OK Labs技術(shù)白皮書(shū)——SecureIT Mobile企業(yè)版

安全

手機、平板電腦和其它無(wú)線(xiàn)設備是公認的企業(yè)安全鏈中最薄弱的環(huán)節。盡管桌面系統的安全性也還存有諸多變數，但是企業(yè)IT已經(jīng)能夠應對這個(gè)環(huán)境，而且擁有優(yōu)越的工具和程序來(lái)保護運行Windows和其它桌面操作系統（OSes）的PC、工作站和筆記本電腦。

然而，保障移動(dòng)設備的安全性使IT專(zhuān)家們想起了十年前應對桌面系統的情景?，F存的威脅已經(jīng)不容忽視——在過(guò)去12個(gè)月中，移動(dòng)軟件遭受的威脅上升了250% (Juniper Networks數據)。

惡意軟件和其它攻擊

隨著(zhù)移動(dòng)設備變得更為強大和復雜，這些設備也成為世界黑暗勢力更大、更具誘惑的“攻擊界面”。
危險的內容和從應用商店下載的程序、基于網(wǎng)絡(luò )的攻擊和無(wú)線(xiàn)網(wǎng)絡(luò )的破壞等更增加了移動(dòng)設備的復雜性。因此針對移動(dòng)設備軟件的威脅包括：
????????????????????????????????????????
?下載應用中的病毒和間諜軟件

?系統和用戶(hù)軟件中的零時(shí)差攻擊

?Android等開(kāi)放平臺的操作系統（OS）級別攻擊
??????????????????????????????????????????????????????????????????????
?防病毒軟件和MDM軟件自身面臨的威脅

安全訪(fǎng)問(wèn)

企業(yè)移動(dòng)的價(jià)值體現在提供訪(fǎng)問(wèn)業(yè)務(wù)數據和程序的通道，提高員工的工作效率。利用移動(dòng)設備危險渠道打開(kāi)關(guān)鍵業(yè)務(wù)數據庫和應用的可能性，是抑制企業(yè)移動(dòng)發(fā)展的關(guān)鍵因素之一。這個(gè)渠道的威脅來(lái)源于設備自身，并禍及本地數據、應用和瀏覽程序。此外，這些威脅還會(huì )殃及數據中心和云上的企業(yè)資產(chǎn)。

隔離資產(chǎn)

內部主要安全威脅之一是個(gè)人和企業(yè)資產(chǎn)摻雜在一起。這些資產(chǎn)包括各種類(lèi)型的應用和數據，比如
個(gè)人財務(wù)與企業(yè)的財務(wù)信息，私人郵件與公司郵件，家電與企業(yè)工廠(chǎng)運營(yíng)與自動(dòng)化。

對企業(yè)移動(dòng)的大部分討論都以公司管理優(yōu)勢為起點(diǎn)和終點(diǎn)，涉及的話(huà)題包括如何提高員工工作效率和降低主要設備和操作成本。如果公司真的希望最大化自己的移動(dòng)投資回報（ROI），就必須考慮移動(dòng)工作者的需求和習慣。公司如果忽視員工的愛(ài)好，企業(yè)自身發(fā)展也會(huì )受到威脅。如果必須攜帶功能受限的設備，且個(gè)人生活受到影響，用戶(hù)將只能繼續攜帶兩部設備：一部用于工作，另一部用于個(gè)人生活。

鎖定設備

企業(yè)移動(dòng)安全的一個(gè)捷徑是采用完全鎖定的設備，即該設備只能用于訪(fǎng)問(wèn)企業(yè)數據。在過(guò)去，這意味著(zhù)公司提供一部電話(huà)；在今天，在攜帶個(gè)人設備（BYOD）這個(gè)概念出現以后，完全鎖定的設備就意味著(zhù)限制員工使用自己的設備，以減少以上提到的安全威脅。

員工隱私

在企業(yè)移動(dòng)應用中一個(gè)經(jīng)常被忽視的因素是企業(yè)安全的反面 —— 員工隱私。如果為了在一部設備上保護企業(yè)數據，而向企業(yè)審查系統暴露私人用戶(hù)信息和應用，那么用戶(hù)也不會(huì )使用這一設備。

應用選擇

用戶(hù)在智能手機和數據計劃方面投入的主要動(dòng)力是可以訪(fǎng)問(wèn)有趣的應用和服務(wù)，這些應用和服務(wù)包括游戲、生活方面應用及視頻。如果將這些用戶(hù)喜愛(ài)的應用和服務(wù)列入黑名單并阻止使用，打擊了用戶(hù)投入的積極性，那么企業(yè)的移動(dòng)制度也不會(huì )獲得成功。

現有方案的缺陷

當今的企業(yè)移動(dòng)涉及終端安全、防病毒（AV）軟件和移動(dòng)設備管理（MDM）軟件套件，它們存放在設備中，以及數據中心和云的網(wǎng)關(guān)服務(wù)器中。這些技術(shù)很有必要且很強大，但卻滿(mǎn)足不了關(guān)鍵需求。尤其是MDM和安全性有賴(lài)于智能手機底層OS和軟件棧的完整性，而這恰恰是最易受攻擊的部分。

防病毒軟件

與網(wǎng)頁(yè)相關(guān)聯(lián)的桌面計算是惡意軟件的攻擊目標。在過(guò)去十年中，全球每年因為惡意軟件造成的損失高達150億美元(Computer Economics數據)。隨著(zhù)智能手機和平板電腦的興起，移動(dòng)惡意軟件也開(kāi)始蠢蠢欲動(dòng)，妄圖步其后塵。同時(shí)，智能手機遭受攻擊的比例可能是Windows PC的兩倍(SANS Institute數據)。

在桌面系統中，因為出現新的惡意軟件和攻擊界面，防病毒軟件銷(xiāo)售商和平臺及應用供應商也在不斷提供更新和補丁。對于IT團隊來(lái)說(shuō)，最好的實(shí)踐經(jīng)驗就是及時(shí)評估和應用這些補救措施。另一方面，對于移動(dòng)設備軟件來(lái)說(shuō)，要跟上惡意軟件不斷演進(jìn)的步伐則更加困難?，F在的移動(dòng)平臺更多（Android有多個(gè)部署版本，iPhone, Linux, RIM OS, Symbian, WindowsMobile/Phone等），并且應用也日益增加（截至2011年1月末統計的數據，針對Android平臺的應用就有20萬(wàn)種）。

對補救措施的支持問(wèn)題同樣重要 —— 移動(dòng)軟件更新速度有待改進(jìn)。雖然對于設備OEM廠(chǎng)商和運營(yíng)商來(lái)說(shuō)，移動(dòng)軟件現在能夠達到供給平衡，但就其更新速度而言，還遠遠落后于桌面系統。這一頻率上的差距是由最初的預裝部署、推出和安裝固件無(wú)線(xiàn)（FOTA）更新以及終端用戶(hù)忽視軟件維護造成的。此外，防病毒（和移動(dòng)設備管理）方案自身也容易遭受侵襲和攻擊，并成為被感染目標。