不知情的情况下使用他人的设备去挖掘加密货币。如果你完全搞不懂这些技术问题，那么只需要知道这一点：加密货币挖矿过程会使用你的设备来为他人获取利益。它很大程度上依赖于技术——这意味着受影响的手机可能会出现电池续航时间缩短的情况，甚至可能会因为组件过热而受损。

虽然挖矿劫持起源于台式机，但从2017年末到2018年初，在移动设备上出现了激增。据Skybox Security公司的分析，在2018年上半年，不受欢迎的加密货币挖矿占所有攻击的三分之一，与前半年相比，在此期间大幅度攀升了70%。据Wandera公司的报告，在2017年10月至11月间，专门针对移动设备的挖矿劫持攻击绝对是爆发式增长，当时受影响的移动设备数量激增了287%。

从那时起，情况有所缓和，尤其是在移动领域——这一举措主要得益于苹果的iOS应用商店和安卓系统相关的谷歌Play商店分别在6月份和7月份下架了加密货币挖掘应用程序。尽管如此，安全公司注意到，通过移动网站（甚至只是移動网站上的流氓广告）以及从非官方第三方市场下载的应用程序发起的攻击仍然取得了一定程度的成功。

分析人士还指出，通过连接互联网的机顶盒进行挖矿劫持的可能性很大，因为一些企业可能使用这类设备进行流媒体和视频播放。据安全公司Rapid7，黑客已经找到了一种利用明显漏洞的方法，能够操纵仅供开发人员使用的命令行工具Android Debug Bridge，并且可以熟练地用于这类产品中。

目前，除了仔细选择设备，并坚持要求用户只从平台的官方商店（挖矿劫持代码出现的概率显著减小）下载应用程序的政策之外，还没有其他很好的方法——实际上，没有迹象表明大部分企业会面临重大的或者直接的威胁，特别是考虑到整个行业已经采取了预防措施。尽管如此，鉴于过去几个月来这一领域非常活跃，人们对此的兴趣越来越高，因此应特别留意并密切关注2019年。

6.不良密码安全使用习惯

你可能会认为这对我们来说已经不是问题了，但实际上，用户仍然没有很好地保护他们的账户——如果他们的手机同时含有公司账户和个人登录信息，那问题就会比较大。

谷歌和哈里斯民意调查公司的一项最新调查发现，从调查样本上看，一半以上的美国人在多个账户中重复使用密码。同样令人担忧的是，近三分之一的人没有使用双重身份验证（或者甚至不知道他们是否在使用这种方法——这可能会更糟）。只有四分之一的人主动使用密码管理器，这表明绝大多数人在很多地方没有使用特别强的密码，他们还是自己生成并记住密码。

这样，情况只会变得更糟：据2018年的LastPass分析，有整整一半的专业人员在工作和个人账户上使用相同的密码。如果这还不足以说明问题，那么，分析发现，一名普通员工在其工作过程中会与同事共享大约六个密码。

恐怕你会认为这一切都是无稽之谈，对此，Verizon发现，2017年，80%以上的企业黑客入侵都是由弱密码或者被盗密码造成的。特别是在移动设备上——员工想快速登录到各种应用程序、网站和服务上，如果一个人不小心在随机访问的零售网站、聊天应用程序或者消息论坛的提示中输入公司账户所用的同一密码，那么就会给企业数据带来风险。现在，同时考虑这种风险以及上面提到的Wi-Fi干扰风险，再想想你所在公司的员工总数，那么暴露出的风险点就会越来越多。

也许最让人恼火的是，大多数人似乎完全没有意识到他们在这方面疏忽大意了。在谷歌和哈里斯民意调查中，69%的受访者在有效保护自己在线账户方面给自己打了“A”或者“B”，但随后的回答表明并非如此。显然，我们不能相信用户自己在这方面的评估。

7.物理设备泄露

最后而且也非常重要的一点是，有些事情看起来非常愚蠢，但仍然是令人不安的现实威胁：丢失或者无人看管的设备会是重大的安全风险，特别是缺少强大的PIN或者密码和全部数据加密的情况。

看看以下数据：在2016年Ponemon的一项研究中，35%的专业人士表示，他们的工作设备并没有强制措施来保护可访问的企业数据。更糟糕的是，近一半的受访者说，他们没有密码、PIN或者生物特征识别安全措施来保护他们的设备，约三分之二的受访者承认，他们没有使用加密措施。68%的受访者表示，他们有时会在通过移动设备访问的个人账户和工作账户之间共享密码。

关键信息很简单：仅仅把责任留给用户是不够的。不要做假设，而是要制定政策。以后你会感谢自己的。

特约编辑JR Raphael为科技的人性化提供了丰富的素材。