如何保证移动设备的安全?

大的手机品牌厂商几乎每年都会推出一款新的智能手机,它搭载了最新和令人兴奋的技术,但却不意味着这些设备就不存在安全隐患。随着移动设备的广泛使用,特别是在商务中的应用,它吸引网络犯罪分子将企业和高端人士当做了攻击的目标,目标所使用的新款iPhone和Android手机的漏洞成为攻击者的跳板。那么这些攻击是如何发生的,我们又当如何防御呢?

首先,这些攻击者的目的通常是突破设备中的安全系统以获得准入权,进而盗取高价值的隐私或敏感数据,如此一来,他们就可以索要大笔的赎金了。犯罪分子想要获取的不仅是潜在的关键网络数据,还有资金和知识产权信息,甚至通过漏洞监听高级管理人员的私人谈话或决定。

尽管安全人员在发现病毒、漏洞、恶意软件后的第一时间就曝光并发出了警告,但此类信息总是不被重视,所以当早前Pegasus恶意软件爆发后依然震惊了许多人。Pegasus能够通过点击伪装的链接轻易感染用户设备,进而读取用户文本消息、追踪用户电话、窥探密码、绘制手机位置动态图,以及从应用程序中截获信息。

移动设备的安全隐患

移动设备有其鲜明的特点,它存在着许多会被犯罪分子们利用的潜在威胁。即使这些移动设备的安全漏洞,与笔记本电脑、台式机等终端设备上的漏洞一样,但移动设备更加复杂的系统和传感设备,将其暴露在了更为广泛的安全威胁中。

不同于办公区的办公设备,移动设备更容易受到恶意攻击的影响,比如使用标准的SS7信令系统进行的通信。与此同时,一个完整的地下黑色产业链也在威胁着数百万人每天使用的移动应用程序,包括社交的、私人的或商业目的的。除此之外,还有来自邮件或短信的网络钓鱼威胁,以及对明文邮件不到位的保护工作。

犯罪分子也会渗透到企业的安全措施内,通过伪造一个他们自己的伪Wi-Fi接入点或伪蜂窝基站,以看似正规合法的方式来窃取信息。

移动安全还面临着独特的挑战:商业和社交媒体越来越多的依赖于云服务;智能手机不同于传统电脑,会一直处于开机状态。

此外,还有一个容易被忽视的潜在威胁,即在现实中,我们几乎没有人经历过针对手机的网络攻击。在很大程度上,我们的设备正被重重保护着,比如防火墙组、数据加密、由路由器构建的安全解决方案以及软件的自动更新等。尽管如此,由于威胁的发展,个人和组织也必须采取重要措施,尽量减少设备在安全上的脆弱性。

重要举措

首先,人们在使用小型设备时,往往容易忽略密码的重要性。听说过“英国小报电话窃听丑闻”的人应该都知道,及时更改设备初始密码的重要性。特别是供私人使用的企业IT设备,更需要定期检查更新强复杂度的密码。

考虑到移动应用和云应用之间的重要关系,在云上的应用也必须具备很强的帐户身份验证能力。对于企业来说,对这些帐户的监督可能需要在他们的直接控制之下,而不是交给其他人员。

第二,我们一定要全力支持对对操作系统升级的必要性,它能阻止漏洞对系统的威胁。对于企业来说,还需要升级完善他们的移动安全管理系统,从而使系统自己成为移动设备的网关。

尽管移动操作系统供应商已经在他们的产品中设计了屏蔽网络黑客的机制,但现实情况是不断出现的新漏洞会让这个防护机制失效。因此,确保用户能够即时更新供应商发布的所有补丁和更新变得非常重要。补丁和更新让黑客的入侵变得更加困难,致使他们不得不投入更多的时间和精力去寻找新的易受攻击的程序漏洞。

保证企业的移动设备使用的是最新版本的操作系统,这对企业来说也是很大的优势。虽然经常性的升级可能会让人觉得麻烦、不舒服,但它确实为企业提供了最新的安全架构的保护,用以抵御最新的威胁。而获取供应商的承诺,他们将为系统继续提供一段时间的安全更新,也非常重要。当这一期限到期时,或者继续签署系统更新协议,或者淘汰这些设备。

第三,根据企业自身的情况部署合理的企业移动管理系统,不但能够掌控企业移动IT设备的动向,还能实时感知设备的安全性。当企业需要对自己的设备做出管理举措时,随时可以通过推送策略、应用、补丁和升级,远程即时实现。

保护应用安全

在应用程序方面也需要保持警惕,而且这个领域的安全性甚至更复杂。如今App Store和Google Play拥有上千万款应用程序,犯罪分子已经做好准备,利用这些应用的编码漏洞,或者完全重建一个恶意版本。

用户应该改深有体会,正常启用新的应用程序有着典型的步骤,第一次启动时会更多考虑其安全性,之后随着使用该应用次数增多,交互逐步增多。当然还有很多好办法来保证安全,比如从信誉良好的供应商那里购买应用程序,并接受所有有必要的安全更新;或者自建企业应用商店,控制应用的安全来源。

很多应用开发商采用了应用加固的方式防止应用被黑客反编译后加入恶意代码。对于企业来说,采购安全的应用,加固企业应用,甚至部署移动应用安全管理产品,保护应用和应用处理的数据,可以有效的保护应用层面的信息安全。根据企业统一采购的移动设备(CYOD),或员工自带的移动设备(BYOD)采取更合理的管理方案。

这些都是消费者和企业可以采取的保护自身安全的措施,但电信公司也需要发挥他们的作用,通过使用咨询公司客观安全的专业知识来测试并找出他们的网络漏洞。精通电信的工程师可以与白帽子们合作,把他们的技能结合黑客技术,模拟全面的网络攻击,挖掘出漏洞,并提供技术专长来解决问题。

随着网络犯罪和政府支持的黑客行为的泛滥,消费者和企业都要更认真地对待移动设备的安全问题。忽视移动安全等于开门揖盗。

点击

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180201A0IHPO00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券