迫切需要优先考虑移动安全

发布于 作者:

迫切需要优先考虑移动安全

原创 铸盾安全 河南等级保护测评 2024-11-21 16:01

现代企业的移动性远超以往。自带设备 (BYOD) 和公司所有、个人启用 (COPE)、混合工作和企业移动性计划等趋势正在加速发展,使移动设备能够以前所未有的方式访问和与企业数据系统交互。据
Verizon
称,超过一半 (55%) 的组织拥有比 12 个月前更多的移动设备用户,而 Zimperium 声称超过 70% 的员工使用智能手机执行与工作相关的任务。

移动应用程序的蔓延也呈爆炸式增长。平均每个智能手机用户安装了大约
80 个应用程序
,每天点击这些图标
144
次。虽然移动性和设备连接性的提高大大提高了生产力,但也带来了一系列与移动相关的威胁。

当今组织面临的五大移动威胁

Zimperium ( PDF
 )的深入研究
发现了当今组织面临的最危险的移动威胁,包括移动网络钓鱼、侧载应用程序和不良应用程序审查。

1.mishing

威胁者已经改进了他们的网络钓鱼策略,以手机而非传统设备为目标(又称“mishing”)。Zimperium 的研究发现,大约 82% 的网络钓鱼网站的内容是专门为移动用户设计和格式化的。此外,由于屏幕尺寸较小且缺乏视觉指示器(例如隐藏的 URL 栏),普通用户很难识别网络钓鱼企图。攻击者使用多种网络钓鱼媒介来瞄准用户,例如电子邮件、短信(短信钓鱼)、语音(语音钓鱼)、二维码(quishing)、社交媒体和恶意广告。

2023 年,
大约四分之一的
用户每季度点击至少一个网络钓鱼链接。

2. 移动恶意软件

当用户访问有害网站、下载恶意软件或安装恶意应用程序时,他们的设备就会感染间谍软件、木马、移动勒索软件和移动银行恶意软件等。这些恶意软件可以被编程来监视用户活动、跟踪用户位置、发送未经授权的消息、窃取敏感数据以及加密或删除数据。

Zscaler
的研究人员
在 Google Play 商店中发现了 200 个恶意应用程序,下载量高达 800 万次。

3. 侧载应用程序

侧载
是指从官方应用商店以外的来源安装移动应用的过程。由于个人和职业界限模糊,侧载应用越来越多地出现在用于工作的个人设备上。估计有
18%
的用户参与侧载。
《数字市场法》
等法规将很快使侧载变得更加突出。

侧载是造成恶意软件风险的主要原因:使用侧载的用户与未使用侧载的用户相比,更容易受到感染。

4. 平台漏洞

在理想情况下,所有移动设备都会运行最新补丁和版本的操作系统和应用程序。《福布斯》报道称, 
5 亿台
过时的 Android 设备容易受到攻击。据
Jamf
称,约 40% 的移动用户运行的设备存在已知漏洞。如果没有收到关键的安全补丁和操作系统更新,移动设备很容易被威胁者利用,他们利用已知漏洞进行未经授权的访问、窃取敏感数据或部署恶意软件。

5. 申请审查不力

企业所连接的设备包含各种内部开发的应用程序、第三方应用程序和个人使用的应用程序。其中许多应用程序会请求位置访问和蓝牙连接;它们以不安全的方式存储数据、以可能泄露数据的方式进行通信、易于进行逆向工程或使用不安全的第三方代码。如果这些应用程序未经过安全风险审查,则可能导致重大的安全、隐私或合规性失败。

企业为何发现移动风险难以处理

使用同一台台式机和笔记本电脑进行工作和娱乐并不是什么新鲜事。然而,手机的情况则完全不同。每台设备都有独特的风险态势——最终用户而不是 IT 团队决定设备上安装哪些应用程序;未经用户同意,手机不能被锁定,IT 也不能强迫用户更新操作系统。

设备硬件和操作系统的组合几乎是无限的,这让网络安全工作变得复杂。手机不断暴露在不断变化的环境中,例如不安全的公共 Wi-Fi、恶意应用程序、网络钓鱼、恶意软件等。许多智能手机用户避免使用防病毒保护,有些用户避免使用密码。由于这些原因和其他原因,组织发现很难评估、监控和缓解移动风险。

企业如何应对移动安全风险?

虽然没有灵丹妙药可以解决这个问题,但可以帮助降低移动风险的最佳实践包括:
意识、培训和教育:
加倍努力教育用户了解与网络钓鱼攻击相关的真正风险。培训如何识别和举报可疑链接、网站、文本和消息。

  • 网络安全工具:
    部署设备上的网络安全系统(如
    移动威胁防御
    ),可帮助实时检测和阻止移动恶意软件、钓鱼 URL 和网络威胁。使用移动设备管理工具,可集中控制应用安装、安全设置和设备远程擦除。

  • 网络访问控制:
    阻止未修补、过时和不受支持的移动设备及其操作系统的网络访问。

  • 更强的身份验证:
    从移动设备访问敏感数据和应用程序时,使用
    防网络钓鱼的多因素身份验证
    。这使黑客更难获得未经授权的访问。

  • 强大的应用程序审查:
    建立审查流程来评估和批准移动应用程序的安装。这包括评估应用程序权限、用户反馈和验证应用程序开发人员的声誉。

毫无疑问,未来的工作是移动的。认真对待这些风险并采取主动措施保护数据和用户的组织不仅可以降低业务风险,还可以增强员工、客户、业务合作伙伴和投资者的信任和信心。