企業(yè)員工自帶移動設(shè)備造成的威脅,可以是甚為微妙的惡意軟件攻擊以圖窺視瀏覽活動�����,也可以是簡單不過的將手機(jī)落在出租車?yán)铩_@些威脅迫使安全團(tuán)隊不得不引入新的措施來降低風(fēng)險���。在確實(shí)實(shí)施安全措施而又不影響員工工作效率之間���,存在一個平衡問題。專家指出����,第一步是要了解風(fēng)險是什么并就公司的安全取向?qū)︼L(fēng)險做出衡量。
10. 破解和Rooted設(shè)備
(Rooted設(shè)備:取得超級用戶權(quán)限的設(shè)備�。)有些員工每每會用最新最佳的技術(shù)設(shè)備,他們本身對技術(shù)有深刻的理解���,因而會破解固件或取得固件的超級用戶權(quán)限��。使用一些現(xiàn)存的工具軟件��,只要幾個點(diǎn)擊就可以完成破解過程����。破解的目的是移除設(shè)備制造者的一些限制��,這些限制往往是為了改善安全而設(shè)的。超級用戶權(quán)限會給用戶以管理層次的許可權(quán)��,因而可以安裝和運(yùn)行一些潛在的惡意軟件�����。
9. 限制可以繞行
那些限制員工的設(shè)備使用網(wǎng)絡(luò)的企業(yè)會發(fā)現(xiàn)員工利用一些方法繞過限制接到公司的網(wǎng)絡(luò)資源上��。有一些移動App可以讓員工通過控制網(wǎng)絡(luò)訪問檢查來瀏覽一些有欺詐鏈接的網(wǎng)頁��,或至少可以讓自己的設(shè)備訪問公司的電郵�����、日歷和聯(lián)系人等信息����。
8.易受攻擊的軟件和設(shè)備
有些員工對設(shè)備上的應(yīng)用軟件沒有進(jìn)行安全更新,也會曝露公司數(shù)據(jù)���。由于不同軟件商對設(shè)備軟件更新的做法不一樣���,使得問題更為復(fù)雜��。蘋果公司對iPhone用戶軟件更新時,用的是一次過的辦法�。而Google安卓設(shè)備上的軟件更新則處決于運(yùn)營商和制造商,有時候會長時間留下漏洞讓攻擊者有機(jī)可乘�����。另外��,商家對員工在設(shè)備上運(yùn)行第三方軟件時出現(xiàn)的編程錯誤也是沒有辦法控制的��。
7. 無線接入點(diǎn)
有些員工的設(shè)備是設(shè)置成自動找尋和接入任何公開無線接入點(diǎn)��,用來接收來自互聯(lián)網(wǎng)的數(shù)據(jù)��。大多數(shù)商家都會為訪客提供加密接入點(diǎn)���,但是有些酒店和住宅區(qū)會提供公開無加密無線接入點(diǎn)���,會使設(shè)備主人陷入中間人攻擊(man-in-the-middle attacks)的風(fēng)險和其他風(fēng)險,導(dǎo)致攻擊者可以窺視設(shè)備主人的網(wǎng)絡(luò)活動��。為減少此類威脅�,各個部門可以利用一些新技術(shù)強(qiáng)制無限用戶使用VPN訪問公司資源。
6. 電郵
如果設(shè)備主人沒有使用密碼鎖定設(shè)備���,智能手機(jī)或者平板電腦落入不法分子手中就會讓未經(jīng)授權(quán)的人毫無限制地訪問電郵���,知道設(shè)備被報失和數(shù)據(jù)被消除后才能停止�。有些公司會要求用戶每一次在自己的設(shè)備上查電郵時都必須輸入密碼�。也有一些公司會要求員工對設(shè)備進(jìn)行近乎實(shí)時的安全更新。
5. 惡意廣告軟件和間諜軟件
許多免費(fèi)移動程序會盡量搜集設(shè)備擁有者的信息���,然后把這些信息賣給廣告網(wǎng)絡(luò)����。如果一個移動程序在沒有獲得用戶許可的情況下搜集資料�����,安全廠商會將其歸結(jié)到惡意廣告軟件或間諜軟件一類����。也有些Apps會在設(shè)備上安裝一些強(qiáng)迫性的廣告搜索引擎,把用戶引到一些特定的網(wǎng)站�。
4. 太多的許可
好消息是蘋果公司、Google和微軟都強(qiáng)制移動應(yīng)用程序制造商獲得訪問設(shè)備資源(如攝像頭���、地址薄)的許可��。壞消息是�,大多數(shù)用戶典型地不會細(xì)讀任何東西��,而總是在安裝移動程序時授權(quán)許可����。安全專家指,太多許可的Apps讓人對資料泄露感憂慮�����。授權(quán)太多的許可會使地址薄�����、電郵地址和設(shè)備地點(diǎn)信息落入不法之徒手中�����。
3. 基于云存貯服務(wù)
和其他存貯服務(wù)為移動設(shè)備提供服務(wù)���,讓人對資料泄露感憂慮���。如果公司沒有限制敏感資料的貯存��,或是沒有實(shí)施限制用戶使用移動云存貯程序的措施��,公司員工可以用這些存貯服務(wù)來貯存公司資料���。還有,如果公司沒有提供一個認(rèn)可的存貯解決方案�����,懂技術(shù)細(xì)節(jié)的用戶就可能會繞過安全控制�����。除了Dropbox以外�����,Google����、蘋果和微軟也為消費(fèi)者提供存貯功能。
2. 安卓惡意軟件呈上升趨勢
一直在監(jiān)視惡意軟件發(fā)展的安全廠商發(fā)現(xiàn)以安卓為目標(biāo)的移動惡意軟件數(shù)目在穩(wěn)步增加��。威脅的整體是針對消費(fèi)者的SMS文字短訊木馬,不過企業(yè)也不免受到影響�����。安全公司Kaspersky Lab最近發(fā)現(xiàn)了Red October���。Red October帶有一移動惡意軟件組件,做攻擊活動用��。F-Secure也檢測到Zeus和SpyEye銀行木馬���,企圖利用受害人的移動設(shè)備��。
1.遺失或被竊設(shè)備
有不少公司允許員工用私人設(shè)備訪問公司網(wǎng)絡(luò)�����,一旦這些設(shè)備遺失或被竊對公司來說是最大的風(fēng)險���。商家可以用遠(yuǎn)程消除資料的方法,從丟失的設(shè)備中刪掉公司資料�,如電郵地址和地址薄等。但是可能有些員工不愿意讓雇主不受限制地訪問自己的設(shè)備��,此類反彈促使一些公司考慮用集裝箱化(containerization)的辦法。對公司的資料做集裝箱化處理后����,設(shè)備丟失后,IT團(tuán)隊就可以有選擇地消除公司資料����。
