如今，移動安全已成為每個公司關注的重點對象，因為現在幾乎所有員工都能夠定期地從智能手機訪問公司數據，這意味著如果敏感信息被不法分子利用，那么事情就變得復雜了。現在說移動風險比以往任何時候都要高，這一點也不過分。根據Ponemon Institute 2018年的一份報告，企業數據泄露的平均成本高達386萬美元。這比一年前的估計成本高出6.4%。

說到移動安全，雖然大家很容易將注意力集中在引起轟動的惡意軟件上，但事實是，鑒于移動惡意軟件的性質以及現代移動操作系統中內置的固有保護，其感染數量并不多。根據一項估計，設備被感染的概率大大低于人被閃電擊中的概率。在數據泄露事件中，惡意軟件目前被認為是最不常見的手段。在Verizon的《2019年數據泄露調查報告》中惡意軟件攻擊在物理攻擊之后，排名第二。更為現實的移動安全隱患位于一些容易被忽視的領域，這些領域的安全才是迫在眉睫：

一、數據泄漏

數據泄漏被普遍認為是2019年企業安全最令人擔憂的威脅之一。根據Ponemon的最新研究，公司在未來兩年內，至少有28%的概率發生至少一次數據泄露事件。也就是說，幾率是四分之一。

這個問題特別煩人的地方在于，從本質上講，它并不是多大的問題。然而，僅是用戶無意間就哪些應用程序能夠查看和傳輸其信息做出錯誤建議的問題。

Gartner移動安全研究總監Dionisio Zumerle說：“主要的挑戰是如何實施應用程序審核過程，而該過程不會使管理員不知所措，也不會使用戶失望。” 他建議使用移動威脅防御(MTD)解決方案，諸如Symantec的Endpoint Protection Mobile，CheckPoint的SandBlast Mobile和Zimperium的zIPS Protection之類的產品。這樣的實用程序會掃描應用程序中的“泄漏行為”，并可以自動阻止有問題的進程。

當然，即使那樣也不總能預防因為用戶低級的錯誤而導致的泄漏，諸如將公司文件傳輸到公共云存儲服務，將機密信息粘貼到錯誤的位置或將電子郵件轉發給無關者。醫療保健行業目前也正在努力克服這類困難。根據專業保險提供商Beazley的說法，“意外披露”是醫療保健組織在2018年第三季度報告的數據泄露的主要原因。在這段時間內，該類別與內部泄漏的總和幾乎占報告所有事件的一半。

對于這種類型的泄漏，數據丟失防護(DLP)工具可能是最有效的保護形式。此類軟件經過專門設計，可防止在意外情況下泄露敏感信息。

二、社會工程

和臺式設備一樣，在移動端的欺騙策略同樣令人困擾。盡管人們認為可以輕松地避免社會工程的手段，但真正發生后，它們仍然具有驚人的效果。

根據安全公司FireEye的2018年報告，91%的網絡犯罪始于電子郵件，這個數字是讓人震驚的。該公司將此類事件稱為“無惡意軟件攻擊”，因為它們依靠假冒等策略誘騙人們單擊危險鏈接或提供敏感信息。該公司表示，網絡釣魚在2017年期間增長了65%，并且移動用戶面臨巨大的安全風險，因為許多移動電子郵件客戶端只顯示發件人的姓名，這使得偽造虛假信息特別容易，欺騙用戶以為電子郵件是來自他們認識或信任的人。

根據IBM的一項研究，實際上，移動設備上的網絡釣魚攻擊的可能性是臺式機的三倍，部分原因是人們最容易在手機上看到消息。Verizon的最新研究也證實了該結論，并補充說，較小的屏幕尺寸以及智能手機上的詳細信息顯示有限(特別是在通知中，現在經常包含一鍵式選項以打開鏈接或響應消息)，這也可能增加網絡釣魚的成功幾率。

除此之外，在移動電子郵件客戶端中，回復的按鈕處在顯著的位置，工作人員也傾向于使用以多任務、不集中的方式使用智能手機，都會擴大影響。而且大多數Web流量現在通常都在移動設備上，這也導致了攻擊者將目光轉向移動設備了。

而且，現在不僅是電子郵件了。企業安全公司Wandera在其最新的移動威脅報告中指出，過去一年中83%的網絡釣魚攻擊都發生在收件箱之外，比如文本消息或Facebook Messenger和WhatsApp之類的應用程序以及各種游戲和社交媒體服務。

此外，根據Verizon的最新數據，雖然只有百分之幾的用戶點擊了與網絡釣魚相關的鏈接，視行業而定，范圍從1%到5%，但Verizon的早期研究表明，那些容易受騙的人傾向于再次上鉤。 該公司指出，某人點擊網絡釣魚活動鏈接的次數越多，將來他們再次執行此操作的可能性就越大。Verizon之前曾報告說，成功釣魚的用戶中有15%會在同一年至少會被再釣魚一次。

PhishMe的信息安全和反網絡釣魚策略師John“ Lex” Robinson說：“我們確實看到移動敏感總體上受到移動計算整體增長的推動，以及BYOD工作環境的持續增長。” PhishMe是一家用真實世界的模擬來培訓員工識別和應對網絡釣魚的公司。

