黑客或攻擊者總能找到一些可以利用的媒介或要素。例如,員工越來越多地在工作場合使用移動裝置,各種應用商店提供了五花八門的移動應用。由于這些應用的源頭不一,品質參差不齊,是以普通使用者很難判斷哪些是最新的,更難以判斷其是否有惡意目的。黑客深谙此道,因而可以設計一些看似善意的功能強大的應用,其中卻可能包含病毒、木馬或損害裝置和公司網絡的其它惡意軟體,員工不知不覺成為“引狼入室”的罪魁禍首。
但這些專門設計的應用程式并非是将企業置于風險中的唯一罪犯。還有許多可能洩密的應用程式,在使用者自認為安全地輸入個人資訊後,殊不知還有“他人”可以通路此資訊。通常一些移動版的遊戲都與廣告商共享資訊,但最近的一些報告卻表明,事情遠沒有如此簡單。為避免這些有可能洩露機密的應用程式和以應用程式為中心的其它威脅,公司應當依靠政策、技術、教育等綜合手段,不但保護雇員,更要從整體上保護企業。
洩密的應用程式及其危險性
總體上說,有兩類典型的可能洩密的應用程式。第一類應用程式是真正洩露資訊,即将資訊傳送到環境之外。而在另一類程式中,第三方實體會竊取使用者的登入憑據(無論這些資訊是否存在于裝置自身)。這灰應用程式往往來自一些不可信的源,而非官方的應用商店(如google play)。
如果使用者禁不住誘惑從一個不可信的第三方下載下傳了可能看似或冒充合法的應用,如一個牆紙應用。所有這些移動應用都有與之相關的通路權限清單。如果使用者認真思考一下,就能得到一個理智的答案:牆紙應用不應當通路使用者的登入憑據、電子郵件資訊或聯系人資訊。
如今,最常見的安全方法是雙重認證,其中有使用者名和密碼,還有另一種形式的驗證,如發送到手機的一個數字。最近出現了一種趨勢,黑客在使用者的智能手機或桌面上安裝一個特洛伊木馬,進而可以輕松擷取使用者的賬戶和資産資訊。
如何避免問題和減輕風險?
不管是應對直接洩露資訊的應用還是将使用者的登入憑據置于風險中的應用,避免這種風險的首要一步就是僅從可信的官方應用商店下載下傳和安裝應用,或者是公司允許的應用商店。對于那些将裝置派發給雇員的企業來說,這還是較容易做到的,因為企業對于維持這些裝置的标準配置本身擁有更多控制。但是如果員工使用的裝置是自帶裝置(byod),問題就麻煩一些。但首要的一步仍是向終端使用者清楚地闡明允許在這些裝置上運作哪些應用,對于可能違反政策的情況還要制定相應的懲治措施。
下一步就是要為移動裝置實施某種軟體信譽服務,如appthority。這類服務與移動裝置管理(mdm)和移動應用管理(mam)平台內建在一起,是以管理者可以獲得運作在終端使用者移動裝置上的全部應用的清單,然後據此審查移動裝置上的軟體信譽。管理者實際上就是根據可信的經許可的基于雲的應用清單,決定在雇員的移動裝置上運作哪些應用,以此確定任何應用都不是未經授權的或可能惡意的軟體。
移動裝置是一個問題,但如果雇員不謹慎,也很容易将惡意軟體下載下傳到桌面上。對于這種情況,安全專家往往建議企業采用白名單的方法。提供白名單工具的安全套件和方案實際上可以使管理者僅允許下載下傳和安裝此清單上的應用。由此,管理者不再是允許下載下傳任何軟體後再運作掃描工具,以檢查其是否惡意,而是僅允許安裝和執行可信的善意應用。這是一種有效的方法。
除了使用白名單方案,還有一些産品或公司可以為桌面或其它平台的軟體提供安全檢查。有些公司或産品可以驗證一款軟體是否用良好的安全方法進行編寫,是否将健全的安全方法融合到軟體的開發過程中。從開發過程的初始就確定軟體注重安全為軟體提供了另外一層保護。
改進内部開發過程
審查軟體的觀念和重視安全的開發方法也可以擴充到公司内部的應用和軟體開發過程中。多數公司都處于經常或不斷地推出新應用,不斷地以很快的速度開發、整合、傳遞軟體。如今,雲傳遞模式越來越普遍,企業很容易不進行正确檢查就釋出軟體。在這種匆忙的軟體開發過程中,極有可能現出人為錯誤,并且極有可能在代碼中出現安全漏洞。
關鍵是在傳遞軟體之前發現這些漏洞,并且防止不必要的風險,而這些正是軟體審查公司的職責所在。公司們需要做的就是将其軟體送出給一個基于雲的應用安全測試平台,并且在将軟體傳遞生産之前獲知軟體的安全性,以確定軟體不會包含可能被利用的任何漏洞。但是,除了在整個開發過程中確定使安全性享有進階優先權,企業還要重視良好的政策、過程和方法。
作者:趙長林
來源:51cto