2020年你应该关注的8大移动安全威胁如果被不法分子利用,那么事情就变得复杂了。可以毫不夸张地说,移动风险现在比以往任何时候都高。根据PonemonInstitute2018年的一份报告,数据泄露给企业造成的平均成本高达386万美元。这比一年前的估计成本高出6.4%。谈到移动安全时,虽然很容易将注意力集中在引起轰动的恶意软件上,但现实情况是,考虑到移动恶意软件的性质和现代移动操作系统内置的固有保护,感染数量很少。根据一项估计,设备被感染的几率明显低于人被闪电击中的几率。恶意软件目前被认为是最不常见的数据泄露手段。恶意软件攻击在Verizon的《2019年数据泄露调查报告》中排名第二,仅次于物理攻击。更真实的移动安全风险在于被忽视的安全更紧迫的领域:1.数据泄露数据泄露被广泛认为是2019年最令人担忧的企业安全威胁之一。根据Ponemon的最新研究,有28公司在未来两年内至少经历一次数据泄露的概率百分比。也就是说,几率是四分之一。这个问题特别烦人的是,它本身并不是什么大问题。然而,这只是用户无意中就哪些应用程序能够查看和传输他们的信息做出错误建议的问题。Gartner移动安全研究总监DionisioZumerle表示:“主要的挑战是如何实施一个不会让管理员不知所措或让用户感到沮丧的应用程序审查流程。”他推荐移动威胁防御(MTD)解决方案、赛门铁克的EndpointProtectionMobile、CheckPoint的SandBlastMobile和Zimperium的zIPSProtection等产品。这样的实用程序会扫描应用程序以查找“泄漏”,并可以自动阻止有问题的进程。当然,即使这样也不能总能防止由于低级用户错误而导致的泄漏,例如将公司文件传输到公共云存储服务、将机密信息粘贴到错误的位置或将电子邮件转发给无关方。医疗保健行业目前正在努力应对这些困难。根据专业保险提供商Beazley的说法,“意外泄露”是2018年第三季度医疗机构报告的数据泄露的主要原因。加上内部泄露,这一类别几乎占了这段时间报告的所有事件的一半。对于此类违规行为,数据丢失防护(DLP)工具可能是最有效的保护形式。此类软件专门用于防止意外泄露敏感信息。2.移动设备上的社会工程欺骗策略与桌面设备一样令人不安。虽然社会工程策略被认为很容易避免,但当它们真正发生时,它们仍然会出奇地有效。根据安全公司FireEye2018年的一份报告,惊人的91%的网络犯罪都是从电子邮件开始的。该公司将此类事件称为“无恶意软件攻击”,因为它们依赖于模仿等策略来诱骗人们点击危险链接或提供敏感信息。该公司表示,2017年网络钓鱼增加了65%,移动用户面临巨大的安全风险,因为许多移动电子邮件客户端仅显示发件人姓名,因此特别容易伪造虚假信息并诱使用户认为电子邮件来自人他们知道或信任。根据IBM的一项研究,网络钓鱼攻击在移动设备上发生的可能性实际上是台式机的三倍,部分原因是人们最有可能在手机上看到消息。Verizon的最新研究也证实了这一结论,并补充说,智能手机上较小的屏幕尺寸和有限的详细信息显示(尤其是在通知中,现在通常包括打开链接或回复消息的一键式选项),这也可能增加钓鱼成功。再加上移动电子邮件客户端中回复按钮的显着存在,以及员工倾向于以多任务、不专心的方式使用智能手机的趋势,放大了影响。现在大多数网络流量通常都在移动设备上,这导致攻击者将注意力转向移动设备。而且,它不再只是电子邮件。在其最新的移动威胁报告中,企业安全公司Wandera指出,过去一年中83%的网络钓鱼攻击发生在收件箱之外,例如短信或FacebookMessenger和WhatsApp等应用程序,以及各种游戏和社交媒体服务。此外,根据Verizon的最新数据,虽然只有百分之几的用户点击与网络钓鱼相关的链接,从1%到5%不等,具体取决于行业.该公司指出,有人在网络钓鱼活动中点击链接的次数越多,他们将来再次点击的可能性就越大。Verizon此前曾报告称,15%的被成功钓鱼的用户将在同一年至少被钓鱼一次。PhishMe的信息安全和反网络钓鱼策略师John“Lex”Robinson说:“我们确实看到移动计算的整体增长和BYOD工作环境的持续增长推动了移动敏感性的普遍增长。”一家模拟培训员工识别和应对网络钓鱼的公司。