如今，移動安全是每家公司最擔心的問題——而且理由很充分:幾乎所有員工現在都經常使用智能手機訪問公司數據，這意味著讓敏感信息不落入壞人之手是一個越來越復雜的難題。可以說，風險比以往任何時候都要高:根據波耐蒙研究所(Ponemon Institute) 2018年的一份報告顯示，企業數據泄露的平均成本高達386萬美元，這比一年前的估計成本高出6.4%。

[[259560]]

雖然人們很容易把注意力集中在惡意軟件這個轟動一時的話題上，但事實是，手機惡意軟件感染在現實世界中極其罕見——根據一項估計，你被感染的幾率大大低于被閃電擊中的幾率。這要感謝移動惡意軟件的本質，以及現代移動操作系統內置的固有保護。

更現實的移動安全隱患存在于一些容易被忽視的領域，隨著2019年的到來，這些問題預計只會變得更加緊迫：

1. 數據泄漏

這聽起來像是機器人醫生的診斷，但數據泄露被廣泛認為是2019年企業安全最令人擔憂的威脅之一。還記得那些幾乎不存在的被惡意軟件感染的幾率嗎?好吧，根據Ponemon的研究，當涉及到數據泄露時，公司有近28%的幾率在未來兩年內經歷至少一次事件——換句話說，幾率超過四分之一。

是什么讓這個問題特別棘手?因為它本質上并不是邪惡的; 相反，這是用戶在無意中做出了不明智的決定，決定哪些應用程序能夠查看和傳輸他們的信息。

Gartner移動安全研究主管Dionisio Zumerle說：“主要的挑戰是，如何實現一種既不會讓管理員不知所措、也不會讓用戶感到沮喪的應用審查流程。” 他建議轉向移動威脅防御(MTD)解決方案——如賽門鐵克的Endpoint Protection Mobile，CheckPoint的SandBlast Mobile和Zimperium的zIPS保護等產品。Zumerle表示，這些實用程序可以掃描應用程序的“泄漏行為”，并可以自動阻止有問題的進程。

當然，即使這樣也不會總是涵蓋由于公開的用戶錯誤而導致的泄漏——一些簡單的事情，比如將公司文件轉移到公共云存儲服務上，將機密信息粘貼到錯誤的地方，或者將電子郵件轉發給一個意想不到的收件人。這是醫療行業目前正在努力克服的一個挑戰:據專業保險公司Beazley稱，“意外泄露”是2018年第三季度醫療機構報告的數據泄露的首要原因。在這段時間內，這一類別再加上內部消息泄露，占所有報告的泄密事件的近一半。

對于這種類型的泄漏，防止數據丟失(DLP)工具可能是最有效的保護形式。此類軟件明確設計用于防止敏感信息的暴露，包括在意外情況下。

2. 社會工程

這種屢試不爽的欺騙策略在移動端和臺式機上一樣麻煩。盡管人們很容易認為社會工程的弊端是可以避免的，但它們仍然具有驚人的效果。

根據安全公司FireEye 2018年的一份報告，91%的網絡犯罪始于電子郵件。該公司將此類事件稱為“無惡意攻擊”，因為它們依靠模仿等策略來欺騙人們點擊惡意鏈接或提供敏感信息。該公司稱，網絡釣魚在2017年期間增長了65%，移動用戶因為許多移動電子郵件客戶端僅顯示發件人名稱的方式而面臨風險。

事實上，根據IBM的一項研究，用戶對移動設備上的網絡釣魚攻擊的回應是桌面的三倍——部分原因僅僅是因為手機是人們先看到消息的地方。根據Verizon的2018年數據泄露調查報告顯示，雖然實際上只有4%的用戶點擊網絡釣魚相關鏈接,但那些輕信的用戶往往是慣犯:公司指出,如果有人點擊釣魚活動鏈接越多,他們就越有可能在未來多次點擊。Verizon此前曾報道稱，15%的成功釣魚的用戶將在同一年內至少再釣魚一次。

