2019年需要认真对待的移动安全威胁

By 香港新天域ceci at 2019-08-07 14:15 • 141次点击
香港新天域ceci

如今,移动安全是每家公司最担心的问题——而且理由很充分:现在几乎所有工作人员都习惯使用智能手机访问公司数据,这就意味着确保敏感信息不落入坏人之手正成为一个越来越错综复杂的难题。甚至可以说,这种风险比以往任何时候都要高:根据波耐蒙研究所(Ponemon Institute) 2018年的一份报告显示,企业数据泄露的平均成本高达386万美元,这一数字要比一年前的估计成本高出6.4%。

虽然人们很容易把注意力放在“恶意软件”这种极具震撼性的话题上,但事实上,移动恶意软件感染在现实世界中是非常罕见的——根据一项估计显示,你被移动恶意软件感染的机率要明显低于你被闪电击中的机率。恶意软件目前在数据泄露事件中被列为“最不常见的初始行为”,事实上,在Verizon发布的《2019年数据泄露调查报告》中,恶意软件甚至排在“物理攻击”之后。这主要归功于移动恶意软件的性质,以及现代移动操作系统内置的固有保护机制。

这听起来像是机器人泌尿外科医生的诊断,但数据泄露被广泛视为 “2019年企业安全最令人担忧的威胁之一”。还记得那些几乎不存在的被恶意软件感染的机率吗?好吧,根据Ponemon的最新研究显示,当涉及到数据泄露时,公司有近28%的机率在未来两年内经历至少一起事件——换句话说,就是有超过四分之一的可能性。

让这个问题变得特别棘手的原因是,它本质上并不是邪恶的 ;相反地,这是用户在无意中做出了不明智的决定,决定哪些应用程序能够查看和传输他们的信息。

Gartner 移动安全研究主管Dionisio Zumerle 表示,“主要的挑战是如何实施一种既不会增加管理员任务负担,也不会让用户感到沮丧的应用审查流程。” 他建议转向移动威胁防御(MTD) 解决方案——如赛门铁克的Endpoint Protection Mobile、CheckPoint 的SandBlast Mobile 以及Zimperium 的zIPS 保护等产品。 Zumerle 表示,这些实用程序可以扫描应用程序的“泄漏行为”,并可以自动阻止有问题的进程。

当然,即便这样也不能完全解决由于公开的用户错误而导致的泄漏——一些简单的事情,比如将公司文件传输到公共云存储服务上,将机密信息粘贴到错误的地方,或是将电子邮件转发给一个无意的收件人。根据专业保险提供商Beazley的说法,“意外泄露”是2018年第三季度医疗保健组织报告的数据泄露的首要原因。在这段时间内,该类别与“内部消息泄露”一起占据了所有报告的泄密事件的近一半。

对于这种类型的泄漏,数据丢失防护 (DLP)工具可能是最有效的保护形式。此类软件明确设计用于防止敏感信息的暴露,包括在意外情况下的信息泄露。

根据安全公司 FireEye 2018年发布的一份报告显示,91%的网络犯罪始于电子邮件。该公司将此类事件称为“无恶意软件攻击”,因为它们依靠模仿等策略来诱骗人们点击危险的链接或提供敏感信息。该公司表示,网络钓鱼在2017年期间增长了65%,移动用户面临着最大的风险,因为许多移动电子邮件客户端仅显示发件人名称——这使得欺骗消息变得特别容易蒙混过关,让用户相信该电子邮件来自他们认识或信任的人。

根据 IBM的一项研究显示,用户在移动设备上对网络钓鱼攻击的回应率实际上是台式机的三倍——部分原因是因为手机是人们最有可能率先看到消息的地方。

除此之外,移动电子邮件客户端中“行动导向”的按钮所在的位置过分显著,以及用户使用智能手机时的不专心和多任务处理方式等都加剧了这种威胁效果——而且大多数网络流量现在大多发生在移动设备上的事实只能进一步鼓励攻击者继续瞄准这一领域。

此外,根据 Verizon的最新数据显示,虽然实际上只有1%到5%不等(具体取决于行业)的用户点击了网络钓鱼相关链接,但那些容易上当的用户往往是屡犯不改。该公司指出,有人点击网络钓鱼活动链接的次数越多,他们将来再次这样做的可能性就越大。

这种威胁形势只会日益严峻。网络骗子现在显然正在使用网络钓鱼手段来试图诱骗人们放弃双因素身份验证码 (旨在保护账户免受未经授权的访问)。为了应对这种情况,用户可以转向基于硬件的身份验证——通过Google的Titan或Yubico的YubiKeys等专用物理安全密钥,或者通过Google的Android手机设备安全密钥选项——这是提高安全性和降低基于网络钓鱼的接管机率的最有效方法。

根据谷歌、纽约大学和加州大学圣地亚哥分校进行的一项研究显示,即使只是设备上的身份验证也可以防止99%的大规模网络钓鱼攻击和90%的针对性攻击,相比之下,更易受网络钓鱼攻击影响的2FA代码对于相同类型攻击的有效防御率分别为96%和76%。


目前尚无回复
登录 后发表评论