不要害怕1337次移动网络漏洞攻击,一个大的企业IT安全威胁:网络钓鱼

移动安全专家乔治·魏德曼周四在伦敦举行的AppSec欧盟会议上表示,AppSec EU IT管​​理员应该专注于网络安全的基础,而不是担心复杂的国家赞助的零日攻击。

移动安全测试公司Shevirah的创始人兼首席技术官Weidman六年前在行业中崭露头角,与黑帽人群混在一起,精英安全研究人员试图通过异国情调的攻击来超越对方,并在基于攻击的攻击中瞧不起他们的鼻子。网络钓鱼电子邮件和链接。

自从她开始帮助企业客户测试他们的移动设备管理和其他技术以来,Weidman意识到这是导致绝大多数问题的简单因素。

不要害怕一个国家的高级政府黑客滥用前所未闻的漏洞,你应该留意阻止网络钓鱼链接,狡猾的应用程序以及阻止从手持设备通过蓝牙泄漏文件的防御措施。这些更有可能。

“它正在修补或被钓鱼,”Weidman 在她的主题演讲后告诉The Register。“这不是民族国家在零日的时候花上帝知道的。我们还没有得到正确的基础知识。”

企业在其工作人员使用的移动设备中寻找剥削迹象的企业经常寻找Cydia,这是苹果App Store中用于越狱iOS iThings的替代品。违反企业安全策略的越狱设备可能是一个问题,但Cydia的存在是不够的。数据窃取应用程序更具威胁性。

同样,Weidman表示员工应接受培训,警惕移动网络钓鱼攻击,这种攻击可以通过多种通信渠道和电子邮件来打击设备。

控件在那里,所以使用它们

在她的演讲中,Weidman运行了市场上可用的企业级安全控制 - 例如移动威胁防御和移动应用程序管理 - 同时提供了他们如何在攻​​击中失败的示例。

Weidman在世界各地的场馆提供或进行了培训,包括NSA,West Point和Black Hat安全会议。她获得了DARPA网络快速通道奖,以继续她在移动设备安全方面的工作,最终发布了开源智能手机Pentest框架(SPF)。

这些天,她正在开发用于测试目的的概念验证iOS和Android漏洞。Weidman在她的演讲中说,Android是如此分散,以至于难以开发可靠的漏洞。

私下里,在她的谈话之后,Weidman称赞谷歌通过其零度计划和其他渠道开放其移动开发研究。®

  • 发表于:
  • 原文链接:http://www.theregister.co.uk/2018/07/05/mobile_enterprise_security_appseceu

扫码关注云+社区

领取腾讯云代金券