不管人们是否愿意,智能手机、平板电脑等移动设备已经开始进入公司。这些设备为恶意软件打开一扇新的大门,老的安全工具和过程不能完全关闭这扇门。安全专家必须将教育培训、策略制定、现有工具的使用、新移动设备的管理系统结合起来,在移动设备的风险和工作效率的提高之间实现有效平衡。
移动设备无处不在:从公司总裁到普通员工都可用移动设备上网冲浪、检查邮件、安装应用程序、玩游戏、发送文本消息等。这就给IT专家增加了管理移动设备同时又能减轻其威胁的任务。有些公司正使用其现有的安全工具来应对移动设备的恶意软件威胁,同时又等待着移动设备的管理市场能够开发出更好地满足其需要的产品。还有些公司使用黑莓或Windows Mobile,使用支持其它移动操作系统的移动设备管理。本文将探讨感染移动平台的恶意软件类型,以及公司使用现有的安全控制可以部署的保护措施,并讨论移动设备管理系统保护企业网络免受恶意软件威胁的能力。
移动软件威胁日益加剧
不要以为如果公司不提供设备,而且阻止个人设备访问资源就万事大吉了。公司信息仍有可能进入个人设备。员工可以将敏感信息从工作邮件转存到他们在移动设备使用的个人账户上。在公司开会期间,员工可以使用基于云的应用程序来记录信息,而这些信息最终也有可能被存放到移动设备上,因而所有的安全专家必须准备解决移动设备的安全问题。
恶意软件这个词主要用于描述病毒、僵尸网络组件、广告软件或间谍软件等,但是根据其行为,还有其它的恶意程序。在移动设备领域,最常见的恶意软件类型是那些导致私密信息问题的软件。例如,一个应用程序可能拥有超出其正常实现功能所需要的权利,具有了允许应用程序访问个人信息或从设备的麦克风记录数据的功能,或者可以通过GPS数据跟踪用户等。有一些移动应用程序会请求用户信息(如用户在谷歌的账户),并将这些信息存储到移动设备上。最后,某个应用程序会使用一个唯一的标志符(如一个电话号码)来将用户的移动设备和用户活动链接到一个网站,从而泄露用户的身份或其它的个人信息。
那么,恶意软件是如何到达移动设备上的?这个问题几乎都是由于一些免费的游戏或程序导致的,如:能够备份即时通信消息的程序,或者允许用户修改桌面背景的程序等。即使免费软件的设计目的不是恶意的,由于其捆绑的广告等仍可导致损害。许多开发人员在将捆绑广告时,往往并不清楚他们的应用程序对安全的影响。开发人员推出免费游戏和软件,通过包含在其中的广告获得收入。问题是,他们在软件或游戏中包括了一个广告框架,却不知道此框架如何处理它收集到的用户信息。
广告公司可以跟踪用户,描述用户概况,将收集到的信息卖给垃圾邮件制造商,获得额外利润,而开发者却一无所知。从公司的观点来看,这可能意味着将敏感信息泄露给有可能滥用或出售信息的第三方。这种状况已经引起许多公司的高度关注。
企业如何应战
在移动设备应用程序的开发之前,对开发者的教育和明确的安全开发策略是首要的步骤。在IT人员能够有效地防护移动设备的安全威胁之前,必须彻底了解安全问题和可能感染移动设备的恶意软件。对于建议管理阶层制定策略来保护公司资源和提升用户安全意识,教育也至关重要。同时,还要教育终端用户在依赖移动设备进行业务或个人应用时,使用移动设备面临的风险。
当然,公司的IT还可以依靠专业的安全公司所发布的工具,来了解和评估移动设备的安全状况。不过,IT必须知道有效地保障移动设备的安全,与保障终端用户(如桌面和笔记本电脑)的安全有很大不同。由于桌面计算机的功能日益强大,安全厂商已经以代理和软件控件的形式将安全保护推向桌面和笔记本电脑,并能够在后台运行。然而,这种模式并不能简单地在移动环境中使用。
如果传统的设备保护方法并不能完全在移动平台上奏效,那么还有什么选择呢?答案是,安全公司需要找到检查和保护正在传输的数据的更好方法,而不是仅重视移动设备内部正在发生什么。实现方法之一就是利用现有的网络访问控制和监视工具。
有些公司已经搭建了移动设备的无线网络,并与公司网络隔离。这可以有效地阻止移动设备访问公司网络,同时又可以使其连接到一个快速无线网。有些公司甚至在这个无线网上提供了数据泄露监视功能,以及限制性的Web代理服务器。还有很多公司基本不监管此无线网。
