2019年需要認真對待的七種移動安全威脅
責編:gltian |2019-08-02 11:17:18提到 “移動安全威脅”,你腦海里只有 “移動惡意軟件”?事實上,還有很多移動安全威脅類型要遠比移動惡意軟件更加緊迫。而對于 2019 年最緊迫的 7 種移動安全威脅類型,每個企業都應該加以關注并認真對待。
如今,移動安全是每家公司最擔心的問題——而且理由很充分:現在幾乎所有工作人員都習慣使用智能手機訪問公司數據,這就意味著確保敏感信息不落入壞人之手正成為一個越來越錯綜復雜的難題。甚至可以說,這種風險比以往任何時候都要高:根據波耐蒙研究所 (Ponemon Institute) 2018 年的一份報告顯示,企業數據泄露的平均成本高達 386萬美元,這一數字要比一年前的估計成本高出 6.4%。
雖然人們很容易把注意力放在 “惡意軟件” 這種極具震撼性的話題上,但事實上,移動惡意軟件感染在現實世界中是非常罕見的——根據一項估計顯示,你被移動惡意軟件感染的幾率要明顯低于你被閃電擊中的幾率。惡意軟件目前在數據泄露事件中被列為 “最不常見的初始行為”,事實上,在 Verizon 發布的《2019年數據泄露調查報告》中,惡意軟件甚至排在 “物理攻擊” 之后。這主要歸功于移動惡意軟件的性質,以及現代移動操作系統內置的固有保護機制。
更現實的移動安全隱患存在于一些容易被忽視的領域,隨著 2019 年的到來,這些問題預計只會變得更加緊迫:
一、數據泄漏
這聽起來像是機器人泌尿外科醫生的診斷,但數據泄露被廣泛視為 “2019年企業安全最令人擔憂的威脅之一”。還記得那些幾乎不存在的被惡意軟件感染的幾率嗎?好吧,根據 Ponemon 的最新研究顯示,當涉及到數據泄露時,公司有近 28% 的幾率在未來兩年內經歷至少一起事件——換句話說,就是有超過四分之一的可能性。
讓這個問題變得特別棘手的原因是,它本質上并不是邪惡的;相反地,這是用戶在無意中做出了不明智的決定,決定哪些應用程序能夠查看和傳輸他們的信息。
Gartner 移動安全研究主管 Dionisio Zumerle 表示,“主要的挑戰是如何實施一種既不會增加管理員任務負擔,也不會讓用戶感到沮喪的應用審查流程。” 他建議轉向移動威脅防御 (MTD) 解決方案——如賽門鐵克的 Endpoint Protection Mobile、CheckPoint 的 SandBlast Mobile 以及 Zimperium 的 zIPS 保護等產品。Zumerle 表示,這些實用程序可以掃描應用程序的 “泄漏行為”,并可以自動阻止有問題的進程。
當然,即便這樣也不能完全解決由于公開的用戶錯誤而導致的泄漏——一些簡單的事情,比如將公司文件傳輸到公共云存儲服務上,將機密信息粘貼到錯誤的地方,或是將電子郵件轉發給一個無意的收件人。這是醫療行業目前正在努力克服的一個挑戰:根據專業保險提供商 Beazley 的說法,“意外泄露” 是2018年第三季度醫療保健組織報告的數據泄露的首要原因。在這段時間內,該類別與 “內部消息泄露”一起占據了所有報告的泄密事件的近一半。
對于這種類型的泄漏,數據丟失防護 (DLP) 工具可能是最有效的保護形式。此類軟件明確設計用于防止敏感信息的暴露,包括在意外情況下的信息泄露。
二、社會工程
這種屢試不爽的欺騙策略在移動端和臺式機上一樣令人不安。盡管人們很容易認為社會工程的弊端是可以避免的,但它們仍然非常有效。
根據安全公司 FireEye 2018 年發布的一份報告顯示,91% 的網絡犯罪始于電子郵件。該公司將此類事件稱為 “無惡意軟件攻擊”,因為它們依靠模仿等策略來誘騙人們點擊危險的鏈接或提供敏感信息。該公司表示,網絡釣魚在 2017 年期間增長了 65%,移動用戶面臨著最大的風險,因為許多移動電子郵件客戶端僅顯示發件人名稱——這使得欺騙消息變得特別容易蒙混過關,讓用戶相信該電子郵件來自他們認識或信任的人。