Robinson指出，工作與個人計算之間的界線也在繼續模糊。越來越多的員工在智能手機上同時查看多個收件箱，這些收件箱連接了工作和個人賬號，并且幾乎每個人都在工作日網上操作某些個人業務。 因此，從表面上看，似乎個人郵件和工作信息接收如常，而實際上可能暗藏陷阱。

風險只會不斷攀升。 顯然，網絡騙子現在甚至還利用網絡釣魚來誘騙人們放棄兩因素身份驗證，一種旨在保護賬號以防未經授權訪問的代碼。轉向基于硬件的身份驗證被廣泛認為是提高安全性并減少網絡釣魚可能性的最有效方法，比如通過專用的物理安全密鑰(例如Google的Titan或Yubico的YubiKeys)，或Android手機通過Google的的設備安全密鑰選項。

根據Google、紐約大學和加州大學圣地亞哥分校的一項研究，即在設備上的身份驗證可以阻止99%的批量網絡釣魚攻擊和90%的針對性攻擊，和同類更可疑的2FA代碼釣魚相比，這些設備的有效率分別為96%和76%。

[[319386]]

三、Wi-Fi干擾

移動設備的安全性與傳輸數據的網絡一樣。在這個時代，我們不斷地連接到公共Wi-Fi網絡，這意味著我們的信息通常不像我們想象的那樣安全。

這到底有多重要?根據Wandera的研究，企業移動設備使用Wi-Fi幾乎是使用蜂窩數據的三倍。近四分之一的設備已連接到開放且可能不安全的Wi-Fi網絡，并且有4%的設備在最近一個月內遭受了中間人攻擊，即有人惡意攔截了兩方之間的通信。McAfee表示，最近，網絡欺騙已“急劇增加”，但只有不到一半的人在旅行和依賴公共網絡時愿意保護自己的連接。

錫拉丘茲大學(Syracuse University)計算機科學教授Kevin Du專門研究智能手機安全性，他說：“如今，對流量進行加密并不難。如果沒有VPN，那么邊界就會敞開許多大門。”

但是，選擇正確的企業級VPN并非易事。與大多數安全性考慮一樣，幾乎總是需要進行權衡。 Gartner的Zumerle指出：“移動設備的VPN交付需要更加智能，因為最大限度地減少資源(主要是電池)的消耗是至關重要的。有效的VPN應該知道僅在絕對必要時才激活，而不是在用戶訪問新聞站點之類的東西或在已知安全的應用程序中工作時激活。

四、過時的設備版本

智能手機、平板電腦和較小的連接設備(通常稱為物聯網(IoT))給企業安全帶來了新的風險，因為與傳統的工作設備不同，它們通常無法保證及時且持續的軟件更新。尤其是在Android方面，確實如此，因為絕大多數制造商都無法實時更新，不管是通過操作系統(OS)更新，還是物聯網設備每月的安全補丁更新，有些甚至在設計之初就沒有更新的選擇。

Du說：“其中許多甚至沒有內置的修補程序機制，可如今這些威脅正越來越多。”

根據Ponemon的說法，且不論攻擊的可能性增加了，就移動平臺的廣泛使用而言，就會增加數據泄露的總體成本，而豐富的工作相關的物聯網產品只會使這一數字進一步攀升。據網絡安全公司雷神公司(Raytheon)稱，物聯網是“一扇敞開的門”。研究表明，有82%的IT專業人員預測，不安全的物聯網設備將導致企業內部造成數據泄露，這將是很大的一場“災難”。

同樣，保障安全的有力政策還有很長的路要走。有些Android設備確實會及時提醒安全更新。然而，目前的物聯網安全只能由公司把控。

五、加密劫持攻擊

加密劫持是一種新興的移動威脅攻擊，攻擊者在所有者不知情的情況下使用設備來挖掘加密貨幣。加密采礦過程使用公司的設備來獲取他人的利益。它在很大程度上依賴于您的設備技術來做到這一點，這意味著受影響的手機可能會經歷很長的電池壽命，甚至可能由于組件過熱而遭受損壞。

盡管加密劫持起源于臺式機，但從2017年末到2018年初，移動端數量激增。根據Skybox Security的分析，加密貨幣挖礦占2018年上半年所有攻擊的三分之一。與上半年相比，這段時間內突出增加了70%。根據Wandera的報告，在2017年10月至2017年11月之間，針對于移動設備的加密劫持攻擊數量爆炸，當時受影響的移動設備數量激增了287%。

從那之后，情況有所好轉，尤其是在移動領域。這主要得益于，在6月和7月從Apple的iOS App Store和與Android相關的Google Play商店中禁止使用加密貨幣挖礦應用程序。安全公司仍然注意到，通過移動網站(甚至只是移動網站上的流氓廣告)和通過從非官方第三方市場下載的應用程序，攻擊仍在持續。

分析師還指出，還可能通過互聯網連接的機頂盒進行密碼劫持，某些企業可能將其用于流媒體和視頻播送。根據安全公司Rapid7的說法，黑客已經找到了一種明顯的漏洞利用的方法，該漏洞使Android Debug Bridge(僅用于開發人員使用的命令行工具)變得易于訪問，并且可以濫用此類產品。

