2020年应该引起关注的8种移动安全威胁
2020-03-21 10:00:02 Author: www.freebuf.com(查看原文) 阅读量:537 收藏

如今,移动安全已成为每个公司关注的重点对象,因为现在几乎所有员工都能够定期地从智能手机访问公司数据,这意味着如果敏感信息被不法分子利用,那么事情就变得复杂了。现在说移动风险比以往任何时候都要高,这一点也不过分。根据Ponemon Institute 2018年的一份报告,企业数据泄露的平均成本高达386万美元。这比一年前的估计成本高出6.4%。

pic_services_app_new.jpg

说到移动安全,虽然大家很容易将注意力集中在引起轰动的恶意软件上,但事实是,鉴于移动恶意软件的性质以及现代移动操作系统中内置的固有保护,其感染数量并不多。根据一项估计,设备被感染的概率大大低于人被闪电击中的概率。在数据泄露事件中,恶意软件目前被认为是最不常见的手段。在Verizon的《2019年数据泄露调查报告》中恶意软件攻击在物理攻击之后,排名第二。更为现实的移动安全隐患位于一些容易被忽视的领域,这些领域的安全才是迫在眉睫:

一、数据泄漏

数据泄漏被普遍认为是2019年企业安全最令人担忧的威胁之一。根据Ponemon的最新研究,公司在未来两年内,至少有28%的概率发生至少一次数据泄露事件。也就是说,几率是四分之一。

这个问题特别烦人的地方在于,从本质上讲,它并不是多大的问题。然而,仅是用户无意间就哪些应用程序能够查看和传输其信息做出错误建议的问题。

Gartner移动安全研究总监Dionisio Zumerle说:“主要的挑战是如何实施应用程序审核过程,而该过程不会使管理员不知所措,也不会使用户失望。” 他建议使用移动威胁防御(MTD)解决方案,诸如Symantec的Endpoint Protection Mobile,CheckPoint的SandBlast Mobile和Zimperium的zIPS Protection之类的产品。这样的实用程序会扫描应用程序中的“泄漏行为”,并可以自动阻止有问题的进程。

当然,即使那样也不总能预防因为用户低级的错误而导致的泄漏,诸如将公司文件传输到公共云存储服务,将机密信息粘贴到错误的位置或将电子邮件转发给无关者。医疗保健行业目前也正在努力克服这类困难。根据专业保险提供商Beazley的说法,“意外披露”是医疗保健组织在2018年第三季度报告的数据泄露的主要原因。在这段时间内,该类别与内部泄漏的总和几乎占报告所有事件的一半。

对于这种类型的泄漏,数据丢失防护(DLP)工具可能是最有效的保护形式。此类软件经过专门设计,可防止在意外情况下泄露敏感信息。

二、社会工程

和台式设备一样,在移动端的欺骗策略同样令人困扰。尽管人们认为可以轻松地避免社会工程的手段,但真正发生后,它们仍然具有惊人的效果。

根据安全公司FireEye的2018年报告,91%的网络犯罪始于电子邮件,这个数字是让人震惊的。该公司将此类事件称为“无恶意软件攻击”,因为它们依靠假冒等策略诱骗人们单击危险链接或提供敏感信息。该公司表示,网络钓鱼在2017年期间增长了65%,并且移动用户面临巨大的安全风险,因为许多移动电子邮件客户端只显示发件人的姓名,这使得伪造虚假信息特别容易,欺骗用户以为电子邮件是来自他们认识或信任的人。

根据IBM的一项研究,实际上,移动设备上的网络钓鱼攻击的可能性是台式机的三倍,部分原因是人们最容易在手机上看到消息。Verizon的最新研究也证实了该结论,并补充说,较小的屏幕尺寸以及智能手机上的详细信息显示有限(特别是在通知中,现在经常包含一键式选项以打开链接或响应消息),这也可能增加网络钓鱼的成功几率。

除此之外,在移动电子邮件客户端中,回复的按钮处在显着的位置,工作人员也倾向于使用以多任务、不集中的方式使用智能手机,都会扩大影响。而且大多数Web流量现在通常都在移动设备上,这也导致了攻击者将目光转向移动设备了。

而且,现在不仅是电子邮件了。企业安全公司Wandera在其最新的移动威胁报告中指出,过去一年中83%的网络钓鱼攻击都发生在收件箱之外,比如文本消息或Facebook Messenger和WhatsApp之类的应用程序以及各种游戏和社交媒体服务。

此外,根据Verizon的最新数据,虽然只有百分之几的用户点击了与网络钓鱼相关的链接,视行业而定,范围从1%到5%,但Verizon的早期研究表明,那些容易受骗的人倾向于再次上钩。 该公司指出,某人点击网络钓鱼活动链接的次数越多,将来他们再次执行此操作的可能性就越大。Verizon之前曾报告说,成功钓鱼的用户中有15%会在同一年至少会被再钓鱼一次。

PhishMe的信息安全和反网络钓鱼策略师John“ Lex” Robinson说:“我们确实看到移动敏感总体上受到移动计算整体增长的推动,以及BYOD工作环境的持续增长。” PhishMe是一家用真实世界的模拟来培训员工识别和应对网络钓鱼的公司。