根據 IBM 的一項研究顯示,用戶在移動設備上對網絡釣魚攻擊的回應率實際上是臺式機的三倍——部分原因是因為手機是人們最有可能率先看到消息的地方。與此同時,Verizon 的最新研究也支持了這一結論,并補充道:較小的屏幕尺寸以及智能手機上顯示的詳細信息有限(特別是通知欄中通常只包含用于打開鏈接或回復信息的單擊選項)等因素都增加了網絡釣魚攻擊成功的可能性。
除此之外,移動電子郵件客戶端中 “行動導向” 的按鈕所在的位置過分顯著,以及用戶使用智能手機時的不專心和多任務處理方式等都加劇了這種威脅效果——而且大多數網絡流量現在大多發生在移動設備上的事實只能進一步鼓勵攻擊者繼續瞄準這一領域。
當然,社會工程威脅不僅僅是針對電子郵件:正如企業安全公司 Wandera 在其最新的移動威脅報告中指出的那樣,過去一年中 83% 的網絡釣魚攻擊發生在電子郵件以外的地方——例如,短信或 Facebook Messenger 和 WhatsApp 等應用程序,以及各種游戲和社交媒體服務之中。
此外,根據 Verizon 的最新數據顯示,雖然實際上只有 1% 到 5% 不等(具體取決于行業)的用戶點擊了網絡釣魚相關鏈接,但那些容易上當的用戶往往是屢犯不改。該公司指出,有人點擊網絡釣魚活動鏈接的次數越多,他們將來再次這樣做的可能性就越大。Verizon 此前曾報道稱,15% 成功被釣魚的用戶將在同一年內至少再被釣魚一次。
PhishMe(一家使用真實世界模擬訓練員工識別和應對網絡釣魚企圖的公司)的信息安全和反網絡釣魚策略師 John Robinson 表示,我們確實看到了整體移動計算的增長推動了移動敏感度的普遍上升,以及 BYOD 工作環境的持續增長。如今,工作和個人電腦之間的界限也在不斷模糊,越來越多的員工在智能手機上同時查看多個收件箱,而且幾乎每個人在工作日都會在網上處理一些個人事務。因此,在收到工作郵件的同時收到私人郵件在表面上看起來一點也不奇怪,即使這實際上可能是一個詭計。
這種威脅形勢只會日益嚴峻。網絡騙子現在顯然正在使用網絡釣魚手段來試圖誘騙人們放棄雙因素身份驗證碼(旨在保護賬戶免受未經授權的訪問)。為了應對這種情況,用戶可以轉向基于硬件的身份驗證——通過 Google 的 Titan 或 Yubico 的 YubiKeys 等專用物理安全密鑰,或者通過 Google 的 Android 手機設備安全密鑰選項——這是提高安全性和降低基于網絡釣魚的接管幾率的最有效方法。
根據谷歌、紐約大學和加州大學圣地亞哥分校進行的一項研究顯示,即使只是設備上的身份驗證也可以防止 99% 的大規模網絡釣魚攻擊和 90% 的針對性攻擊,相比之下,更易受網絡釣魚攻擊影響的 2FA 代碼對于相同類型攻擊的有效防御率分別為 96% 和 76%。
三、無線 (Wi-Fi) 干擾
移動設備的安全性取決于它傳輸數據的網絡。在這個我們都在不斷連接公共 Wi-Fi 網絡的時代,這就意味著我們的信息通常不像我們想象的那么安全。
這個問題究竟有多重要?根據 Wandera 公司進行的一項研究顯示,企業移動設備使用 Wi-Fi 幾乎是使用蜂窩數據的三倍。近四分之一的設備可能連接到開放且不安全的 Wi-Fi 網絡,并且有 4% 的設備在最近一個月內遭遇了中間人攻擊 (MitM)——即有人惡意攔截雙方之間的通信。與此同時,McAfee 表示,網絡欺騙最近 “急劇增加”,然而,只有不到一半的人愿意在旅行和依賴公共網絡時努力保護他們的連接安全。
