如今，幾乎每個(gè)辦公室員工都攜帶移動手機(jī)進(jìn)出，并且大多數(shù)時(shí)候，這些設(shè)備都是非常先進(jìn)的智能手機(jī)，例如Android手機(jī)、黑莓設(shè)備或者蘋果公司的iPhone。員工幾乎從來沒有考慮過攜帶連接設(shè)備進(jìn)入公司的安全隱患。

然而這種趨勢并沒有逃脫首席安全官和信息技術(shù)管理員的關(guān)注。智能手機(jī)在企業(yè)內(nèi)部提供了很多便利，但是安全團(tuán)隊(duì)并沒有找到辦法來保護(hù)這些設(shè)備的安全。

移動設(shè)備安全公司Lookout公司的首席執(zhí)行官John Hering表示，“他們花了大量資源（包括時(shí)間和金錢）來保護(hù)他們的企業(yè)網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)安全外圍，但是對于獲取訪問企業(yè)機(jī)密數(shù)據(jù)的訪問權(quán)限的移動設(shè)備，他們卻無從下手。這基本等同于企業(yè)內(nèi)部的木馬程序，為攻擊者大開后門。”

換句話說，內(nèi)部攻擊可能不是來自于有惡意企圖的員工，而是來自于攜帶受感染設(shè)備進(jìn)入工作場合的無知員工，Hering表示。

結(jié)果并不令人驚訝：在過去一年中，安全研究人員和攻擊者越來越關(guān)注智能手機(jī)和其他移動平臺，這種關(guān)注突出了移動設(shè)備的潛在攻擊情況，包括信息泄漏和直接控制個(gè)人設(shè)備發(fā)動攻擊。

此外，移動電話已經(jīng)成為所謂的“以用戶驅(qū)動的IT”趨勢的主要驅(qū)動力，就像剛畢業(yè)的大學(xué)生將早期的電子郵件習(xí)慣帶入公司一樣，消費(fèi)者正在將他們的移動設(shè)備帶到工作場合，并希望IT管理員能夠解除安全隱患。

智能手機(jī)是非常有價(jià)值的設(shè)備，攻擊者可能從此下手。智能手機(jī)通常都有個(gè)人數(shù)據(jù)、麥克風(fēng)和GPS系統(tǒng)，攻擊者可以使用這些設(shè)備作為他們自己在公司內(nèi)的個(gè)人監(jiān)控系統(tǒng)。例如，如果一個(gè)攻擊者目標(biāo)是數(shù)據(jù)中心管理員，他們可以找到服務(wù)器在公司大樓的位置或者通過在執(zhí)行會議中打開麥克風(fēng)竊聽相關(guān)信息，移動設(shè)備安全公司Zenprise公司的市場營銷副總裁Ahmed Datoo表示。

“存在于智能手機(jī)中的安全漏洞類型非常獨(dú)特，并且非常危險(xiǎn)，如果沒有確保它的安全性的話，”Datoo表示。

舉例來說，對于移動設(shè)備網(wǎng)站安全性的關(guān)注非常少，所以攻擊者可能會開始考慮將這個(gè)渠道作為攻擊智能手機(jī)的方式，并且從防火墻后面滲透入公司。斯坦福大學(xué)研究人員發(fā)現(xiàn)有一類漏洞可以被攻擊者利用來通過用戶的瀏覽器發(fā)動攻擊，這也是web開發(fā)人員都知道的漏洞，這種漏洞在為移動設(shè)備構(gòu)建的網(wǎng)站中仍然沒有被修復(fù)。“移動設(shè)備網(wǎng)站安全應(yīng)該與非移動設(shè)備網(wǎng)站安全一樣被受到關(guān)注，否則，可能發(fā)生攻擊事故，”斯坦福大學(xué)安全研究室博士后研究員Elie Bursztein表示。

最大的挑戰(zhàn)之一就是，IT管理人員通常都不知道有哪些移動設(shè)備連接到了他們的網(wǎng)絡(luò)，Datoo表示，企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該確保部署政策來確定企業(yè)網(wǎng)絡(luò)中的移動設(shè)備，并且確保這些設(shè)備已經(jīng)部署了適當(dāng)?shù)陌踩摺?/P>

讓智能手機(jī)遵守企業(yè)政策也十分重要，Lookout公司的首席技術(shù)官Kevin Mahaffey表示。企業(yè)應(yīng)該確保他們的用戶及時(shí)修復(fù)了設(shè)備的漏洞，并且下載所有更新程序來刪除惡意應(yīng)用程序。此外，雖然蘋果公司和谷歌公司為應(yīng)用程序市場制訂了良好的政策，但用戶應(yīng)該只從受信任的第三方下載應(yīng)用程序。

“在這里有一點(diǎn)不協(xié)調(diào)，對于攻擊者能夠更加容易地控制移動設(shè)備，而我們?nèi)匀惶幵诜烙蛷?qiáng)大政策以及軟件確保企業(yè)網(wǎng)絡(luò)安全的早期研究階段。”

總體而言，針對移動設(shè)備的攻擊技術(shù)狀態(tài)是一個(gè)移動目標(biāo)，防御同樣如此。

Hering表示，“試圖找到一種方式來管理、監(jiān)控和保護(hù)企業(yè)環(huán)境中消費(fèi)者設(shè)備的安全真的非常具有挑戰(zhàn)性，我們希望能夠早日解決這個(gè)問題，雖然現(xiàn)在還沒有解決。  

【編輯推薦】

1. 智能手機(jī)移動設(shè)備面臨的安全威脅及應(yīng)對策略
2. 移動設(shè)備網(wǎng)絡(luò)防御戰(zhàn)略