威脅管理平臺是移動設備安全發展道路上的下一步
譯文由于針對移動設備發動的攻擊變得更加狡猾,許多企業不再一味依賴標準的設備管理平臺來獲得安全,而是將傳統的企業移動管理(EMM)和移動設備管理(MDM)系統與移動應用程序管理(MAM)系統結合起來,打造一種全方位的威脅管理平臺。
幾周前,我采訪了Lacoon移動安全公司的首席執行官兼聯合創始人Michael Shaulov,這家專注于移動安全的初創企業最近已被知名廠商Check Point收購。Lacoon致力于為基于iOS和安卓的移動設備確保網絡安全。該公司的研發團隊在以色列,而公司辦公室卻設在加利福尼亞州舊金山。產品是一款威脅管理平臺,能夠檢測針對安卓和iOS的不同類型的惡意軟件、網絡攻擊和網絡威脅。
Shaulov及其團隊與軍方、情報界(IC)和政府執法部門有過合作。Lacoon的創始人發現用于攔截和監控移動設備的更先進的技術落到網絡犯罪分子的手里后,覺得需要提供一種致力于對付移動威脅的全方位威脅管理平臺。
他主張移動團隊和安全團隊需要攜起手來,用安全解決方案來增強MDM解決方案,從而保護企業的移動設備遠離持續性威脅。
了解層出不窮的移動安全威脅
我跟Shaulov聊起了層出不窮的移動安全威脅,這些威脅似乎一直在登上報章頭條。他回復道,這些威脅不是什么新的威脅;這些威脅其實已經存在了十多年。
Shaulov說:“可以說,移動安全威脅就跟網絡安全界的幾乎任何問題一樣。”他以肆虐了十多年的桌面惡意軟件為例,直到RSA泄密事件才讓眾多企業組織相信:自己同樣有可能遭到危及。
Shaulov向我保證:他絕不會過分夸大當前的移動設備安全形勢。他告訴我,正是由于缺少安全意識,才進一步導致了移動設備淪為新的攻擊途徑;由于自帶設備(BYOD)戰略和移動優先戰略,眾多移動設備迅速成為了員工的首要設備。
對攻擊缺乏了解也是個問題。據Shaulov聲稱,除非一家企業使用威脅管理解決方案,否則它們可能不知道其網絡上有沒有已遭到危及的移動設備。
攻陷MDM
即便在如今的移動企業,也在某種程度上存在著MDM/EMM舒適區(comfort zone)。我詢問Shaulov攻擊者如何可以攻陷MDM平臺。
Shaulov說:“最簡單的辦法就是,對用戶實行網絡釣魚攻擊,說服用戶將某個應用程序(實為惡意軟件)安裝到設備上。有更高級的手法,但這是最簡單的手法。”
他繼續說:“然后,你就可以利用在網上隨處可見的不同漏洞,突破安卓或iOS操作系統的內置安全機制。”一旦黑客突破了操作系統的安全防線,攻擊者就能進而攻入MDM,不管部署了什么加密、安全容器或其他安全措施。
Shaulov說:“一旦你從管理員層面控制了操作系統,其實并不在乎那些安全措施,”Shaulov提醒道:你其實可以將一切記入日志,清除內存,并且抓取移動設備的屏幕內容。他告訴我,這些手法將MDM置于險境。
加強MDM
Shaulov一再向我保證:“我并不認為EMM已完蛋。到頭來,它們解決的問題是在管理層面,提供數據訪問權。”
他堅持認為,MDM提供商并不是安全供應商,它們也沒有安全供應商的基因。他認為移動安全具有下列兩層:
•管理層(MDM、EMM和MAM)
•管理層上面的網絡安全層
他認識到,每家供應商運用稍有不同的方法來解決這個問題,但供應商們主要著眼于三個方面:
•任何企業用戶下載到BYOD或企業設備的應用程序并不都是惡意軟件。
•網絡安全,如果員工將設備連接到不安全的無線網絡,比如星巴克、酒店或機場的無線網絡,就需要一種解決方案來確保網絡并沒有遭到危及,并沒有成為攔截加密/未加密的通信內容的攻擊途徑。
•設備操作系統,正如Shaulov指出,設備層面的攻擊是iOS中最主要的攻擊,因為許多攻擊表現為配置濫用(破解)而不是應用程序濫用。
他表示,并不依賴病毒特征的解決方案具有優勢。Shaulov建議不要一味指望傳統的反病毒供應商(包括邁克菲、賽門鐵克和AVG)。他表示,病毒特征方法的功效非常有限,無力發覺任何獨特的惡意軟件或直接針對企業的惡意軟件。
Shaulov補充說:“這種方法對消費者來說很好,但不是企業用戶所尋求或者會滿意的。”
他還建議,增強MDM平臺的安全解決方案應該采用基于行為或啟發式的檢測技術。有人訪問你網絡上的資源時,這些技術能夠發現常見用戶行為方面的偏差。
據Shaulov認為,這又回到了EMM和整合這方面。他強調了可見性、檢測企業環境中威脅的重要性。除此之外,Shaulov還補充:“消除威脅,確保設備不再受到威及,你需要及時地開展這方面的工作,又不浪費太多的資源。”
Shaulov給我舉了一個例子,表明威脅管理平臺如何與AirWatch或另一種EMM平臺整合起來。一企業用戶在通過與Lacoon或一種類似的威脅管理解決方案整合起來的AirWatch,訪問電子郵件及其他企業應用程序。威脅管理平臺檢測到企業用戶設備上的惡意軟件后,該平臺告訴AirWatch控制臺:設備受到了威及,并指示控制臺關閉設備訪問企業電子郵件的通道,防止設備訪問Salesforce或其他關鍵的企業資源。
結束語
我們已經看到EMM和MAM在市場上相互融合。與Michael Shaulov的一番交談促使本人認為:網絡安全和移動安全應該相互融合。基于久經考驗的網絡安全技術和方法的威脅管理平臺似乎就是移動安全發展道路上很自然的下一步。
英文:Threat management platforms are next step in mobile device security evolution
