OK Labs技术白皮书——SecureIT Mobile企业版
安全
手机、平板电脑和其它无线设备是公认的企业安全链中最薄弱的环节。尽管桌面系统的安全性也还存有诸多变数,但是企业IT已经能够应对这个环境,而且拥有优越的工具和程序来保护运行Windows和其它桌面操作系统(OSes)的PC、工作站和笔记本电脑。
然而,保障移动设备的安全性使IT专家们想起了十年前应对桌面系统的情景。现存的威胁已经不容忽视——在过去12个月中,移动软件遭受的威胁上升了250% (Juniper Networks数据)。
恶意软件和其它攻击
随着移动设备变得更为强大和复杂,这些设备也成为世界黑暗势力更大、更具诱惑的“攻击界面”。
危险的内容和从应用商店下载的程序、基于网络的攻击和无线网络的破坏等更增加了移动设备的复杂性。因此针对移动设备软件的威胁包括:
下载应用中的病毒和间谍软件
系统和用户软件中的零时差攻击
Android等开放平台的操作系统(OS)级别攻击
防病毒软件和MDM软件自身面临的威胁
安全访问
企业移动的价值体现在提供访问业务数据和程序的通道,提高员工的工作效率。利用移动设备危险渠道打开关键业务数据库和应用的可能性,是抑制企业移动发展的关键因素之一。这个渠道的威胁来源于设备自身,并祸及本地数据、应用和浏览程序。此外,这些威胁还会殃及数据中心和云上的企业资产。
隔离资产
内部主要安全威胁之一是个人和企业资产掺杂在一起。这些资产包括各种类型的应用和数据,比如
个人财务与企业的财务信息,私人邮件与公司邮件,家电与企业工厂运营与自动化。
对企业移动的大部分讨论都以公司管理优势为起点和终点,涉及的话题包括如何提高员工工作效率和降低主要设备和操作成本。如果公司真的希望最大化自己的移动投资回报(ROI),就必须考虑移动工作者的需求和习惯。公司如果忽视员工的爱好,企业自身发展也会受到威胁。如果必须携带功能受限的设备,且个人生活受到影响,用户将只能继续携带两部设备:一部用于工作,另一部用于个人生活。
锁定设备
企业移动安全的一个捷径是采用完全锁定的设备,即该设备只能用于访问企业数据。在过去,这意味着公司提供一部电话;在今天,在携带个人设备(BYOD)这个概念出现以后,完全锁定的设备就意味着限制员工使用自己的设备,以减少以上提到的安全威胁。
员工隐私
在企业移动应用中一个经常被忽视的因素是企业安全的反面 —— 员工隐私。如果为了在一部设备上保护企业数据,而向企业审查系统暴露私人用户信息和应用,那么用户也不会使用这一设备。
应用选择
用户在智能手机和数据计划方面投入的主要动力是可以访问有趣的应用和服务,这些应用和服务包括游戏、生活方面应用及视频。如果将这些用户喜爱的应用和服务列入黑名单并阻止使用,打击了用户投入的积极性,那么企业的移动制度也不会获得成功。
现有方案的缺陷
当今的企业移动涉及终端安全、防病毒(AV)软件和移动设备管理(MDM)软件套件,它们存放在设备中,以及数据中心和云的网关服务器中。这些技术很有必要且很强大,但却满足不了关键需求。尤其是MDM和安全性有赖于智能手机底层OS和软件栈的完整性,而这恰恰是最易受攻击的部分。
防病毒软件
与网页相关联的桌面计算是恶意软件的攻击目标。在过去十年中,全球每年因为恶意软件造成的损失高达150亿美元(Computer Economics数据)。随着智能手机和平板电脑的兴起,移动恶意软件也开始蠢蠢欲动,妄图步其后尘。同时,智能手机遭受攻击的比例可能是Windows PC的两倍(SANS Institute数据)。
在桌面系统中,因为出现新的恶意软件和攻击界面,防病毒软件销售商和平台及应用供应商也在不断提供更新和补丁。对于IT团队来说,最好的实践经验就是及时评估和应用这些补救措施。另一方面,对于移动设备软件来说,要跟上恶意软件不断演进的步伐则更加困难。现在的移动平台更多(Android有多个部署版本,iPhone, Linux, RIM OS, Symbian, WindowsMobile/Phone等),并且应用也日益增加(截至2011年1月末统计的数据,针对Android平台的应用就有20万种)。
对补救措施的支持问题同样重要 —— 移动软件更新速度有待改进。虽然对于设备OEM厂商和运营商来说,移动软件现在能够达到供给平衡,但就其更新速度而言,还远远落后于桌面系统。这一频率上的差距是由最初的预装部署、推出和安装固件无线(FOTA)更新以及终端用户忽视软件维护造成的。此外,防病毒(和移动设备管理)方案自身也容易遭受侵袭和攻击,并成为被感染目标。
评论