如今,企业移动管理(EMM)在移动环境中已经有了自己的地位,但是,在涉及移动安全时,EMM仅仅是一个起点。
不管用户是谁,移动安全技术都应提供安全和信任,并且支持应用级的监视和控制,防止当前移动环境中的漏洞,而这些功能都是EMM无法独立实施的。为什么呢?
企业移动管理(EMM)的核心是移动设备管理(MDM)。由于移动设备大量地进入工作场所,IT不得不利用这种机制来跟上其步伐。虽然企业中EMM方案有了广泛应用,但是EMM主要是作为一种严重依赖管理设备和用户的管理平台。当今的移动世界要求企业必须重视BYOD、APP和日益增加的安全挑战。如果企业无法深入地监视操作系统中正在发生什么,也就不能完全相信设备。
随着移动设备和应用的快速发展,围绕着BYOD和移动应用的诸多势力开始粉墨登场,并将重新塑造我们对移动和移动安全需求的认识。移动应用的不断增长,正在进一步强化企业对真正移动安全方案的需求,但EMM无法满足新形势下的安全需求。
BYOD不仅针对雇员
大约十年前,移动性意味着企业购买并根据需要给雇员派发一块黑莓手机。而如今,在企业中,BYOD和app呈激增态势。BYOD不仅涉及雇员,越来越多的合伙人和客户开始通过设备上的移动应用与企业交互。这意味着,企业无法控制这些设备,对移动安全来说,传统的IT和MDM方法已经过时。
移动应用的发展已经不可逆转,所以,企业不仅需要保障设备的安全,而且,不管是什么设备类型,在不影响用户体验的情况下保障应用的安全。为此,企业必须采用一种已经被证明的而非假想的模式。企业对移动设备和应用必须采用零信任的模式,将安全性整合到要部署的任何应用中。
任何人都可能成为app的开发者
随着企业日益重视移动设备和应用,企业的CIO在满足终端用户的需求时面临着不少压力,这是因为他们既要向业务人员和合作伙伴提供安全的应用,又要向直接使用app的客户快速提供应用。结果,可使应用程序的开发更容易的大量的移动应用开发平台和移动应用开发工具纷至沓来,无论是技术人员还是非技术人员都可以创建移动app。但移动app开发者的安全知识却不能保持同步和一致。
构建移动app的安全知识发生的这种变化,再加上企业要求快速将应用推向市场的迫切需求,导致了app的可用性战胜了安全性,造成了大量不安全的应用。
为解决这个问题,我们必须利用工作在app层的安全方案,并且在所有移动app中提供一种一致的安全框架。这种方案不仅要保护app,还要确保不健全的app不会成为攻击者的前门。只有这样,企业的CISO和CIO才可能对移动应用的完整性有信心。
app激增
企业正快速地将大量的业务应用(如电子邮件、日程、浏览器)迁移到大量的所谓生产率应用(productivity
app),而其潜在的固有漏洞给企业的敏感数据带来更大的攻击面。敏感信息正日益面临被暴露的风险,这是因为“雇员日益成为拥有其自己的IT部门”的员工,将不安全的应用下载并在其设备上运行。调查发现,许多企业都存在某种形式的BYOA(自带应用),还有许多雇员在已经存在一个可用的应用时,还要下载其自己的应用。
从本质上说,企业都要求对所有移动应用进行更精细的控制,但EMM无法提供此功能。即使对于从苹果和谷歌下载的app来说,问题也是如此。攻击者还能够将恶意软件伪装成一个新闻网站app,以此吸引目标。所以,公司需要的不仅仅是EMM,更应找到一个对所有移动客户交付安全产品的方法,当然,这种产品应当与设备类型无关。
移动app漏洞的出现
黑客们都知道移动应用固有的不安全性,因而他们就有机会发动更高级的攻击。攻击者们喜欢一直连网却缺乏监视、检测的目标,这就使得移动设备和应用成为攻击的好途径。只要我们看看研究人员和黑客们已经发现和正在发现的重大漏洞,就会感到问题的严重性。
企业往往要求开发者们快速将应用推向市场,开发者就不断地更新,或在开发移动应用期间,利用一些外包的或外部的框架。这确实可以提高开发速度,但也意味着开发者可能在不知不觉中就引入了一些安全风险,尤其是在使用第三方的组件时,问题就更为严重。例如,如果被广泛用于Web的可信加密库OpenSSL存在漏洞,还有哪个更新的“移动编程库(MPL)”能够担当重任?
移动设备和应用在企业中的演变步伐将极大地改变企业考虑安全的方式。企业需要在一个自己越来越不容易控制的由设备、app、用户所构成的环境中建立信任和安全。在此过程中,要有效地控制风险就要真正地理解人在移动设备上的工作方式及其与移动设备和应用的交互方式。攻击者总是跟踪那些
广泛使用的并且有安全缺陷的移动应用,这意味着下一种威胁公司数据和用户私密的就是移动设备和应用。
对移动设备和应用实施零信任模式并在app层上实施适当的安全控制既能提升效率又可以促进安全。但是最根本的问题是,这种模式不再是关于设备的,而应是关于app的。
作者:赵长林
来源:51CTO