后边界时代骤增的移动安全风险探析

2019-06-04 17:29:5410144人阅读

在后边界的网络世界,无论是企业、员工还是网络犯罪分子,都有新的方式来逃脱企业网络防御,且这种情况越来越普遍。

网络犯罪分子现在采用“移动优先”的方法来攻击企业。例如,上个月有5亿苹果iOS用户因为Chrome for iOS中的未修补的漏洞而被攻击。骗子设法劫持用户会话,并将流量重新引到植入了恶意软件的恶意网站。

这样的攻击证明了利用移动设备的网络犯罪活动的广泛性和有效性。对于那些移动办公人员越来越多的企业而言,不断升级的移动攻击媒介极大地恶化了威胁形势,迫使企业要重新考虑其安全要求。

 

1、持续增长的高度流动性

 

企业在不断加强对移动办公的支持。根据《牛津经济学》2018年的一项调查,80%的受访者表示,如果没有移动设备,公司员工就无法有效地完成工作。这个调查还显示,82%的人认为移动设备对员工的工作效率至关重要。 

根据Lookout产品管理高级主管David Richardson的说法,当移动到云应用程序和计算(从公司的物理边界移除数据)时,大规模采用移动设备的状况已经成为网络安全战的新战线。

 

他说,

 

用户都在移动办公了,这些移动设备可以连接到任何网络,可以从任何地方访问云上的数据,从本质上讲,一个企业的办公网络现在可能是星巴克得Wi-Fi,或者是世界上任何地方的任何酒店的Wi-Fi或家庭Wi-Fi。

Lookout在在今年RSA对与会者的调查中,76%的受访者表示他们曾经从公共Wi-Fi网络(如咖啡店、机场或酒店)访问了公司网络、企业电子邮件或企业云服务。

 

这让很多企业感到担忧。高管们特别关注远程工作人员的风险。在OpenVPN最近的一项调查中,将近四分之三(73%)的副总裁和首席级别的IT领导者表示,远程工作人员比现场员工面临更大的风险。

 

2、多个移动设备专属威胁

 

高管层的这些担忧并非毫无根据。潜在的移动攻击场景非常庞大且越来越普遍。

 

例如,中间人(MiTM)攻击可以安装到连接公共Wi-Fi的设备上,以拦截流入和流出各种云服务数据。最新的案例就是4月份时,研究人员在小米(Xiaomi)生产的智能手机内置安全应用程序中发现了多个MiTM漏洞。

Check Point解释说,由于进出Guard Provider的网络流量不安全,在同一个应用程序中使用多个SDK,攻击者可以连接到与受害者的Wi-Fi网络,执行MiTM攻击,使得超过1.5亿用户受到影响。

用户还可能不小心下载恶意应用程序,导致设备感染(如Google Play中最近出现了大量捆广告软件的应用感染3000万Android用户的情况,就是一个例子)。然后,旧应用程序,过时的操作系统和不按推送按月更新的SDK都会造成软件漏洞。

这些漏洞攻击通常会使用向目标设备投放恶意软件的手段。比如去年夏天Bitdefender发现了一款名为Triout的Android恶意软件,它是为具有高级监控功能的企业间谍活动而打造的,这证明背后操盘的是个老练的角色。

代码写得不好的应用程序中的错误也会暴露用户,所以修补应用程序也很重要。例如,一位白帽黑客最近对30个移动金融应用程序进行了逆向工程,然后在几乎所有被检查应用程序的底层代码中都发现了隐藏的敏感数据。研究人员表示,有了这些信息,黑客就可以恢复API密钥,使用它们来攻击供应商的后端服务器并构成用户数据。

 

3、受恶意软件影响的移动办公员工

 

随着越来越多的移动设备在企业工作中占据一席之地,它们是攻击者的大有可为的新舞台。然而许多用户并不知道这些设备有多么脆弱,也不知道被攻击的后果可能有多严重。

例如,移动用户经常在设备上混用商业和娱乐软件,这就放大了攻击面。RSA参会者的Lookout调查发现,76%的人通过个人的移动设备或平板电脑访问了企业网络,企业电子邮件或企业云服务。这中行为可能会造成意想不到的后果。当被攻击的设备连接到公司云应用程序或公司局域网时,受感染的设备可能会感染整个企业网络。

员工对这种风险的认识仍然很低,即使是高级管理人员也会图方便而用移动设备处理工作。还存在密码专用问题,在桌面电脑和移动设备使用中都存在这个问题。根据2018年LastPass的分析,几乎一半的专业人士在工作和个人账户中使用相同的密码,分析发现,平均而言,员工在工作期间与同事共享的密码约为6个。

 

4、基于社交的移动攻击

 

