“隨著移動互聯網的快速發展,移動設備成為了日常必備品之一,無論是生活使用還是辦公應用均會涉及到移動設備。通過移動設備操作形成的數據流都將在互聯網中進行傳輸,因此,移動時代最大的安全入口主要還在於移動設備的安全。”
用戶與企業數據大規模被竊的背後,是互聯網產業之繁盛與數據保護能力之羸弱的懸殊對比。數據保護嚴重不力,顯然已經成為全球互聯網產業的“”。當越來越多的中國互聯網公司走向世界,需要依靠的不應僅僅是世界級的用戶市場,更應是世界級的互聯網倫理與規則。
根據Verizon《2018數據洩漏報告調查》統計,去年關於信息安全的大小事件共發生了大約53000起,其中確定為數據洩漏的事件有2216起,平均每一天就有6起數據洩漏事件發生。而且,在Verizon過去10年的報告中,數據洩漏事件也是頻繁發生,發展至今天已經成為了常態。
90%的移動設備深受漏洞危害 劫持竊取成數據洩露高頻場景
更為要緊的是,黑客攻擊技術與移動安全技術在同步提升。近日,Reddit宣佈,6 月份的一個信息安全漏洞導致攻擊者入侵了該公司內部系統的某些部分。
值得注意的是,這次攻擊繞開了Reddit通過短信實現的雙因子認證(Two-Factor Authentication)系統,這也給仍在使用短信來部署雙因子認證的互聯網服務敲響了警鐘。
其實,全球普遍採用的雙因子認證系統非常脆弱,黑客先使用偽基站獲取用戶手機號,再通過網上洩露的數據庫,根據手機號碼反查用戶的姓名、身份證號、銀行賬號等信息。然後在某些網站啟動註冊或交易,並利用和用戶位置相近的特點竊取用戶短信驗證碼。
通過短信驗證碼登錄賬號後,黑客可以獲取用戶的快遞地址、消費記錄、通訊錄等隱私信息,還可以通過“撞庫”、“拖庫”等方式,就像拼圖一樣集齊用戶的姓名、身份證、銀行卡號等信息。
根據檢測發現,94.1%的安卓設備受到中危級別漏洞的危害,95.4%的安卓設備存在高危漏洞,90.6%的安卓設備受到嚴重級別的漏洞影響。由此可見,我國移動端的安全威脅仍然不容小覷。
目前,八成的網絡欺詐場景都來自移動端。移動網絡隱私的洩露主要有手機軟件獲取、免費Wifi竊取、舊手機設備洩露,以及黑客盜取企業大數據等渠道。這其中,手機軟件是絕大多數人幾乎每天都會高頻使用的產品,在使用過程中,用戶往往需要給軟件開放各項權限。
但是,由於手機應用軟件的開發者眾多,以及監管平臺在很多方面都難以覆蓋周全,這使得手機軟件良莠不齊,越界獲取隱私權限的問題時有發生。
攻擊者只需向安卓設備發送一條簡單的文本信息,就能夠在用戶的設備上獲得Root等其他訪問權限。一些最危險的漏洞還可以讓用戶暴露在整個系統的接管過程中,包括用戶的截屏,視頻記錄、打電話、閱讀記錄和獲取短信等,甚至未經用戶同意的情況下強制安裝第三方的任意應用程序或刪除用戶保存在設備上的數據。
移動安全成企業IT關注焦點 定製化安全方案隔離潛在風險
不僅個人數據成為公眾關注焦點,移動應用數據防洩漏也成為企業關注的重點。比如金融、醫療等一些行業對信息與數據的安全性要求極高,即使是很小的疏忽或者漏洞,都會引發蝴蝶效應。
當前,移動辦公主要面臨五大安全風險:
1、內部員工是洩密企業敏感數據信息的最大“黑客”
數據報告顯示,企業信息數據安全事故中有50%是因為內部員工而起,約有20%的安全事故被認為是內幕者惡意行為,比如說員工可能從洩露的數據信息中獲利。員工的主要洩密途徑除了拍照洩漏、存儲在手機中外洩外,還有離職員工拷貝企業重要信息。
2、移動設備成為病毒滲攻擊企業數據的跳板
在移動互聯網越來越深入人心的今天,攻擊者已經開始將視線由PC轉向了移動設備。同時,由於Root權限濫用和新的黑客攻擊技術,移動設備成為滋生安全風險的新溫床,容易成為黑客入侵滲透企業內網的跳板。
3、公私數據混用,個人隱私難以得到保障
同一臺移動設備上既有個人應用,又有企業應用和數據。在沒有明確區分移動終端上的個人和企業數據和應用時,個人應用可以隨意訪問、獲取企業數據,同時,企業也會觸及到個人應用。禁止企業數據被個人應用非法上傳、共享和外洩,同時禁止企業應用訪問個人隱私數據,是企業難以避免的問題。
4、缺乏端對端網絡的可視性
實時、全面的端到端可見性,對數據、數字基礎設施、網絡以及流程的管理都是至關重要的。網絡工程和應用團隊必須實施簡化的自動化流程,以實現自動化的網絡映射,獲得關鍵應用程序和網絡基礎設施的全面和完整的可視性。
5、解決大數據隱私慣例的需求
目前,還不存在任何一個堅實的框架,能夠實現大數據隱私的最佳實踐。相反地,企業必須採取積極主動的戰略措施,來進一步改進和強化不合適的數據安全和隱私行為。對於企業而言,只是實施標準的一般安全措施已經遠遠不夠了,還需要存在合約關係的雲服務提供商、網絡工程和應用程序團隊的共同努力和擔當。
如今,已有不少像愛加密、梆梆安全、通付盾等移動安全公司針對企業安全特性,提供定製化移動安全解決方案。比如愛加密,具有強大的機器學習智能防護能力,主動從輸入數據中找到潛在的風險類別規則並建立關係模型。以內容檢測舉例,移動安全大數據平臺通過計算機視覺技術與半人工審核的運用,實現了對於移動應用內容的有效監管。
愛加密會收集企業App在移動互聯網上面臨的可能潛在風險,包括有沒有被逆向、有沒有被破解、有沒有被盜版等。然後把這些風險的數據,收回到企業內部,在企業內部藉助我們整個的移動安全大數據平臺,進行分析和監控,提出自動化的主動關聯防護。
隨著新的數字破壞者不斷湧現,找到適合的移動安全服務商,可以幫助移動企業有針對性、有準備地應對不可預測的未來。通過不斷進化企業安全防護體系,企業可以更從容地面對不可預知的變化趨勢與潛在風險,並最終實現業務增長的目標。
閱讀更多 科技雲報道 的文章