專注研究智能手機安全問題的 Syracuse 大學計算機科學教授 Kevin Du 表示:現在,加密流量并不困難。如果你沒有 VPN,就等于你在自己周邊敞開了很多攻擊入口。
但是,選擇正確的企業級 VPN 并不容易。和大多數與安全相關的考慮因素一樣,這個問題也是需要權衡的。Gartner 的 Zumerle 指出,移動設備的 VPN 交付需要更加智能,因為最大限度地減少資源消耗(主要是電池)是至關重要的。一個有效的 VPN 應該知道只有在絕對必要時才能激活,而不是當用戶訪問類似新聞網站或在已知安全的應用程序中工作時就隨便激活。
四、過時的設備
智能手機、平板電腦和更小的聯網設備(通常被稱為物聯網/IoT)對企業安全構成了新的風險,因為與傳統的工作設備不同,它們通常不能保證及時和持續的軟件更新。對于 Android 系統而言尤為如此,絕大多數制造商在保持其產品更新方面都表現得 “心有余而力不足”——無論是操作系統 (OS) 更新還是月度安全補丁發布——甚至在大多數物聯網設備中根本就沒有內置補丁機制,而如今這些因素正成為越來越大的威脅。
Ponemon 認為,撇開攻擊可能性增加不提,移動平臺的廣泛使用提高了數據泄露的總體成本,而大量與工作相關的物聯網產品只會導致這一數字進一步攀升。根據網絡安全公司 Raytheon 的說法,物聯網是一扇 “敞開的大門”。該公司贊助的一項研究顯示,82% 的 IT專業人士預測,不安全的物聯網設備將會導致企業內部的數據泄露——而且這種數據泄露規模和影響很可能是 “災難級的”。
同樣,一項強有力的政策還有很長的路要走。有些Android設備確實可以及時獲得可靠的持續性更新。在物聯網領域變得不那么像 “蠻荒西部” 之前,必須由一家公司圍繞它們建立自己的安全網絡。
五、加密劫持(Cryptojacking)攻擊
作為相關移動威脅列表的一個相對較新的補充,Cryptojacking=Cryptocurrency(加密貨幣)+ Hijacking(劫持),它的字面意義是 “劫持加密數字貨幣”,實際意義則是劫持用戶的計算機設備,并利用其 CPU 或其他處理器來挖掘虛擬加密貨幣,因而叫做 “加密劫持”。這是一種近乎隱身的技術,企業通常很難察覺,其造成的損害不言而喻。如果加密貨幣挖掘的惡意軟件感染了云基礎設施或電費賬單,則可能會立即產生財務影響。它還可能通過減慢機器速度,來損害設備的生產效率和性能,而后者的損害結果顯然不如前者易于察覺。
雖然 “加密劫持” 起源于桌面,但從 2017 年末到 2018 年初,它在移動端出現了激增的趨勢。根據 Skybox Security 一份分析報告顯示,2018 年上半年,不受歡迎的加密貨幣挖掘占所有攻擊的三分之一,與前半年相比,這段時間顯著增加了 70%。此外,根據 Wandera 的一份報告顯示,2017 年 10 月至 11 月期間,針對移動設備的加密劫持攻擊爆發了,受影響的移動設備數量激增了 287%。
自那以后,情況已經有所緩解,特別是在移動領域。這一結果主要得益于蘋果 iOS 應用商店和 android 相關的谷歌 Play 商店分別在 6 月和 7 月禁止使用加密貨幣挖掘應用的舉措。盡管如此,該安全公司還是注意到,攻擊可以繼續通過移動網站(甚至只是移動網站上的流氓廣告)以及從非官方第三方市場下載的應用程序獲得一定程度的成功。
分析人士還指出了通過互聯網連接的機頂盒(一些企業可能會使用機頂盒進行流媒體和視頻投射)進行加密劫持的可能性。根據安全公司 Rapid7 的說法,黑客已經找到了一種方法來利用一個明顯的漏洞,該漏洞使 Android Debug Bridge(一種僅供開發人員使用的命令行工具)變得容易訪問,而且濫用這類產品的時機已經成熟。
