企业要关注的BYOD风险
网友 51CTO

在移动互联时代,BYOD所带来的风险主要是针对具备计算功能以及短讯和语音功能的移动平台如智能手机和平板电脑设备。典型的情况是这些移动设备通常也具有大量的存储容量,这些设备通过数据泄漏、恶意软件、未经授权的应用程序和不恰当的访问,对于企业来说代表着一个混合型的威胁。许多移动设备如智能手机和平板电脑通常是从用户的角度来设计的。他们是用户友好的,他们通常有一个内置的安全模型作为操作系统的一部分来防止用户受到各种各样的威胁。他们首先考虑到的是生产力的集中,安全性能只是其次要的考虑因素。但他们确实是具备一些内置的安全功能的。

然而,这些风险对于企业来说是不可回避的,高层管理者们需要保持足够的警惕和重视。在本文中我们将着眼于与企业移动设备相关的主要风险,包括对于设备本身以及这些设备中运行的应用程序存在的风险,企业在确定适当的对策之前对风险有一个清楚的了解是必要的。

BYOD风险的分类

影响移动设备的安全风险分为两类:

设备风险:这是建立在今天的智能手机和平板电脑其实是一种新型的拥有本地和云端存储功能的高效能计算机这一事实基础上的,而且比起较为传统的、容易理解的台式电脑和笔记本电脑,当今的企业组织较少能够控制这些移动设备。

应用程序风险:这种风险源于最终用户安装的第三方应用程序,这些应用程序通常可以访问到公司的数据,将数据存储到设备上,并上传到公司周边之外的地方。

设备风险

由于智能手机和平板电脑在本质上基本可以算作计算机,它们很容易受到跟电脑同样的威胁。这些威胁可以利用底层操作系统的漏洞导致数据丢失和被盗,对设置进行更改,阻断服务,入侵受保护的内部网络,诸如此类。

就像感染电脑一样,恶意软件同样可以感染智能手机和平板电脑。恶意软件可以形成一个平台,在这个平台上攻击者可以实施网络入侵和数据盗窃。一台受损的移动设备可以作为进入网络并窃取数据的一个很好的工具,特别是如果在一个组织内没有把它视为一种重大威胁的话,那么因此,它就不会像计算机工作站一样受到很好的保护。

以下部分讨论了对设备来说存在的其他威胁。

数据存储风险

现代智能手机、相机和平板电脑含有大量的闪存并且可以通过USB接口使用,这就允许了数据小偷可以悄悄地复制文件。移动设备有如此多的存储容量,以至于他们可以被用于窃取许多组织中的所有数据。在移动设备上的数据存储可以轻松地批量下载大量数据——就像用一个巨大的网来钓鱼一样——数据窃贼肯定会在他们收集的文件中找到宝贵的知识。这些设备会对组织的数据构成严重威胁,因为相比起硬盘或记忆棒他们不太"明显",导致很难检测到任何隐藏在他们里面的被盗数据。移动设备上的板载内存存储通常允许他们作为存储设备安装在任何计算机上。这意味着它们可以用来复制数据,于是导致数据被盗或被滥用。一旦移动设备获取了数据,对于组织来说则更加难以控制。数据也可以通过电子邮件附件和其他应用程序的方式被盗或者被滥用。

弱密码风险

考虑到计算平台基本都对外提供数据与资源服务,假如平台支持终端用户使用密码进行验证连接,那么攻击者通过猜测或者截取可以获得用户密码,这种情况下,移动设备成为攻击计算平台上用户数据和资源的入口。这对于电子邮件来说是特别重要的,因为如果你有密码(或者PIN),进入一个智能手机或平板电脑阅读电子邮件是比较容易的。

WI-FI劫持风险

类似于中间人攻击(Man-in-the-Middle), WI-FI劫持是恶意攻击者通过使用在公共场所设立的免费WI-FI热点而实施的,而用户一般希望在这些地方能找到免费的无线——机场、咖啡厅、公园以及市中心地区。然而这些热点,经常受到期待收获个人信息、财务数据和密码的攻击者的监控。