目前，還沒有很好的應對辦法。除了仔細選擇設備并遵守一項政策，即要求用戶只能從平臺的官方店面下載應用程序外，這才能大大降低密碼劫持的可能性。而且，考慮到整個行業正在采取預防措施，實際上，沒有跡象表明大多數公司受到任何重大或直接的威脅。盡管如此，隨著2019年的發展，鑒于過去幾個月在該領域的活動不斷變化和攻擊者興趣不斷上升，加密劫持仍值得一提。

[[319387]]

六、密碼安全強度不夠

密碼安全或許已經被重視起來了，但是某種程度上，用戶仍然無法保護好其賬號的安全。當他們同時攜帶包含公司賬號和個人登錄信息的手機時，這尤其成問題。

最近的一項谷歌和哈里斯民意調查發現，根據調查的樣本，超過一半的美國人，重復使用多個賬號密碼;將近三分之一沒有使用2FA(或者不知道他們是否正在使用2FA);只有四分之一的人有積極使用密碼管理器，這表明絕大多數人在大多數地方可能沒有特別強的密碼，因為他們大概是自己生成的。

根據2018年LastPass的分析，有一半的專業人士在工作賬號和個人賬號中使用相同的密碼。此外，分析發現，一個普通的員工在他的工作過程中與一個同事共享大約六個密碼。

2017年，Verizon發現，較弱的或被盜的密碼超過80%應歸咎于與黑客相關的企業數據泄露行為。特別是在移動設備(員工希望快速登錄到各種應用程序、網站和服務)中，即使只有一個人粗心地在零售網站、聊天APP或消息論壇上輸入公司賬號的相同密碼，這時候也要考慮對組織數據的風險。現在，將這種風險與前面提到的Wi-Fi干擾風險相結合，將其乘以工作場所中的員工總數，接著就會發現潛在風險的暴露點迅速增加。在谷歌和哈里斯民意調查中，有69%的受訪者在有效保護其網絡賬號上給了“ A”或“ B”。顯然，這不可信。

七、物理設備導致泄露

丟失或無人看管的設備可能是主要的安全風險，尤其是如果它沒有強大的PIN或密碼以及完整的數據加密時。

在2016年的Ponemon研究中，35%的專業人員表示他們的工作設備沒有強制性的措施來保護可訪問的公司數據。更糟糕的是，將近一半的受訪者表示他們沒有密碼、PIN或生物特征安全保護設備。大約三分之二的受訪者表示他們不使用加密。68%的受訪者表示，他們有時會在其移動設備訪問的個人和工作賬號，并在兩者之間共享密碼。

在2019年移動威脅態勢分析中，Wandera發現43%的公司中至少有一部智能手機沒有任何鎖屏安全性。在其設備上設置了密碼或PIN的用戶中，許多人會選擇使用最少的四個字符的密碼。

因此，僅將責任放在用戶手中是不夠的。不要做假設，要制定政策。

八、移動廣告欺詐

根據互動廣告局(IAB)的報告，移動廣告產生了大量收入，僅在2019年上半年就達到了579億美元。網絡犯罪分子也會想從中分一杯羹。因此，他們找到了從移動廣告收入流中竊取現金的方法也就不足為奇了。估計廣告欺詐成本會有多少不同，但Juniper Research預計到2023年每年將損失1000億美元。

廣告欺詐可以采取多種形式，但最常見的是使用惡意軟件來產生對廣告的點擊，這些點擊似乎來自使用合法應用程序或網站的合法用戶。例如，用戶可能會下載提供合法服務(例如天氣預報或消息傳遞)的應用。但是，在后臺，該應用會對在該應用上顯示的合法廣告產生欺詐性點擊。發布商通常會根據其產生的廣告點擊次數來付費，因此，移動廣告欺詐行為會竊取公司的廣告預算，并可能竊取發布商的收入。

最大的受害者是移動廣告商和受廣告支持的發布商，但廣告欺詐行為也確實損害了移動用戶。與加密劫持一樣，廣告欺詐惡意軟件會在后臺運行，并可能降低智能手機的性能，耗盡其電池電量，導致更高的數據費用或引起過熱。安全供應商Upstream估計，由于移動廣告惡意軟件帶來的更高數據費用，智能手機用戶每年損失數百萬美元。

到目前為止，Android是最流行的移動廣告欺詐平臺。根據Upstream，以下是常見的Android惡意應用程序：

• Snaptube
• GPS Speedometer
• Messenger Plus的免費消息、視頻、聊天、文本
• Easy Scanner
• Weather Forecast
• Super Calculator
• Who Unfriended Me
• VidMate
• Quicktouch

Upstream報告建議用戶：

• 定期檢查應用程序，并刪除任何看起來可疑的應用程序;
• 監視數據使用情況以發現異常尖峰;
• 僅從Google Play安裝應用;
• 在安裝之前，請檢查應用程序的評論，開發人員詳細信息以及請求的權限列表，以確保它們均適用于其本身的用途。