不幸的是,只要公司允许这些设备访问公司的邮件,这种方法几乎不能提供防御移动恶意软件的真正保护。当用户账户信息进入了一台受到恶意软件损害的移动设备时,用户的登录密码等保护手段基本上就形同虚设了。
使用网络访问控制(NAC)或网络隔离系统的公司可以充分利用现有的功能来控制移动设备。公司可以部署控制,允许公司网络上的移动设备运行,但要对其限制,使其仅能访问特定的网络资源。公司可通过Web安全网关来监视和限制移动设备的Web活动。理想情况下,任何恶意软件活动都可通过网关、已有的入侵检测系统或其它网络监视工具来检测。
还有一个重要问题,即移动设备可以通过USB插入到公司系统的USB端口中。移动设备中的的恶意软件可以利用系统的自动运行功能,在桌面系统中安装新的恶意软件,欺骗用户认为要想使设备正常工作必须安装专门的软件。或者,安装恶意文件,以此来利用桌面应用程序(如阅读器和浏览器)中的漏洞。
为防止通过USB连接的攻击和损害,公司可以限制允许插入的USB设备的类型。例如,Windows的组策略还允许管理员决定可以连接和安装哪些设备。
这些选择提供了几种保护途径,然而,即使部署了上述所有措施,也不能完全阻止恶意软件安装到移动设备,或者从移动设备上窃取敏感数据。
移动设备管理系统的兴起
IT专家认识到,在对付移动恶意软件的战斗中,他们需要新的工具。移动设备管理系统的厂商们正为此努力,并支持尽可能多的平台。
在保护公司资源免受移动设备恶意的危害时,软件的分发与部署、策略和安全管理功能都是最重要的因素。
软件的分发与部署允许公司管理哪些软件可以安装以及如何安装到移动设备上。公司控制着分发与部署,因而只能安装经许可的应用程序,而且可以限制任何有风险的或与业务无关的应用程序。在近几年恶意应用程序正 “磨刀霍霍”,准备向基于安卓的智能手机等流行移动设备发起攻击时,拥有这种控制显得尤其重要。
软件的分发与部署还有助于解决与恶意软件有关的特定问题。许多厂商目前提供了允许用户安装应用程序更新的支持,通过无线通讯发送程序补丁,并扫描应用程序,从而确保其完整性和不受恶意软件危害。保持应用程序更新并验证它是否善意,有助于防止漏洞利用,而且在理想情况下,还可以防止安装恶意程序。
安全和策略管理是移动设备管理的另外两个关键领域,而且这两方面需要配合行动。对移动设备的策略强化往往是特定的安全问题(例如,口令的长度和设备的加密)。有能力制定策略并将策略通过无线方式发布给移动设备非常重要,特别是在应对可通过策略或安全设置就可以减轻其危害的新恶意软件威胁时,就更有意义了。
推行安全设置可以防止恶意程序发送恶意短消息,而通过加密又可以防止敏感信息的泄露,如果设备被感染或丢失,还可以远程清除设备。而且还可以配置来自移动设备的通信,使其只能通过公司的安全网关传输和扫描,进而阻止恶意行为。
虽然IT专家可以利用大量的安全策略和设置来挫败移动恶意软件,公司仍需要认识到同样的工具未必在所有的移动平台中都可用。并非每一种平台都支持嵌入到操作系统中,策略也是如此,这就使得移动设备管理系统的厂商在所有平台中实施同样的特性时面临着很多困难。
试图阻止移动设备只会使雇员不满,甚至激怒他们。由于智能设备日益流行和普及,这种设备正昂首挺胸地进入企业,不管安全专家和公司的管理人员是否做好了准备。关键是要理解想要阻止移动设备的威胁(包括移动恶意软件)就需要协调一致的努力,并必须增加新的管理工具。
不管管理者是否愿意,将来几乎每个人都会使用智能设备。而如果在没有移动设备管理系统的情况下就部署移动设备将会是一场艰难的战斗。虽然必须实施集中管理,但这并不能提供完全控制。至少,公些需要拥有监视功能,能够监视哪些设备易于遭受攻击,并为其更新和打补丁。
在管理和监视移动设备时,采取一种主动性的方法将比试图阻止这种设备更有效率。通过提前满足需求,恶意软件将不太可能有机会进入企业。最终,公司将能够接纳移动设备,并部署策略和控制,从而可以保护公司数据免受日益强大的移动恶意软件威胁。
