黑客或攻击者总能找到一些可以利用的媒介或要素。例如,员工越来越多地在工作场合使用移动设备,各种应用商店提供了五花八门的移动应用。由于这些应用的源头不一,质量参差不齐,所以普通用户很难判断哪些是最新的,更难以判断其是否有恶意目的。黑客深谙此道,因而可以设计一些看似善意的功能强大的应用,其中却可能包含病毒、木马或损害设备和公司网络的其它恶意软件,员工不知不觉成为“引狼入室”的罪魁祸首。
但这些专门设计的应用程序并非是将企业置于风险中的唯一罪犯。还有许多可能泄密的应用程序,在用户自认为安全地输入个人信息后,殊不知还有“他人”可以访问此信息。通常一些移动版的游戏都与广告商共享信息,但最近的一些报告却表明,事情远没有如此简单。为避免这些有可能泄露机密的应用程序和以应用程序为中心的其它威胁,公司应当依靠策略、技术、教育等综合手段,不但保护雇员,更要从整体上保护企业。
泄密的应用程序及其危险性
总体上说,有两类典型的可能泄密的应用程序。第一类应用程序是真正泄露信息,即将信息传送到环境之外。而在另一类程序中,第三方实体会窃取用户的登录凭据(无论这些信息是否存在于设备自身)。这灰应用程序往往来自一些不可信的源,而非官方的应用商店(如Google Play)。
如果用户禁不住诱惑从一个不可信的第三方下载了可能看似或冒充合法的应用,如一个墙纸应用。所有这些移动应用都有与之相关的访问权限清单。如果用户认真思考一下,就能得到一个理智的答案:墙纸应用不应当访问用户的登录凭据、电子邮件信息或联系人信息。
如今,最常见的安全方法是双重认证,其中有用户名和口令,还有另一种形式的验证,如发送到手机的一个数字。最近出现了一种趋势,黑客在用户的智能手机或桌面上安装一个特洛伊木马,从而可以轻松获取用户的账户和资产信息。
如何避免问题和减轻风险?
不管是应对直接泄露信息的应用还是将用户的登录凭据置于风险中的应用,避免这种风险的首要一步就是仅从可信的官方应用商店下载和安装应用,或者是公司允许的应用商店。对于那些将设备派发给雇员的企业来说,这还是较容易做到的,因为企业对于维持这些设备的标准配置本身拥有更多控制。但是如果员工使用的设备是自带设备(BYOD),问题就麻烦一些。但首要的一步仍是向终端用户清楚地阐明允许在这些设备上运行哪些应用,对于可能违反策略的情况还要制定相应的惩治措施。
下一步就是要为移动设备实施某种软件信誉服务,如Appthority。这类服务与移动设备管理(MDM)和移动应用管理(MAM)平台集成在一起,所以管理员可以获得运行在终端用户移动设备上的全部应用的清单,然后据此审查移动设备上的软件信誉。管理员实际上就是根据可信的经许可的基于云的应用清单,决定在雇员的移动设备上运行哪些应用,以此确保任何应用都不是未经授权的或可能恶意的软件。
移动设备是一个问题,但如果雇员不谨慎,也很容易将恶意软件下载到桌面上。对于这种情况,安全专家往往建议企业采用白名单的方法。提供白名单工具的安全套件和方案实际上可以使管理员仅允许下载和安装此清单上的应用。由此,管理员不再是允许下载任何软件后再运行扫描工具,以检查其是否恶意,而是仅允许安装和执行可信的善意应用。这是一种有效的方法。
除了使用白名单方案,还有一些产品或公司可以为桌面或其它平台的软件提供安全检查。有些公司或产品可以验证一款软件是否用良好的安全方法进行编写,是否将健全的安全方法融合到软件的开发过程中。从开发过程的初始就确保软件注重安全为软件提供了另外一层保护。
改进内部开发过程
审查软件的观念和重视安全的开发方法也可以扩展到公司内部的应用和软件开发过程中。多数公司都处于经常或不断地推出新应用,不断地以很快的速度开发、整合、交付软件。如今,云交付模式越来越普遍,企业很容易不进行正确检查就发布软件。在这种匆忙的软件开发过程中,极有可能现出人为错误,并且极有可能在代码中出现安全漏洞。
关键是在交付软件之前发现这些漏洞,并且防止不必要的风险,而这些正是软件审查公司的职责所在。公司们需要做的就是将其软件提交给一个基于云的应用安全测试平台,并且在将软件交付生产之前获知软件的安全性,以确保软件不会包含可能被利用的任何漏洞。但是,除了在整个开发过程中确保使安全性享有高级优先权,企业还要重视良好的策略、过程和方法。
作者:赵长林
来源:51CTO