Robinson指出,工作和个人计算之间的界限也越来越模糊。越来越多的员工在智能手机上同时查看多个收件箱,将工作账户和个人账户关联起来,几乎每个人在工作日都会在线处理一些个人事务。因此,从表面上看,个人电子邮件和工作消息似乎正常接收,但实际上可能潜伏着陷阱。风险只会继续增加。显然,网络骗子现在甚至使用网络钓鱼来诱骗人们放弃双因素身份验证,这是一种旨在保护帐户免遭未经授权访问的代码。转向基于硬件的身份验证,例如通过专用物理安全密钥(例如Google的Titan或Yubico的YubiKeys),或通过Google的设备安全密钥选项的Android手机。根据谷歌、纽约大学和加州大学圣地亚哥分校的一项研究,设备上的身份验证可以阻止99%的批量网络钓鱼攻击和90%的有针对性的攻击,与类似的更可疑的2FA代码网络钓鱼相比,这些设备是96%和分别有效率76%。3.Wi-Fi干扰移动设备与传输数据的网络一样安全。在这个时代,我们经常连接到公共Wi-Fi网络,这意味着我们的信息通常并不像我们想象的那么安全。这真的有多重要?根据Wandera的研究,企业移动设备使用Wi-Fi的次数几乎是使用蜂窝数据的三倍。近四分之一的设备连接到开放且可能不安全的Wi-Fi网络,4%的设备在上个月遭受了中间人攻击,其中有人恶意拦截了双方之间的通信。McAfee说,最近,在线欺骗“急剧增加”,但只有不到一半的人愿意在旅行和依赖公共网络时保护他们的连接。“现在加密流量并不难,”锡拉丘兹大学计算机科学教授KevinDu说,他专门研究智能手机安全。“没有VPN,边境打开了很多扇门。”然而,选择合适的企业级VPN并非易事。与大多数安全考虑一样,几乎总是需要权衡取舍。Gartner的Zumerle指出:“移动设备的VPN交付需要更加智能,因为最大限度地减少资源(主要是电池)消耗至关重要。有效的VPN应该知道只在绝对必要时激活,而不是在用户访问新闻网站或工作时激活4.过时的设备版本智能手机、平板电脑和较小的连接设备(通常称为物联网(IoT))给企业安全带来了新的风险,因为与传统的工作设备不同,它们是通常不能保证及时和持续的软件更新。对于Android尤其如此,因为绝大多数制造商无法保持最新??状态,无论是通过操作系统(OS)更新还是每月安全补丁物联网设备的更新,有些甚至不是为了选择这样做而设计的。杜说:“其中许多甚至没有内置的补丁机制,而且这些威胁正在增加。”根据Ponemon,尽管攻击的可能性增加,但移动平台的广泛使用将增加数据泄露的总体成本,与工作相关的物联网产品的丰富只会使这个数字进一步攀升。根据网络安全公司Raytheon的说法,物联网是“一扇敞开的门”。研究表明,82%的IT专业人士预测,不安全的物联网设备将导致企业内部的数据泄露,这将是一场大“灾难”。同样,确保安全的强有力政策大有帮助。一些Android设备确实有安全更新的及时提醒。然而,目前物联网安全只能由公司来控制。5.Cryptojacking攻击Cryptojacking是一种新兴的移动威胁攻击,攻击者使用设备在所有者不知情的情况下挖掘加密货币。加密采矿过程使用公司的设备来造福他人。它在很大程度上依赖于您的设备技术来执行此操作,这意味着受影响的手机可能会经历较长的电池寿命,甚至可能会因组件过热而受损。尽管加密劫持起源于台式机,但从2017年底到2018年初,移动设备出现了激增。根据SkyboxSecurity的分析,加密货币挖矿占2018年上半年所有攻击的三分之一。与上半年相比,这一时期的知名度增加了70%。根据Wandera的报告,2017年10月至11月期间,针对移动设备的加密劫持攻击数量激增,受影响的移动设备数量激增287%。从那以后,事情变得更好了,尤其是在移动领域。这主要是由于Apple的iOSAppStore和Android相关的GooglePlayStore在6月和7月禁止了加密货币挖矿应用程序。安全公司仍然注意到通过移动网站(甚至只是在它们上投放流氓广告)和从非官方第三方市场下载的应用程序进行的持续攻击。分析师还指出了通过联网机顶盒进行加密劫持的可能性,一些企业可能会使用机顶盒进行流媒体和视频分发。据安全公司Rapid7称,黑客已经找到一种方法来利用一个明显的漏洞,该漏洞使得AndroidDebugBridge(一种仅供开发人员使用的命令行工具)可以访问并能够滥用此类产品。