谈企业移动安全 你不能避开谈移动APP

如今,企业移动管理(EMM)在移动环境中已经有了自己的地位,但是,在涉及移动安全时,EMM仅仅是一个起点。

不管用户是谁,移动安全技术都应提供安全和信任,并且支持应用级的监视和控制,防止当前移动环境中的漏洞,而这些功能都是EMM无法独立实施的。为什么呢?

企业移动管理(EMM)的核心是移动设备管理(MDM)。由于移动设备大量地进入工作场所,IT不得不利用这种机制来跟上其步伐。虽然企业中EMM方案有了广泛应用,但是EMM主要是作为一种严重依赖管理设备和用户的管理平台。当今的移动世界要求企业必须重视BYOD、APP和日益增加的安全挑战。如果企业无法深入地监视操作系统中正在发生什么,也就不能完全相信设备。

随着移动设备和应用的快速发展,围绕着BYOD和移动应用的诸多势力开始粉墨登场,并将重新塑造我们对移动和移动安全需求的认识。移动应用的不断增长,正在进一步强化企业对真正移动安全方案的需求,但EMM无法满足新形势下的安全需求。

BYOD不仅针对雇员

大约十年前,移动性意味着企业购买并根据需要给雇员派发一块黑莓手机。而如今,在企业中,BYOD和app呈激增态势。BYOD不仅涉及雇员,越来越多的合伙人和客户开始通过设备上的移动应用与企业交互。这意味着,企业无法控制这些设备,对移动安全来说,传统的IT和MDM方法已经过时。

移动应用的发展已经不可逆转,所以,企业不仅需要保障设备的安全,而且,不管是什么设备类型,在不影响用户体验的情况下保障应用的安全。为此,企业必须采用一种已经被证明的而非假想的模式。企业对移动设备和应用必须采用零信任的模式,将安全性整合到要部署的任何应用中。

任何人都可能成为app的开发者

随着企业日益重视移动设备和应用,企业的CIO在满足终端用户的需求时面临着不少压力,这是因为他们既要向业务人员和合作伙伴提供安全的应用,又要向直接使用app的客户快速提供应用。结果,可使应用程序的开发更容易的大量的移动应用开发平台和移动应用开发工具纷至沓来,无论是技术人员还是非技术人员都可以创建移动app。但移动app开发者的安全知识却不能保持同步和一致。

构建移动app的安全知识发生的这种变化,再加上企业要求快速将应用推向市场的迫切需求,导致了app的可用性战胜了安全性,造成了大量不安全的应用。

为解决这个问题,我们必须利用工作在app层的安全方案,并且在所有移动app中提供一种一致的安全框架。这种方案不仅要保护app,还要确保不健全的app不会成为攻击者的前门。只有这样,企业的CISO和CIO才可能对移动应用的完整性有信心。

app激增

企业正快速地将大量的业务应用(如电子邮件、日程、浏览器)迁移到大量的所谓生产率应用(productivity
app),而其潜在的固有漏洞给企业的敏感数据带来更大的攻击面。敏感信息正日益面临被暴露的风险,这是因为“雇员日益成为拥有其自己的IT部门”的员工,将不安全的应用下载并在其设备上运行。调查发现,许多企业都存在某种形式的BYOA(自带应用),还有许多雇员在已经存在一个可用的应用时,还要下载其自己的应用。

从本质上说,企业都要求对所有移动应用进行更精细的控制,但EMM无法提供此功能。即使对于从苹果和谷歌下载的app来说,问题也是如此。攻击者还能够将恶意软件伪装成一个新闻网站app,以此吸引目标。所以,公司需要的不仅仅是EMM,更应找到一个对所有移动客户交付安全产品的方法,当然,这种产品应当与设备类型无关。

移动app漏洞的出现

黑客们都知道移动应用固有的不安全性,因而他们就有机会发动更高级的攻击。攻击者们喜欢一直连网却缺乏监视、检测的目标,这就使得移动设备和应用成为攻击的好途径。只要我们看看研究人员和黑客们已经发现和正在发现的重大漏洞,就会感到问题的严重性。

企业往往要求开发者们快速将应用推向市场,开发者就不断地更新,或在开发移动应用期间,利用一些外包的或外部的框架。这确实可以提高开发速度,但也意味着开发者可能在不知不觉中就引入了一些安全风险,尤其是在使用第三方的组件时,问题就更为严重。例如,如果被广泛用于Web的可信加密库OpenSSL存在漏洞,还有哪个更新的“移动编程库(MPL)”能够担当重任?

移动设备和应用在企业中的演变步伐将极大地改变企业考虑安全的方式。企业需要在一个自己越来越不容易控制的由设备、app、用户所构成的环境中建立信任和安全。在此过程中,要有效地控制风险就要真正地理解人在移动设备上的工作方式及其与移动设备和应用的交互方式。攻击者总是跟踪那些
广泛使用的并且有安全缺陷的移动应用,这意味着下一种威胁公司数据和用户私密的就是移动设备和应用。

对移动设备和应用实施零信任模式并在app层上实施适当的安全控制既能提升效率又可以促进安全。但是最根本的问题是,这种模式不再是关于设备的,而应是关于app的。

作者:赵长林

来源:51CTO

时间: 2024-09-20 14:27:53

谈企业移动安全 你不能避开谈移动APP的相关文章

从SEO面试题浅谈企业对于SEOer的四方面扩展需求

  随着毕业潮的到来,大批的大学生开始走出象牙塔,来到社会.初到社会,每一个人所要面对的第一关就是面试这一关.而纵观近年来企业对于seoer的招聘,可以说招聘门槛比过去高了很多.通过笔者近期对于seoer招聘的分析,笔者发现目前众多的企业在招聘seoer的时候,不在只是局限于你会什么,而是扩展到一些基本的能力之外.那么笔者将在下文中借助四个我们在企业seoer面试中容易遇到的问题来浅谈企业对于seoer的几方面扩展要求. 一:你能为企业带来什么?--seoer需要具有创新意识 一个企业发展到一定

