2019年需要认真对待的七种移动安全威胁

提到 “移动安全威胁”，你脑海里只有 “移动恶意软件”?事实上，还有很多移动安全威胁类型要远比移动恶意软件更加紧迫。而对于 2019 年紧迫的 7 种移动安全威胁类型，每个企业都应该加以关注并认真对待。

如今，移动安全是每家公司担心的问题——而且理由很充分：现在几乎所有工作人员都习惯使用智能手机访问公司数据，这就意味着确保敏感信息不落入坏人之手正成为一个越来越错综复杂的难题。甚至可以说，这种风险比以往任何时候都要高：根据波耐蒙研究所 (Ponemon Institute) 2018 年的一份报告显示，企业数据泄露的平均成本高达 386万美元，这一数字要比一年前的估计成本高出 6.4%。

虽然人们很容易把注意力放在 “恶意软件” 这种极具震撼性的话题上，但事实上，移动恶意软件感染在现实世界中是非常罕见的——根据一项估计显示，你被移动恶意软件感染的几率要明显低于你被闪电击中的几率。恶意软件目前在数据泄露事件中被列为 “最不常见的初始行为”，事实上，在 Verizon 发布的《2019年数据泄露调查报告》中，恶意软件甚至排在 “物理攻击” 之后。这主要归功于移动恶意软件的性质，以及现代移动操作系统内置的固有保护机制。

更现实的移动安全隐患存在于一些容易被忽视的领域，随着 2019 年的到来，这些问题预计只会变得更加紧迫：

一、数据泄漏

这听起来像是机器人泌尿外科医生的诊断，但数据泄露被广泛视为 “2019年企业安全最令人担忧的威胁之一”。还记得那些几乎不存在的被恶意软件感染的几率吗?好吧，根据 Ponemon 的最新研究显示，当涉及到数据泄露时，公司有近 28% 的几率在未来两年内经历至少一起事件——换句话说，就是有超过四分之一的可能性。

让这个问题变得特别棘手的原因是，它本质上并不是邪恶的;相反地，这是用户在无意中做出了不明智的决定，决定哪些应用程序能够查看和传输他们的信息。

Gartner 移动安全研究主管 Dionisio Zumerle 表示，“主要的挑战是如何实施一种既不会增加管理员任务负担，也不会让用户感到沮丧的应用审查流程。” 他建议转向移动威胁防御 (MTD) 解决方案——如赛门铁克的 Endpoint Protection Mobile、CheckPoint 的 SandBlast Mobile 以及 Zimperium 的 zIPS 保护等产品。Zumerle 表示，这些实用程序可以扫描应用程序的 “泄漏行为”，并可以自动阻止有问题的进程。

当然，即便这样也不能完全解决由于公开的用户错误而导致的泄漏——一些简单的事情，比如将公司文件传输到公共云存储服务上，将机密信息粘贴到错误的地方，或是将电子邮件转发给一个无意的收件人。这是医疗行业目前正在努力克服的一个挑战：根据专业保险提供商 Beazley 的说法，“意外泄露” 是2018年第三季度医疗保健组织报告的数据泄露的首要原因。在这段时间内，该类别与 “内部消息泄露”一起占据了所有报告的泄密事件的近一半。

对于这种类型的泄漏，数据丢失防护 (DLP) 工具可能是最有效的保护形式。此类软件明确设计用于防止敏感信息的暴露，包括在意外情况下的信息泄露。

二、社会工程

这种屡试不爽的欺骗策略在移动端和台式机上一样令人不安。尽管人们很容易认为社会工程的弊端是可以避免的，但它们仍然非常有效。

根据安全公司 FireEye 2018 年发布的一份报告显示，91% 的网络犯罪始于电子邮件。该公司将此类事件称为 “无恶意软件攻击”，因为它们依靠模仿等策略来诱骗人们点击危险的链接或提供敏感信息。该公司表示，网络钓鱼在 2017 年期间增长了 65%，移动用户面临着最大的风险，因为许多移动电子邮件客户端仅显示发件人名称——这使得欺骗消息变得特别容易蒙混过关，让用户相信该电子邮件来自他们认识或信任的人。

根据 IBM 的一项研究显示，用户在移动设备上对网络钓鱼攻击的回应率实际上是台式机的三倍——部分原因是因为手机是人们最有可能率先看到消息的地方。与此同时，Verizon 的最新研究也支持了这一结论，并补充道：较小的屏幕尺寸以及智能手机上显示的详细信息有限(特别是通知栏中通常只包含用于打开链接或回复信息的单击选项)等因素都增加了网络钓鱼攻击成功的可能性。

除此之外，移动电子邮件客户端中 “行动导向” 的按钮所在的位置过分显著，以及用户使用智能手机时的不专心和多任务处理方式等都加剧了这种威胁效果——而且大多数网络流量现在大多发生在移动设备上的事实只能进一步鼓励攻击者继续瞄准这一领域。

当然，社会工程威胁不仅仅是针对电子邮件：正如企业安全公司 Wandera 在其最新的移动威胁报告中指出的那样，过去一年中 83% 的网络钓鱼攻击发生在电子邮件以外的地方——例如，短信或 Facebook Messenger 和 WhatsApp 等应用程序，以及各种游戏和社交媒体服务之中。

此外，根据 Verizon 的最新数据显示，虽然实际上只有 1% 到 5% 不等(具体取决于行业)的用户点击了网络钓鱼相关链接，但那些容易上当的用户往往是屡犯不改。该公司指出，有人点击网络钓鱼活动链接的次数越多，他们将来再次这样做的可能性就越大。Verizon 此前曾报道称，15% 成功被钓鱼的用户将在同一年内至少再被钓鱼一次。

PhishMe(一家使用真实世界模拟训练员工识别和应对网络钓鱼企图的公司)的信息安全和反网络钓鱼策略师 John Robinson 表示，我们确实看到了整体移动计算的增长推动了移动敏感度的普遍上升，以及 BYOD 工作环境的持续增长。如今，工作和个人电脑之间的界限也在不断模糊，越来越多的员工在智能手机上同时查看多个收件箱，而且几乎每个人在工作日都会在网上处理一些个人事务。因此，在收到工作邮件的同时收到私人邮件在表面上看起来一点也不奇怪，即使这实际上可能是一个诡计。

这种威胁形势只会日益严峻。网络骗子现在显然正在使用网络钓鱼手段来试图诱骗人们放弃双因素身份验证码(旨在保护账户免受未经授权的访问)。为了应对这种情况，用户可以转向基于硬件的身份验证——通过 Google 的 Titan 或 Yubico 的 YubiKeys 等专用物理安全密钥，或者通过 Google 的 Android 手机设备安全密钥选项——这是提高安全性和降低基于网络钓鱼的接管几率的最有效方法。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!