Robinson指出,工作与个人计算之间的界线也在继续模糊。越来越多的员工在智能手机上同时查看多个收件箱,这些收件箱连接了工作和个人账号,并且几乎每个人都在工作日网上操作某些个人业务。 因此,从表面上看,似乎个人邮件和工作信息接收如常,而实际上可能暗藏陷阱。

风险只会不断攀升。 显然,网络骗子现在甚至还利用网络钓鱼来诱骗人们放弃两因素身份验证,一种旨在保护账号以防未经授权访问的代码。转向基于硬件的身份验证被广泛认为是提高安全性并减少网络钓鱼可能性的最有效方法,比如通过专用的物理安全密钥(例如Google的Titan或Yubico的YubiKeys),或Android手机通过Google的的设备安全密钥选项。

根据Google、纽约大学和加州大学圣地亚哥分校的一项研究,即在设备上的身份验证可以阻止99%的批量网络钓鱼攻击和90%的针对性攻击,和同类更可疑的2FA代码钓鱼相比,这些设备的有效率分别为96%和76%。

detect-and-remove-wi-fi-freeloaders-from-your-network-2487650-v1-7f20993a22c94f60bf3a9edbea06b0e1-45d4848df848425a8e75ea52b6b1fdf5.png

三、Wi-Fi干扰

移动设备的安全性与传输数据的网络一样。在这个时代,我们不断地连接到公共Wi-Fi网络,这意味着我们的信息通常不像我们想象的那样安全。

这到底有多重要?根据Wandera的研究,企业移动设备使用Wi-Fi几乎是使用蜂窝数据的三倍。近四分之一的设备已连接到开放且可能不安全的Wi-Fi网络,并且有4%的设备在最近一个月内遭受了中间人攻击,即有人恶意拦截了两方之间的通信。McAfee表示,最近,网络欺骗已“急剧增加”,但只有不到一半的人在旅行和依赖公共网络时愿意保护自己的连接。

锡拉丘兹大学(Syracuse University)计算机科学教授Kevin Du专门研究智能手机安全性,他说:“如今,对流量进行加密并不难。如果没有VPN,那么边界就会敞开许多大门。”

但是,选择正确的企业级VPN并非易事。与大多数安全性考虑一样,几乎总是需要进行权衡。 Gartner的Zumerle指出:“移动设备的VPN交付需要更加智能,因为最大限度地减少资源(主要是电池)的消耗是至关重要的。有效的VPN应该知道仅在绝对必要时才激活,而不是在用户访问新闻站点之类的东西或在已知安全的应用程序中工作时激活。

四、过时的设备版本

智能手机、平板电脑和较小的连接设备(通常称为物联网(IoT))给企业安全带来了新的风险,因为与传统的工作设备不同,它们通常无法保证及时且持续的软件更新。尤其是在Android方面,确实如此,因为绝大多数制造商都无法实时更新,不管是通过操作系统(OS)更新,还是物联网设备每月的安全补丁更新,有些甚至在设计之初就没有更新的选择。

Du说:“其中许多甚至没有内置的修补程序机制,可如今这些威胁正越来越多。”

根据Ponemon的说法,且不论攻击的可能性增加了,就移动平台的广泛使用而言,就会增加数据泄露的总体成本,而丰富的工作相关的物联网产品只会使这一数字进一步攀升。据网络安全公司雷神公司(Raytheon)称,物联网是“一扇敞开的门”。研究表明,有82%的IT专业人员预测,不安全的物联网设备将导致企业内部造成数据泄露,这将是很大的一场“灾难”。

同样,保障安全的有力政策还有很长的路要走。有些Android设备确实会及时提醒安全更新。然而,目前的物联网安全只能由公司把控。

五、加密劫持攻击

加密劫持是一种新兴的移动威胁攻击,攻击者在所有者不知情的情况下使用设备来挖掘加密货币。加密采矿过程使用公司的设备来获取他人的利益。它在很大程度上依赖于您的设备技术来做到这一点,这意味着受影响的手机可能会经历很长的电池寿命,甚至可能由于组件过热而遭受损坏。

尽管加密劫持起源于台式机,但从2017年末到2018年初,移动端数量激增。根据Skybox Security的分析,加密货币挖矿占2018年上半年所有攻击的三分之一。与上半年相比,这段时间内突出增加了70%。根据Wandera的报告,在2017年10月至2017年11月之间,针对于移动设备的加密劫持攻击数量爆炸,当时受影响的移动设备数量激增了287%。

从那之后,情况有所好转,尤其是在移动领域。这主要得益于,在6月和7月从Apple的iOS App Store和与Android相关的Google Play商店中禁止使用加密货币挖矿应用程序。安全公司仍然注意到,通过移动网站(甚至只是移动网站上的流氓广告)和通过从非官方第三方市场下载的应用程序,攻击仍在持续。