适合就好 深信服殷浩谈企业DLP选型经

本文讲的是适合就好 深信服殷浩谈企业DLP选型经,从互联网诞生的那天起,安全问题就一直困扰着人们,随着世界上第一个网络病毒"莫里斯蠕虫"的出现,网络安全就伴随着互联网发展一步步走到了今天.而如今,更是走到了以数据安全为核心的时代,完整的数据泄漏防护解决方案开始替代传统的防火墙.杀毒软件成为企业安全防护的重点. 很多企业都无法避免数据泄密所带来的厄运,然而想要防止数据泄密,企业除了加强制度管理以外,搞清楚所面临的泄密主要原因才是根本.我们采访了深信服产品行销部技术总监殷浩,他和我们分析了

浅谈企业为什么要高价购买域名

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 自去年以来,域名交易市场频频出现电商企业高价收购域名的案例,比较有名的案例非去年的淘宝收购Tmall.com.新浪收购Weibo.com和今年京东收购JD.com.易迅收购yixun.com莫属.当然,这些企业都是互联网大企业,对他们来说,这些都是九牛一毛的小钱.但对于期待着"一米发"的域名投资者来说,这些基本上都是&qu

浅谈企业站有效提高网站IP的常用方法

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 很多企业老板都说网站的IP太少,催着SEO人员要流量,更把网站的IP做为考核SEO人员工作的唯一标准,这可难倒了很多的SEO人员,众所周知,企业站由于行业的特殊性,网站流量一向都比较少,想要每天成千上万的IP简直是不太现实的,不过无论怎么样,做为SEO人员来说都要尽自己最大的努力提高网站的流量,想要网站流量增加,那么挖掘长尾关键词绝对是行之有

小公司谈企业文化很奢侈吗

一说企业文化,势必马上想到大公司.不信你到网上查查关键字"企业文化",跳出来的都是些巨无霸,什么IBM.GE.麦当劳.索尼.松下.海尔.联想⋯⋯好像没有大批大批的员工.大把大把的钱,哪来什么企业文化? 创业小公司里要钱没钱.要人没人,每天关心的就是生存.销售.竞争,或者是省钱.加班.走人⋯⋯哪里奢谈得起什么企业文化?也有人把激励机制--股票.期权看作是小公司的文化⋯⋯说实话,股票和期权是画的大饼,真能看重其价值的人是少数,多数人只当它一页白纸. 那么,创业公司中无所不在.给人以无穷意志

别把体验不当回事(下) :当你在谈产品体验时,我在谈生态

我们怎样推动产品体验? 体验是一件很难的事情,大公司里,它的难点不在于我们找不出改进体验的方向和方法,而难点往往在于如何让体验这件事情能够在跨BU跨团队的合作中做好. 作为一个庞大的公司,拥有为数众多的团队和产品,一个产品的高度和好坏早已不是一个英明的领导可以一手提起的了:当领导们意识到,各产品PD的智慧和高度已成为了制约产品向上发展的瓶颈时,如何为产品或者产品PD赋能,从信息.建议.决策等多个层面为他们提供帮助,让他们感受到来自公司的"中台力量"支撑呢?我们应该怎么样系统性的,全面的

A5营销:浅谈企业站长胡乱优化网站所造成的降权或K站的原因

如今,中小型企业网站被降权已经见怪不怪的现象了,几乎每天都可以看到一些企业网站被百度惩罚,当面对这些时会有很多企业站长在埋怨百度,为什么我所优化的企业网站是按照正规手段优化的,却还要把我的企业网站给降权.当然,越是有这样的现象发生越是有人埋怨百度,可以说这是一个很正常的现象.现象大家也应该知道,目前中小型企业都在通过企业网站在互联网上传递信息.产品.服务等,因为企业知道网站可以在互联网上与更多的潜在客户联系,所以企业也把网站看的非常重要.可是很多企业的站长胡乱优化网站,导致网站被降权被K站,这是

浅谈企业网站结构化的误区

凝凝飞儿记得在实习的时候,刚开始接手的网站是自己公司的站,也就是维护一下而已,但是发现公司网站标题实在是感觉到鸭梨很大,看到了太多的影响用户体验的操作,可能有时候企业网站就只能针对一下求职者去上面查看信息,但是一份好的企业网站对于网络推广也是具有最强大的影响力的.那么,自己就浅谈下有哪些地方时需要注意的. 一,企业网站标题 关于企业网站标题,还是有很多网站的标题直接就是公司名称,相信这些企业名称才能真真正正代表着自己企业网站的形象,相信每一个seoer和老板提这个的时候,都很有压力,但是标题是公

SEO诊断:浅谈企业网站被降权的主要原因

百度每周都会有一次大更新,对于不同的站每天又会有一次小更新,权重高的网站更是时时刻刻都在更新,事实正是如此,搜索引擎每时每刻都在更新,每次更新之后有人喜有人悲,不知道你是幸运还是不幸,如若很不幸你的网站被降权了,关键词排名掉了,也不要只怨天尤人,应该学会自我检讨,从自身找原因,百度算法时常更新,自己网站有没有什么违规的地方?或是做过哪些改动之类的,这些都是有可能造成网站被降权,下面A5站长网SEO诊断团队(http://seo.admin5.com/seozhenduan/)跟大家谈下企业网站被