“我們確實看到移動計算整體上的移動敏感度普遍上升以及BYOD工作環境的持續增長，”PhishMe的信息安全和反網絡釣魚策略師John“Lex”Robinson說道。使用真實世界的模擬訓練工人的公司識別和應對網絡釣魚。

羅賓遜指出，工作和個人電腦之間的界限也在不斷模糊。他指出，越來越多的員工在智能手機上同時查看多個收件箱(連接到工作和個人賬戶的組合)，而且幾乎每個人在工作日都會在網上處理一些個人事務。因此，在收到工作郵件的同時收到私人郵件在表面上看起來一點也不奇怪，即使這實際上可能是一個詭計。

3. 無線干擾

移動設備的安全性取決于它傳輸數據的網絡。在一個我們都在不斷連接公共Wi-Fi網絡的時代，這意味著我們的信息往往不像我們想象的那么安全。

這個問題究竟有多重要?根據企業安全公司Wandera的研究，企業移動設備使用Wi-Fi幾乎是使用蜂窩數據的三倍。近四分之一的設備可能連接到開放且不安全的Wi-Fi網絡，并且有4%的設備在最近一個月內遭遇了中間人攻擊——其中有人惡意攔截雙方之間的通信。與此同時，邁克菲表示，網絡欺騙最近“急劇增加”，但在旅行和依賴公共網絡時，只有不到一半的人愿意保護他們的連接。

“現在，加密流量并不困難，”Syracuse大學計算機科學教授凱文杜說，他專門研究智能手機安全問題。

但是，選擇正確的企業級虛擬專用網絡并不容易。與大多數與安全相關的考慮因素一樣，幾乎總是需要權衡。Gartner的Zumerle指出：“移動設備的虛擬專用網絡交付需要更加智能，因為盡可能地減少資源消耗(主要是電池) 是至關重要的。” 他說，一個有效的虛擬專用網絡應該知道只有在絕對必要時才能激活，而不是當用戶訪問類似新聞網站或在已知安全的應用程序中工作時。

4. 過時的設備

智能手機、平板電腦和更小的聯網設備【通常被稱為物聯網(IoT)】——對企業安全構成了新的風險，因為與傳統的工作設備不同，它們通常不能保證及時和持續的軟件更新。在安卓方面尤其如此,絕大多數制造商在保持產品更新方面都令人尷尬無效,無論是操作系統(OS)更新還是每月更小的安全補丁,以及物聯網設備,其中很多甚至沒有設計為首先獲得更新。

杜說:“他們中的許多人甚至沒有內置補丁機制，而這在如今正成為越來越大的威脅。”

Ponemon表示，撇開攻擊可能性增加不提，移動平臺的廣泛使用提高了數據泄露的總體成本，而大量與工作相關的物聯網產品只會導致這一數字進一步攀升。據網絡安全公司雷神介紹，物聯網是一扇“敞開的大門”。該公司贊助的一項研究顯示，82%的IT人士預測，不安全的物聯網設備將在公司內部引發數據泄露——很可能是“災難性的”。

同樣，一項強有力的政策將大有裨益。有些Android設備確實能及時、可靠地接收正在進行的更新。在物聯網領域變得不那么像蠻荒的西部之前，必須由一家公司圍繞它們建立自己的安全網絡。

5. Cryptojacking攻擊

作為相關移動威脅列表的一個相對較新的補充，cryptojacking是一種攻擊，有人使用設備在用戶不知情的情況下挖掘加密貨幣。如果所有這些聽起來像是很多技術性的，那請記住一點：加密過程使用你公司的設備來獲取別人的收益。它嚴重依賴于您的技術——這意味著受影響的手機可能會遇到電池壽命不佳甚至可能因組件過熱而受損。

雖然密碼竊取起源于桌面，但從2017年末到2018年初，它在移動端出現了激增。Skybox的一份安全分析報告顯示，2018年上半年，不受歡迎的加密貨幣挖掘占所有攻擊的三分之一，與前半年相比，這段時間的突出程度增加了70%。根據Wandera的一份報告顯示，2017年10月至11月，針對移動設備的加密攻擊爆發了，受影響的移動設備數量激增了287%。