从社交工程的角度来看,攻击者越来越擅长以移动用户为目标,针对移动网络的钓鱼活动的增加就是一个证明。例如,4月份Lookout用遥测技术于发现了专门针对美国Verizon Wireless客户的网络钓鱼工具包。分析显示该工具包伪装成来自Verizon客服的消息,通过电子邮件将钓鱼链接推送给用户。这些都是针对移动网络量身定制的攻击手段:如果是在台式机上打开这个恶意URL,立刻就会通过其草率的设计而识穿骗局,但是在移动设备上打开时,这个页面看起来就非常像真实的Verizon客户支持应用程序。

这种针对移动网络的骗术的一个变体是,根据用户具体使用的设备,将其链接到两个不同的地方。Lookout分析师有次发现“如果在移动设备上点击钓鱼链接,将转到一个钓鱼网页。如果在非移动设备上点那个链接,则会转到它想伪装的那个真实网站。

对用户进行安全教育应该是保障企业安全的关键措施,员工应该接受培训,充分了解他们的移动设备可能带来什么风险。例如,要让员工清醒认识到移动设备始终连接着互联网,设备上有麦克风、摄像头、公司数据、位置、存储的密码等,这都是网络攻击者大可利用的一笔财富。

我们必须开始将移动设备视为一个成熟的终端,全面考虑黑客可能采取的攻击手段,以及有哪些正在访问的云应用程序(存在风险)等等问题。

 

5、边界骤然消失后的威胁

 

要避免这些危险必须面对的难题是,许多内置于企业网络中的安全控制都是为传统上由台式机主导的环境创建的,不适用于员工以移动办公为主要形式的现状。

像防火墙这样的传统安全方法依赖于信任一个终端或一组凭据,因为它的位置是固定的,但这并不能保护移动网络环境中的公司资源,因为物理边界消失了。

仅仅因为设备有正确的用户名和密码并不意味着这是一个符合公司安全规定,进而可以访问数据信息的设备。现在需要基本上假设默认情况下所有设备都不受信任,直到确认该设备是可信任的。

 

6、零信任能解决的问题


零信任方法旨在通过假设所有设备都不可靠,并且在确认该设备符合公司安全策略之前,不允许访问公司数据来实现这一目标。例如,企业可以确保远程用户在登录之前使用企业托管设备和多因素身份验证。

这可以通过一个称为连续条件访问的系统来完成,即基于一个端点的当前健康状况,与访问一项数据相关的身份信息,以来自云服务商的及数据信息。然后决定具有某个身份的某个端点是否应该能够访问某项云资源。

这种方法也可以与基于设备具体访问内容的风险管理方法相配合使用。例如,如果一名员工指示查看自助餐厅的菜单,那么此时对设备的审查就不用像企业资源规划管理员登录到一项应用时那样严格。

另一个最佳实践是在允许设备访问公司资源时将个人和公司“身份”分开。设备认证应该与(进入)公司”容器”不同,应该拥有单独的身份验证方法,因此可以确保该设备至少不会一解锁就能自动提供无缝访问公司信息的机会。

 

7、通过OEM隔离移动工作和个人休闲活动

 

Google的Android Enterprise计划和Apple Business Manager都提供了一些功能来保护和管理个人设备上的公司数据。管理员可以在Android设备上为业务托管的应用和数据创建单独的工作区。并且通过兼容的移动设备管理(MDM)服务器,IT可以通过强制执行强大的安全策略来控制在该容器内管理数据的方式。组织还可以将私有应用程序发布到授权设备,并可以对托管的Google应用程序进行集中审批和配置。

对于Apple,可以将设备和特定应用程序注册为“公司”,然后执行某些策略,例如不允许将来自已注册应用程序的数据存储到个人iCloud上。

在产品方面,Gartner的研究表明,端点保护平台已经与移动威胁防御(MTD)供应商和MDM提供商集成,为管理员提供与所有设备兼容且完整的产品,无论是笔记本电脑、Chromebook还是iPad、Surface、iOS设备或是Android设备等。这提供了一种连续一致的方式来应用补丁和反恶意程序软件,锁定丢失或被盗的设备,帮助管理用户配置文件和访问权限,并对用户和应用程序行为应用动态分析等等。

这种方法的一个好处是,对于用户来说,它是无缝的,几乎不需要改变使用行为。这使得我们能够实际创建一个安全策略,能够提醒检测到的恶意应用程序,或者利用公共热点对设备进行的中间人攻击,然后系统将继续强制VPN连接或要求卸载该应用程序,这些都可以通过这种自动管理控制实现。

 


本文翻译自:https://threatpost.com/mobile-risks-post-perimeter-world/144815/

翻译作者:Rossa,原文地址:  https://www.4hou.com/mobile/18217.html


0
现金券
0
兑换券
立即领取
领取成功