分析师还指出,还可能通过互联网连接的机顶盒进行密码劫持,某些企业可能将其用于流媒体和视频播送。根据安全公司Rapid7的说法,黑客已经找到了一种明显的漏洞利用的方法,该漏洞使Android Debug Bridge(仅用于开发人员使用的命令行工具)变得易于访问,并且可以滥用此类产品。

目前,还没有很好的应对办法。除了仔细选择设备并遵守一项政策,即要求用户只能从平台的官方店面下载应用程序外,这才能大大降低密码劫持的可能性。而且,考虑到整个行业正在采取预防措施,实际上,没有迹象表明大多数公司受到任何重大或直接的威胁。尽管如此,随着2019年的发展,鉴于过去几个月在该领域的活动不断变化和攻击者兴趣不断上升,加密劫持仍值得一提。

Online-Shopping.png

六、密码安全强度不够

密码安全或许已经被重视起来了,但是某种程度上,用户仍然无法保护好其账号的安全。当他们同时携带包含公司账号和个人登录信息的手机时,这尤其成问题。

最近的一项谷歌和哈里斯民意调查发现,根据调查的样本,超过一半的美国人,重复使用多个账号密码;将近三分之一没有使用2FA(或者不知道他们是否正在使用2FA);只有四分之一的人有积极使用密码管理器,这表明绝大多数人在大多数地方可能没有特别强的密码,因为他们大概是自己生成的。

根据2018年LastPass的分析,有一半的专业人士在工作账号和个人账号中使用相同的密码。此外,分析发现,一个普通的员工在他的工作过程中与一个同事共享大约六个密码。

2017年,Verizon发现,较弱的或被盗的密码超过80%应归咎于与黑客相关的企业数据泄露行为。特别是在移动设备(员工希望快速登录到各种应用程序、网站和服务)中,即使只有一个人粗心地在零售网站、聊天APP或消息论坛上输入公司账号的相同密码,这时候也要考虑对组织数据的风险。现在,将这种风险与前面提到的Wi-Fi干扰风险相结合,将其乘以工作场所中的员工总数,接着就会发现潜在风险的暴露点迅速增加。在谷歌和哈里斯民意调查中,有69%的受访者在有效保护其网络账号上给了“ A”或“ B”。显然,这不可信。

七、物理设备导致泄露

丢失或无人看管的设备可能是主要的安全风险,尤其是如果它没有强大的PIN或密码以及完整的数据加密时。

在2016年的Ponemon研究中,35%的专业人员表示他们的工作设备没有强制性的措施来保护可访问的公司数据。更糟糕的是,将近一半的受访者表示他们没有密码、PIN或生物特征安全保护设备。大约三分之二的受访者表示他们不使用加密。68%的受访者表示,他们有时会在其移动设备访问的个人和工作账号,并在两者之间共享密码。

在2019年移动威胁态势分析中,Wandera发现43%的公司中至少有一部智能手机没有任何锁屏安全性。在其设备上设置了密码或PIN的用户中,许多人会选择使用最少的四个字符的密码。

因此,仅将责任放在用户手中是不够的。不要做假设,要制定政策。

八、移动广告欺诈

根据互动广告局(IAB)的报告,移动广告产生了大量收入,仅在2019年上半年就达到了579亿美元。网络犯罪分子也会想从中分一杯羹。因此,他们找到了从移动广告收入流中窃取现金的方法也就不足为奇了。估计广告欺诈成本会有多少不同,但Juniper Research预计到2023年每年将损失1000亿美元。

广告欺诈可以采取多种形式,但最常见的是使用恶意软件来产生对广告的点击,这些点击似乎来自使用合法应用程序或网站的合法用户。例如,用户可能会下载提供合法服务(例如天气预报或消息传递)的应用。但是,在后台,该应用会对在该应用上显示的合法广告产生欺诈性点击。发布商通常会根据其产生的广告点击次数来付费,因此,移动广告欺诈行为会窃取公司的广告预算,并可能窃取发布商的收入。

最大的受害者是移动广告商和受广告支持的发布商,但广告欺诈行为也确实损害了移动用户。与加密劫持一样,广告欺诈恶意软件会在后台运行,并可能降低智能手机的性能,耗尽其电池电量,导致更高的数据费用或引起过热。安全供应商Upstream估计,由于移动广告恶意软件带来的更高数据费用,智能手机用户每年损失数百万美元。

到目前为止,Android是最流行的移动广告欺诈平台。根据Upstream,以下是常见的Android恶意应用程序:

Snaptube

GPS Speedometer

Messenger Plus的免费消息、视频、聊天、文本

Easy Scanner

Weather Forecast

Super Calculator

Who Unfriended Me

VidMate

Quicktouch

Upstream报告建议用户:

定期检查应用程序,并删除任何看起来可疑的应用程序;

监视数据使用情况以发现异常尖峰;

仅从Google Play安装应用;

在安装之前,请检查应用程序的评论,开发人员详细信息以及请求的权限列表,以确保它们均适用于其本身的用途。

*参考来源:csoonline,Sandra1432编译,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/terminal/228900.html
如有侵权请联系:admin#unsafe.sh