目前,對于這種威脅形式并沒有什么好的答案,除了仔細選擇設備并堅持要求用戶僅從平臺的官方店面下載應用程序,如此可能會顯著降低加密劫持的可能性。而且實際上,目前沒有跡象表明大多數公司受到任何重大或直接的威脅,特別是考慮到整個行業都在采取預防措施。盡管如此,考慮到過去幾個月該領域的活動起伏不定,而且攻擊者對該領域的興趣不斷上升,2019 年的進展情況仍然是一件值得關注的事情。
六、薄弱的密碼衛生情況
你可能認為我們現在已經過了這一階段,但不知何故,用戶仍然沒有正確地保護他們的帳戶——當他們攜帶的手機同時包含公司帳戶和個人登錄時,這可能會出現問題。
根據谷歌和哈里斯民意調查 (Harris Poll) 的一項新研究發現,調查樣本顯示,超過一半的美國人在多個賬戶上使用相同的密碼。同樣令人擔憂的是,近三分之一的人沒有使用雙因素身份驗證(或者甚至不知道他們是否在使用它,這可能會更糟糕)。而且只有四分之一的人在積極地使用密碼管理器,這表明絕大多數人可能在大多數地方都沒有設置特別強的密碼,因為他們可能需要自己生成和記憶密碼,而太過復雜、強大的密碼顯然并不利于記憶。
情況只會變得越來越糟:根據 2018 年的 LastPass 分析顯示,有整整一半的專業人士在工作和個人賬戶上使用相同的密碼。分析還發現,更糟糕的是,一個普通員工在工作過程中會與同事分享大約六個密碼。
為了避免你認為這一切都無關緊要,2017 年,Verizon 發現,在與黑客相關的企業入侵事件中,80% 以上要歸咎于薄弱或被盜的密碼。特別是移動設備上設置或被盜的密碼,工作人員想要通過移動設備快速登錄到各種應用程序、網站和服務之中,但是,當你這樣做時,請考慮一下組織數據面臨的風險。即便只有一個人在隨機零售網站、聊天應用或消息論壇上使用了與公司賬戶相同的密碼,也會將企業數據置于危險之中。現在,把這個風險和前面提到的 Wi-Fi 干擾的風險結合起來,乘以你工作場所的員工總數,你還會覺得這種威脅無關緊要嗎?
也許最令人煩惱的是,大多數人似乎完全忘記了他們在這方面的疏忽。在谷歌和 Harris Poll 調查中,69% 的受訪者對于自己是否有效地保護了他們的在線賬戶,給了自己一個 “A” 或 “B” 的評分,盡管后來的答案表明并非如此。顯然,我們無法信任用戶自己對此事的評估。
七、物理設備違規
最后且最重要的一點可能看起來特別愚蠢,但仍然是一個令人不安的現實威脅:丟失或無人看管的設備可能是一個主要的安全風險,特別是如果它沒有強大的 PIN 或密碼和完整的數據加密的話。
關于這種情況的緊迫性,我們可以通過下述數據進行了解:在 2016 年的 Ponemon 研究中,35% 的專業人士表示他們的工作設備中沒有設置強制措施來保護可訪問的公司數據。更糟糕的是,接近一半的受訪者表示他們沒有密碼、PIN 或生物識別安全機制來保護他們的設備——且大約三分之二的受訪者表示他們沒有使用任何加密技術。68% 的受訪者表示他們有時會通過移動設備訪問個人和工作帳戶的密碼。
如今,時過三年,情況似乎并沒有好轉。在其 2019 年的移動威脅態勢分析中,Wandera 發現,43% 的公司在其登記簿中至少有一部智能手機沒有設置任何鎖屏安全措施。該報告還指出,即便是在設備上設置了密碼或 PIN 的用戶,大多數也只是選擇了使用最少的四字符代碼。
由此,很容易得出結論:僅僅把責任留給用戶是不夠的。不要只是做出假設,而要切實地制定政策,你以后會感謝自己這樣做的。
波耐蒙研究所2018年的關于數據泄露的報告:
https://www.ibm.com/security/data-breach
Verizon 發布的《2019年數據泄露調查報告》:
https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf