後邊界時代驟增的移動安全風險探析

在後邊界的網路世界，無論是企業、員工還是網路犯罪分子，都有新的方式來逃脫企業網路防禦，且這種情況越來越普遍。

網路犯罪分子現在採用「移動優先」的方法來攻擊企業。例如，上個月有5億蘋果iOS用戶因為Chrome for iOS中的未修補的漏洞而被攻擊。騙子設法劫持用戶會話，並將流量重新引到植入了惡意軟體的惡意網站。

這樣的攻擊證明了利用移動設備的網路犯罪活動的廣泛性和有效性。對於那些移動辦公人員越來越多的企業而言，不斷升級的移動攻擊媒介極大地惡化了威脅形勢，迫使企業要重新考慮其安全要求。

1、持續增長的高度流動性

企業在不斷加強對移動辦公的支持。根據《牛津經濟學》2018年的一項調查，80％的受訪者表示，如果沒有移動設備，公司員工就無法有效地完成工作。這個調查還顯示，82％的人認為移動設備對員工的工作效率至關重要。

根據Lookout產品管理高級主管David Richardson的說法，當移動到雲應用程序和計算（從公司的物理邊界移除數據）時，大規模採用移動設備的狀況已經成為網路安全戰的新戰線。

他說，

用戶都在移動辦公了，這些移動設備可以連接到任何網路，可以從任何地方訪問雲上的數據，從本質上講，一個企業的辦公網路現在可能是星巴克得Wi-Fi，或者是世界上任何地方的任何酒店的Wi-Fi或家庭Wi-Fi。

Lookout在在今年RSA對與會者的調查中，76％的受訪者表示他們曾經從公共Wi-Fi網路（如咖啡店、機場或酒店）訪問了公司網路、企業電子郵件或企業雲服務。

這讓很多企業感到擔憂。高管們特別關注遠程工作人員的風險。在OpenVPN最近的一項調查中，將近四分之三（73％）的副總裁和首席級別的IT領導者表示，遠程工作人員比現場員工面臨更大的風險。

2、多個移動設備專屬威脅

高管層的這些擔憂並非毫無根據。潛在的移動攻擊場景非常龐大且越來越普遍。

例如，中間人（MiTM）攻擊可以安裝到連接公共Wi-Fi的設備上，以攔截流入和流出各種雲服務數據。最新的案例就是4月份時，研究人員在小米（Xiaomi）生產的智能手機內置安全應用程序中發現了多個MiTM漏洞。

Check Point解釋說，由於進出Guard Provider的網路流量不安全，在同一個應用程序中使用多個SDK，攻擊者可以連接到與受害者的Wi-Fi網路，執行MiTM攻擊，使得超過1.5億用戶受到影響。

用戶還可能不小心下載惡意應用程序，導致設備感染（如Google Play中最近出現了大量捆廣告軟體的應用感染3000萬Android用戶的情況，就是一個例子）。然後，舊應用程序，過時的操作系統和不按推送按月更新的SDK都會造成軟體漏洞。

這些漏洞攻擊通常會使用向目標設備投放惡意軟體的手段。比如去年夏天Bitdefender發現了一款名為Triout的Android惡意軟體，它是為具有高級監控功能的企業間諜活動而打造的，這證明背後操盤的是個老練的角色。

代碼寫得不好的應用程序中的錯誤也會暴露用戶，所以修補應用程序也很重要。例如，一位白帽黑客最近對30個移動金融應用程序進行了逆向工程，然後在幾乎所有被檢查應用程序的底層代碼中都發現了隱藏的敏感數據。研究人員表示，有了這些信息，黑客就可以恢復API密鑰，使用它們來攻擊供應商的後端伺服器並構成用戶數據。

3、受惡意軟體影響的移動辦公員工

隨著越來越多的移動設備在企業工作中佔據一席之地，它們是攻擊者的大有可為的新舞台。然而許多用戶並不知道這些設備有多麼脆弱，也不知道被攻擊的後果可能有多嚴重。

例如，移動用戶經常在設備上混用商業和娛樂軟體，這就放大了攻擊面。RSA參會者的Lookout調查發現，76％的人通過個人的移動設備或平板電腦訪問了企業網路，企業電子郵件或企業雲服務。這中行為可能會造成意想不到的後果。當被攻擊的設備連接到公司雲應用程序或公司區域網時，受感染的設備可能會感染整個企業網路。

員工對這種風險的認識仍然很低，即使是高級管理人員也會圖方便而用移動設備處理工作。還存在密碼專用問題，在桌面電腦和移動設備使用中都存在這個問題。根據2018年LastPass的分析，幾乎一半的專業人士在工作和個人賬戶中使用相同的密碼，分析發現，平均而言，員工在工作期間與同事共享的密碼約為6個。

4、基於社交的移動攻擊

從社交工程的角度來看，攻擊者越來越擅長以移動用戶為目標，針對移動網路的釣魚活動的增加就是一個證明。例如，4月份Lookout用遙測技術於發現了專門針對美國Verizon Wireless客戶的網路釣魚工具包。分析顯示該工具包偽裝成來自Verizon客服的消息，通過電子郵件將釣魚鏈接推送給用戶。這些都是針對移動網路量身定製的攻擊手段：如果是在台式機上打開這個惡意URL，立刻就會通過其草率的設計而識穿騙局，但是在移動設備上打開時，這個頁面看起來就非常像真實的Verizon客戶支持應用程序。

這種針對移動網路的騙術的一個變體是，根據用戶具體使用的設備，將其鏈接到兩個不同的地方。Lookout分析師有次發現「如果在移動設備上點擊釣魚鏈接，將轉到一個釣魚網頁。如果在非移動設備上點那個鏈接，則會轉到它想偽裝的那個真實網站。

對用戶進行安全教育應該是保障企業安全的關鍵措施，員工應該接受培訓，充分了解他們的移動設備可能帶來什麼風險。例如，要讓員工清醒認識到移動設備始終連接著互聯網，設備上有麥克風、攝像頭、公司數據、位置、存儲的密碼等，這都是網路攻擊者大可利用的一筆財富。

我們必須開始將移動設備視為一個成熟的終端，全面考慮黑客可能採取的攻擊手段，以及有哪些正在訪問的雲應用程序（存在風險）等等問題。

5、邊界驟然消失後的威脅

要避免這些危險必須面對的難題是，許多內置於企業網路中的安全控制都是為傳統上由台式機主導的環境創建的，不適用於員工以移動辦公為主要形式的現狀。

像防火牆這樣的傳統安全方法依賴於信任一個終端或一組憑據，因為它的位置是固定的，但這並不能保護移動網路環境中的公司資源，因為物理邊界消失了。

僅僅因為設備有正確的用戶名和密碼並不意味著這是一個符合公司安全規定，進而可以訪問數據信息的設備。現在需要基本上假設默認情況下所有設備都不受信任，直到確認該設備是可信任的。

6、零信任能解決的問題

零信任方法旨在通過假設所有設備都不可靠，並且在確認該設備符合公司安全策略之前，不允許訪問公司數據來實現這一目標。例如，企業可以確保遠程用戶在登錄之前使用企業託管設備和多因素身份驗證。

這可以通過一個稱為連續條件訪問的系統來完成，即基於一個端點的當前健康狀況，與訪問一項數據相關的身份信息，以來自雲服務商的及數據信息。然後決定具有某個身份的某個端點是否應該能夠訪問某項雲資源。

這種方法也可以與基於設備具體訪問內容的風險管理方法相配合使用。例如，如果一名員工指示查看自助餐廳的菜單，那麼此時對設備的審查就不用像企業資源規劃管理員登錄到一項應用時那樣嚴格。

另一個最佳實踐是在允許設備訪問公司資源時將個人和公司「身份」分開。設備認證應該與（進入）公司」容器」不同，應該擁有單獨的身份驗證方法，因此可以確保該設備至少不會一解鎖就能自動提供無縫訪問公司信息的機會。

7、通過OEM隔離移動工作和個人休閑活動

Google的Android Enterprise計劃和Apple Business Manager都提供了一些功能來保護和管理個人設備上的公司數據。管理員可以在Android設備上為業務託管的應用和數據創建單獨的工作區。並且通過兼容的移動設備管理（MDM）伺服器，IT可以通過強制執行強大的安全策略來控制在該容器內管理數據的方式。組織還可以將私有應用程序發布到授權設備，並可以對託管的Google應用程序進行集中審批和配置。

對於Apple，可以將設備和特定應用程序註冊為「公司」，然後執行某些策略，例如不允許將來自已註冊應用程序的數據存儲到個人iCloud上。

在產品方面，Gartner的研究表明，端點保護平台已經與移動威脅防禦（MTD）供應商和MDM提供商集成，為管理員提供與所有設備兼容且完整的產品，無論是筆記本電腦、Chromebook還是iPad、Surface、iOS設備或是Android設備等。這提供了一種連續一致的方式來應用補丁和反惡意程序軟體，鎖定丟失或被盜的設備，幫助管理用戶配置文件和訪問許可權，並對用戶和應用程序行為應用動態分析等等。

這種方法的一個好處是，對於用戶來說，它是無縫的，幾乎不需要改變使用行為。這使得我們能夠實際創建一個安全策略，能夠提醒檢測到的惡意應用程序，或者利用公共熱點對設備進行的中間人攻擊，然後系統將繼續強制VPN連接或要求卸載該應用程序，這些都可以通過這種自動管理控制實現。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！