【IT168 编译】每当提起移动设备的安全保护问题,其实我们自己就成了阻碍这一目标的最大敌人。尽管事实上很多朋友都会每周七天、每天二十四小时高度依赖于自己的移动设备,但绝大多数用户对于安全性事务似乎一无所知,研究人员做出了这样的论断。
根据赛门铁克公司发布的威胁调查报告,单就2012年来看,44%的成年用户完全不知道移动设备当中也存在着安全解决方案。而同样由这家安全供应商于2014年4月发布的2013年安全报告中,这一比例更是上涨到了57%。研究人员指出,用户群体当中这种严重的指导与培训缺失只是一种表面现象。举例来说,多年以来人们已经习惯于使用几乎不必过多考虑安全性问题的功能手机,因此在突然转向智能手机之后往往没有意识到需要为其安装安全应用程序。
展望未来,专家们一致认为,移动恶意软件与欺诈活动只会随着用户将更多丰富而敏感的数据引入其手机而变得愈发猖獗。这些设备通常也能够获取到来自企业的业务数据,因为大多数员工会不自觉地将自己的移动设备纳入生产力工具库。
除了使用层面的移动安全问题,移动设备丢失的情况也开始变得愈发普遍。根据一份消费者调查报告给出的结果,单在2013年就有140万台智能手机丢失或者被盗,而且从未得到恢复,这一数字高于2012年的120万台。
面对数量众多的设备与业务数据安全风险,没有任何一套解决方案能够以不变应万变地搞定移动安全难题。“时至今日,员工真的没有一种完美的方式来保护自己的移动设备,”WellPoint公司IT事务副总裁Jamisson Fowler表示,这是一家总部位于印第安纳州波利斯市的医疗福利企业。“他们总是把问题归咎于自己犯下的各种失误,而且市面上也没有一款工具能够真正将设备锁定起来。”虽然形势不容乐观,但我们仍然有办法让员工具备更为丰富的移动安全知识与事件应对经验。
下面我们将一同了解五种更有可能身陷移动安全风险的员工类型,并学会如何教导他们以更加积极的心态维护自己的设备及数据。
1. 不知情员工
有些人很容易受到社交工程欺诈以及钓鱼攻击的影响,因为他们根本没有意识到网络世界当中所潜伏的种种危机。在这种情况下,我们该如何培养他们识别并回避恶意人士那瞬息万变的攻击战术?
解决方案:主动钓鱼以培养安全意识
网络犯罪分子总是在寻找着“干一票大事”的机会,而移动设备已经成为攻击活动的最新前沿。那些在PC设备上被证实有效的攻击活动,完全可以被用于测试毫无防备的移动用户是否会同样中招——而且鉴于大多数移动设备都缺乏良好的保护机制,这类唾手可得的目标当下可谓规模庞大。“攻击者们肯定会在整条流程链当中寻找最为薄弱的环节”,而后将历史上最为成功的欺诈手段融入其中,Cyren公司CTO Lior Kohavi指出,这是一家总部位于加利福尼亚州麦克莱恩市的云安全方案供应商。
在德国医疗设备制造商Karl Storz GmbH公司,IT部门用于管理2200台移动设备的安全方案同时也负责着企业内部系统的保护工作。“我们希望让人们意识到钓鱼攻击的存在以及可能后果,”位于加利福尼亚州埃尔塞贡多市的Karl Storz Endoskope子公司企业技术主管David O’Brien表示。
在内部系统当中,该公司实施了一整套培训项目,其内容从PhishMe到运行模拟邮件再到社交工作欺诈可谓无所不包,目的就是让员工在切肤之痛中了解安全事务的重要性。在早期实践过程中,IT部门发现了令人震惊的结果:有大约70%的目标测试者心甘情愿点击了那些最基本的钓鱼欺诈链接,并将自己的ID以及密码输入了进去。更可怕的是,其中还不乏一些“我手下最资深的IT人员”,O’Brien回忆道。
当然,恶意人士所采用的社交工程手段不仅仅能够通过基于PC的系统起效,同时也能影响到移动系统。无论采用怎样的实施途径,受害目标总是指向那些无意中点击链接并下载恶意软件的受信用户,他们的这些违规操作将导致攻击者能够进入企业内部网络并获取到敏感数据。网络钓鱼信息在移动设备上被打开后,也能够进一步感染到笔记本以及企业业务系统,KnowBe4公司联合创始人Stu Sjouwerman指出,这是一家位于佛罗里达州清水市的安全培训企业。对于这一点,他给出了一项简单的忠告:“先考虑清楚再下手点击。”钓鱼欺诈实践让Karl Storz公司的员工们意识到了恶意活动的存在,并帮助他们学会了如何回避此类攻击。
“这些不同类型的攻击将对任何设备造成严重影响——无论是移动设备还是其它传统计算设备,”O’Brien强调称。“在我们的测试当中,全部终端用户当中约有20%没能在自己的iOS设备上(iPhone或者iPad)经受住钓鱼考验。我敢肯定,未来的测试将包含数量占比更为可观的移动设备使用规模。”
在技术巨头Raytheon公司,安全已经成为企业文化的一项重要组成部分。在这家位于马萨诸塞州沃尔瑟姆市的企业当中,遍布世界各地的63000名员工有约三分之一利用智能手机以及平板设备处理日常工作,而其中“人为因素”永远是给安全保障造成最大困扰的环节,该公司便于业务服务IT事务副总裁Jon Aliber指出。
“最终能否实现安全保障还是得归结于个人,而且必须确保他们真正了解钓鱼鱼欺诈活动的套路与特征,”Aliber指出。Raytheon公司利用社交协作与博客工具来帮助员工及时获取并发现网络钓鱼活动。除此之外,该公司还要求每位员工每年参加一次在线安全培训课程。