移动恶意软件一直增长并威胁着企业。根据谷歌Android安全情态联盟的说法,约1%的Android设备有可能在2014年安装了受感染的应用。而且,又出现了新的、不断增长的Android恶意软件类别:商业间谍软件。
通常,苹果iOS还是很少遭恶意软件感染的。不过在九月和十月,两个明显的恶意软件突然爆发——XcodeGhost和YiSpecter,存在于iTunes应用商店的应用中。企业如何与这些移动恶意软件隔绝开来呢?
为电脑安装反恶意软件应用被认为是保护PC安全的有效措施,不过对于移动设备来说这可行不通。反恶意软件应用受移动操作系统应用沙箱的排斥,使应用相互孤立,在苹果iOS设备上尤为如此。尽管Android已经开始支持起反恶意软件应用,它们大多建立在以特征为基础上的检测,在零日漏洞攻击应对方面并不是那么有效。企业安全团队需要寻找新的方法来阻截移动恶意软件。
止损措施:黑名单策略
采用黑名单是阻截恶意软件的一个方法,这依赖IT管理策略来防止设备上安装不必要的应用。黑名单通常都可以用在移动设备上,进行企业移动管理。
然而,黑名单的障碍是维护和个人隐私。解决前者,企业可以将黑名单作为止损措施,有选择地创建来识别、隔离以及纠正特定的恶意软件。这种方法可通过移动应用信誉分析来进行强化。不过这并不适用于BYOD环境,因为企业雇主不愿意对用户自行安装的应用也做盘查。
对于带有EMM的移动设备来说,强制执行的基础策略能够明显减少移动恶意软件带来的风险。在Android上,可以避免其他装载,即安装非谷歌或公司本身的应用。对于iOS和Android用户设备,可以安装EMM代理对越狱和刷机进行检测并响应。虽然不是所有的恶意软件都包括越狱、刷机或其他装载,不过绝大多数移动恶意软件都是通过这些途径进行潜伏的。一些企业可能需要越狱,刷机或装载其他应用,不过这也只是小众需求。
per-app VPN可减少恶意软件出场机会
最近出现了一种新的阻截移动恶意软件的方法:per-app VPN,iOS 9和Android 5移动设备上都可实现。
Per-app VPN在iOS 7中首次亮相,不过彼时只限于应用层的VPN客户端支持这一功能。在iOS 9中,它集成至本地iOS VPN客户端并应用至IPsec VPN通道中。此外,可以配置应用通过Kerberos进行身份验证,并且可以自动启动本机VPN客户端验证。这使得per-app VPN能够更多地用于企业,是从网络层通道到企业网络阻截恶意软件的有效方式。
传统VPN下,移动设备上的所有流量会流至企业网络,这为企业网防护带来隐患,通过移动网络防御进入的木马很可能获得访问权限。而IP/端口层面的策略能够应用到传统通道中去,对于减少风险来说这些方法还是比较粗糙的,特别是越来越多低效的应用流量穿越SSL/TLS而来。
per-app VPN可以穿件一个范式,仅有企业安装的应用能够自动应用。采用这种方法,受信任的企业应用进入白名单,可安全地访问企业网络,而其他安装在移动设备上的应用(包括恶意软件)没有访问VPN的权限。
最后,企业应该综合上诉策略来管理手机恶意软件的风险问题。毕竟,在越狱设备上黑名单或是per-app VPN无法被信任。然而,可以组合使用措施来为每个移动设备创建一个更强健的安全状况,有效地检测并阻截移动恶意软件。