热点风险

移动设备可以用来束缚计算机或者以其他方式作为一个无线网络,使它们周围的计算机可以使用该无线网接入到互联网,就像一个普通的WI-FI或者蓝牙接入点。附近攻击者还可以连接到这些移动设备为终端用户的个人使用所创建的热点,在用户不知情的情况下,他们可以对本地网络及其设备发动攻击。

基带窃听风险

由于智能手机包含网络和语音功能,网络可以用于危害语音功能。行动电话可以被那些危害智能手机的网络攻击者拦截。这些攻击可能利用智能手机底层硬件里的漏洞,如iPhone和Android设备所使用的硬件和固件。 诸如这些之类的攻击利用智能手机的基带处理器,颠覆它使之变成窃听器,允许入侵者通过使用内置的麦克风窃听谈话,甚至在没通话的时候。

蓝牙窃听和模糊测试

大多数最终用户把他们的蓝牙设备的PIN密码设置为默认的PIN密码(他们几乎总是设置为0000或1234)。即使先进的技术专家对于这一块都没有太多研究,他们可能都不知道如何更改这些代码。因此,攻击者可以轻松匹配手机或设备并使用该连接来偷窃或截取数据(或窃听电话)。此外,一种称为"模糊测试"的攻击可以通过蓝牙配对执行。模糊测试攻击利用蓝牙设备固有的软件漏洞发送无效数据从而引发异常行为,如崩溃、特权扩大和可以植入恶意软件的入侵行为。

应用风险

移动设备的第三方应用程序是由你不认识的人在你无法控制到的环境写的,并且你看不到他们写的过程,开发生命周期,或者对于质量的控制。几乎任何人都可以上传应用程序到应用商店。这些应用程序可能是恶意的,也可以有意或无意地"绕开"在您的组织内建立的安全策略和安全标准。

以下分别讨论与这些应用程序相关的风险。

木马程序

与个人计算机一样,看似有用的应用程序可以被恶意软件感染到。他们可以是逼真的应用程序,可以直接危及到移动设备,或是包含隐藏代码的实际应用程序,可能在稍后的时间感染到电话机。早在2011年3月,一个涉及到“Droid Dream”木马的恶意软件爆发,由于该木马隐藏在很多应用程序中,其中一些应用程序是合法的、富有成效的和在授权的Android市场里可用的(现在称为谷歌应用市场)。

隐藏恶意链接

缩短链接或重定向链接是一种针对包括邮件链接或网页链接常用的方法,这种方法取代了用复杂的位置信息来填充屏幕的方法。这使得用户看不到最终位置,直到用户单击该链接来找到它。此外,在屏幕上显示的链接文本可能不同于嵌入到网页代码的实际链接,尤其是对电子邮件来说。 攻击者可以使用此项技术把用户引入到恶意网站。在移动设备上,在访问这些恶意网站之前去验证链接对于用户来说是非常困难的,不同于计算机上鼠标指针悬停在链接文本处就可以显示出实际的链接位置。

网络钓鱼

网络钓鱼在移动设备与计算机上表现出完全相同的风险。网络钓鱼使用一贯技术,发送包含恶意附件的电子邮件或网络链接,用一些假的,但是看起来逼真的信息来欺骗终端用户打开这些附件或链接。 此项技术用于窃取个人信息,如银行帐号、信用卡号码或用户名和密码。

短信诈骗

类似于网络钓鱼,短信诈骗使用短信引诱毫无戒备的最终用户拨打一个声音电话从而套出个人信息。这些短信包含了一个看起来真实(而且紧急)的要求,可以是因安全原因需要来要求确认详细信息或是要求确认购买、退款,或付款。

远程设备操控

现代汽车已经变得计算机化、网络化、相互关联的以及和智能手机可互操作的。因此,攻击智能手机使得攻击者能够远程启动、开锁、追踪或操作和受控制的智能手机连接的车辆。

CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