目前没有很好的解决办法。加上仔细选择设备并遵守要求用户仅从平台官方店面下载应用程序的政策,这大大降低了加密劫持的机会。而且,鉴于该行业正在采取的预防措施,事实上,没有迹象表明对大多数公司有任何重大或直接的威胁。尽管如此,随着2019年的进展,鉴于过去几个月该领域的活动不断变化以及攻击者的兴趣不断上升,加密劫持仍值得一提。六是密码安全强度不够。密码安全可能已经被重视,但在某种程度上,用户仍然无法保护自己账户的安全。当他们携带包含公司帐号和个人登录信息的电话时,这尤其成问题。最近的一项谷歌和哈里斯民意调查发现,根据调查样本,超过一半的美国人重复使用多个账户密码;将近三分之一的人不使用2FA(或者不知道他们是否使用2FA);只有四分之一的人积极使用密码管理器,这表明绝大多数人在大多数地方可能没有特别强的密码,因为他们可能会生成自己的密码。根据2018年LastPass的分析,一半的专业人士在他们的工作和个人账户中使用相同的密码。此外,分析发现,普通员工在工作过程中会与同事共享大约六个密码。2017年,Verizon发现超过80%的弱密码或被盗密码是与黑客相关的企业数据泄露的罪魁祸首。尤其是在移动设备中(员工希望快速登录各种应用程序、网站和服务),即使只有一个人在零售网站、聊天应用程序或消息论坛上不小心输入了公司帐户的相同密码,也会给组织数据带来风险。现在,将此风险与前面提到的Wi-Fi干扰风险相结合,乘以工作场所的员工总数,您就会发现潜在暴露点的数量正在迅速增加。在谷歌和哈里斯民意调查中,69%的受访者对有效保护在线账户的评价为“A”或“B”。显然,这是不可信的。7.物理设备导致泄露丢失或无人看管的设备可能是一个主要的安全风险,特别是如果它没有强大的PIN或密码以及完整的数据加密。在2016年Ponemon的一项研究中,35%的专业人士表示他们的工作设备没有实施措施来保护可访问的公司数据。更糟糕的是,将近一半的受访者表示他们没有密码、PIN或生物识别安全设备。大约三分之二的受访者表示他们不使用加密技术。68%的受访者表示,他们有时会在移动设备上访问个人和工作帐户,并在两者之间共享密码。Wandera在其2019年移动威胁态势分析中发现,43%的公司至少拥有一部没有任何锁屏安全功能的智能手机。许多在设备上设置了密码或PIN的用户选择使用最少四位字符的密码。因此,仅仅将责任推给用户是不够的。不要做假设,要制定政策。8.移动广告欺诈根据美国互动广告局(IAB)的报告,移动广告产生了大量收入,仅2019年上半年就达到579亿美元。网络罪犯也会想从中分一杯羹。因此,他们找到了从移动广告收入流中窃取现金的方法也就不足为奇了。对广告欺诈成本的估计会有所不同,但JuniperResearch预计到2023年每年将损失1000亿美元。广告欺诈有多种形式,但最常见的是使用恶意软件来产生看似来自合法网站的广告点击使用合法应用程序或网站的用户。例如,用户可能会下载提供合法服务(如天气预报或消息传递)的应用程序。但是,在后台,该应用程序会对显示在该应用程序上的合法广告产生欺诈性点击。发布商通常根据他们产生的广告点击次数获得报酬,因此移动广告欺诈可以窃取公司的广告预算并可能从发布商那里获得收入。最大的受害者是移动广告商和广告支持的发布商,但广告欺诈也会伤害移动用户。与加密劫持一样,广告欺诈恶意软件在后台运行,可能会降低智能手机的性能、耗尽电池电量、导致更高的数据费用或导致智能手机过热。安全供应商Upstream估计,由于移动广告恶意软件带来的更高数据费用,智能手机用户每年损失数百万美元。Android是迄今为止最流行的移动广告欺诈平台。据Upstream称,以下是常见的Android恶意应用程序:SnaptubeGPSSpeedometerMessengerPlus免费消息、视频、聊天、文本EasyScannerWeatherForecastSuperCalculatorWhoUnfriendedMeVidMate看起来可疑的应用程序;监控异常峰值的数据使用情况;仅安装来自GooglePlay的应用;在安装之前检查应用程序的评论、开发人员详细信息和请求的权限列表,以确保它们都适用于它自己的使用。