自那以后，情況有所降溫，特別是在移動領域——這一舉措主要得益于蘋果iOS應用商店和android相關的谷歌Play商店分別在6月和7月禁止使用加密貨幣挖掘應用。不過，安全公司指出，通過手機網站(甚至只是手機網站上的流氓廣告)和從非官方第三方市場下載的應用程序，攻擊繼續取得一定程度的成功。

分析人士還指出，通過互聯網連接的機頂盒進行加密的可能性，一些企業可能將機頂盒用于流媒體和視頻播放。據安全公司Rapid7稱，黑客已經找到了一種方法來利用一個明顯的漏洞，使Android Debug Bridge(一個僅供開發人員使用的命令行工具)變得容易訪問，而且濫用這類產品的時機已經成熟。

目前，沒有什么好的答案，除非仔細選擇設備并堅持要求用戶僅從平臺的官方店面下載應用程序的策略，其中密碼劫持代碼的可能性顯著降低。并且實際上，沒有跡象表明大多數公司受到任何重大或直接威脅，特別是考慮到整個行業采取預防措施。盡管如此，考慮到過去幾個月該領域的活動起伏不定，而且人們對該領域的興趣不斷上升，2019年的進展情況值得關注。

6. 密碼衛生不良

你可能認為我們現在已經過了這一階段，但不知為何，用戶仍然沒有正確地保護他們的帳戶——當他們攜帶的手機同時包含公司帳戶和個人登錄時，這可能會出現問題。

谷歌和哈里斯民意調查(Harris Poll)的一項新調查發現，根據調查樣本，超過一半的美國人在多個賬戶上使用相同密碼。同樣令人擔憂的是，近三分之一的人沒有使用雙因素身份驗證(或者甚至不知道他們是否在使用它——這可能更糟一些)。而且只有四分之一的人在積極使用密碼管理器，這表明絕大多數人可能在大多數地方都沒有特別強的密碼，因為他們可能是自己生成和記憶密碼的。

事情只會變得更糟：根據2018年的LastPass分析，有整整一半的專業的人士在工作和個人賬戶上使用相同的密碼。分析發現，如果這還不夠，一個普通員工在工作過程中會與同事分享大約六個密碼。

為了避免你認為這完全是廢話，在2017年Verizon發現，在與黑客相關的安全事件中，80%以上要歸咎于薄弱或被盜的密碼。特別是從一個移動設備,工作人員想快速登錄到各種應用程序、網站和服務，考慮到組織數據的風險，即使只有一個人用他們用于公司帳戶的相同密碼，隨機零售網站，聊天應用或消息論壇上的提示。現在，把這個風險和前面提到的Wi-Fi干擾的風險結合起來，乘以你工作場所的員工總數，并考慮快速累積的可能暴露點的層次。

最令人煩惱的是，大多數人似乎完全忘記了他們在這方面的疏忽。在谷歌和哈里斯民意調查中，69%的受訪者為了有效保護他們的在線賬戶給自己一個“A”或“B”，盡管后來的答案表明不是這樣。顯然，您無法信任用戶自己對此事的評估。

7. 物理設備違反

是一個令人不安的現實威脅：丟失或無人看管的設備可能是一個主要的安全風險，特別是如果它沒有強大的PIN或密碼和完整的數據加密。

請考慮以下因素：在2016年的Ponemon研究中，35%的專業的人士表示他們的工作設備沒有強制措施來保護可訪問的公司數據。更糟糕的是，接近一半的受訪者表示他們沒有密碼、PIN或生物識別安全保護他們的設備，大約三分之二的人說他們沒有使用加密技術。68%的受訪者表示他們有時會通過移動設備訪問個人和工作帳戶的密碼。

結論:僅僅把責任留給用戶是不夠的。不要通過假設制定政策，你以后會感謝自己的。