BYOD和移动设备给企业安全带来了重大挑战。有的企业IT根本无法有效控制保存公司数据、应用程序和通信的移动设备。随着针对智能手机、平板电脑的恶意软件日益增多,这种困难将日渐加剧。安全管理者和开发者不能坐视不管,而应当遵循和利用业界的渗透测试方法和框架,从整体上对移动设备网络进行有效的渗透测试。
关于移动测试,我们确实可以找到一些所谓的指南。但其出发点是对移动设备划分为几个独立的范畴。现有的方法主要依靠的是设备证书的使用,但它并未得到相关技术的充分支持。事实上,证书只不过是一个没有与设备绑定的文件,因而设备的身份失窃也就轻而易举了。
网络世界的战争依靠的是已经拥有的武器,而不是希望得到的武器。下文将讨论一些进行渗透测试的原则和工具。在此,我们不会讨论公司文化、预算限制,也不涉及测试每个客户端的配置。
定义策略
策略应当将企业的战略转换为可执行的指南。更新安全策略,使其包含强健的移动安全,这对于增强公司对移动网络上公司数据的掌控是非常关键的。
要求员工在声明上签字,宣称自己会遵循公司的策略,否则就会面临惩罚,这是创建安全意识和责任的重要步骤。安全应当成为一种共享责任的事情。
尽一切可能验证
对于每个策略,IT必须确立通过哪种方式进行验证。IT可以对一些措施进行远程验证。
例如,通过使用设备的指纹识别技术,对于未知设备并不阻止,而是作为一种捕获异常的触发器。在一个设备的身份变成另一个设备的身份时,就表明发生了严重的问题。
扫描设备平台
移动设备安全的第一层就是移动设备自身的平台。有些平台比其它平台更安全或更好,而老版本往往在比赛中落败。记住,有些移动平台本身可能比标准的公司工作站更安全。
这意味着检查并记录移动设备的操作系统。这一步对于静态设备的渗透测试是很常见的一步。这一步的目标是检查用户是否没有使用易被攻击的老系统。企业IT应阻止与某些有明显漏洞的老操作系统版本进行通信。
设备端口安全
公司允许移动设备访问公司的无线网络,那些这些设备就会将类似端口作为静态设备。其中包括TCP和UDP端口。IT应经常检查端口,并扫描这些端口背后的应用程序的版本。
欺诈性移动应用
IT不可能测试一切,但这不能成为偷懒的理由。对移动平台及其应用进行测试的最有效方法是,验证系统的权利。移动应用需要某些系统访问权。受到破坏的应用程序版本往往要求超过其实际需要的访问权。
IT安全团队应检查用户经常下载的移动应用,并且对最初开发者所允许的访问权限的原始清单与该移动应用实际得到的权限进行比较。如果二者不匹配,就应引起足够的警戒。
应用端点
移动设备上的应用程序可以使用几种应用端点。这里的端点是指一个移动应用连接到应用程序的连接器,例如,它可被用于下载广告或更丰富的内容。
无疑,企业必须强化这些端点,使攻击者无法通过端点利用系统漏洞。企业IT必须知道有些移动应用包含漏洞,并且有可能造成损害。
安全应用
移动应用市场上,确实有一些很不错的创新可以增强移动安全性。在任何时候,移动应用的自动更新都是最佳的安全方法。此措施可以为应用打上最新的安全补丁。一些著名厂商也推出了不少安全精品,其中有大家熟悉的工具(如反病毒和防火墙)。
例如,著名的ZANTI就是一款基于Android的安全测试平台,管理者可以用它进行网络扫描、模拟中间人攻击,并对总体的漏洞状况做出评估。而且此工具还有一款免费版本。Zimperium这款扫描工具也有iOS版本。
在移动渗透测试过程中,不管是定制的工具还是现成的方法,企业都需要评估哪些工具和技术适合自己。移动的强化是很重要的问题,但监视也不容忽视。
对于在高度复杂的环境中的防御措施,找到能够检测异常活动的补充机制是成功的关键。单独靠一种扫描不可能完全奏效,因而将多种措施结合起来进行适时处理是很关键的。
通过在信息安全领域中应用最佳可行的原则和方法,并且根据移动渗透测试的方向进行调整,企业就能够获得可靠且可行的情报。
作者:赵长林
来源:51CTO