90%以上移动设备存安全隐患,移动时代如何让数据不再“裸奔”?

云视角

2018-08-29

科技云报道原创。
随着移动互联网的快速发展,移动设备成为了日常必备品之一,无论是生活使用还是办公应用均会涉及到移动设备。通过移动设备操作形成的数据流都将在互联网中进行传输,因此,移动时代最大的安全入口主要还在于移动设备的安全。

用户与企业数据大规模被窃的背后,是互联网产业之繁盛与数据保护能力之羸弱的悬殊对比。数据保护严重不力,显然已经成为全球互联网产业的“”。当越来越多的中国互联网公司走向世界,需要依靠的不应仅仅是世界级的用户市场,更应是世界级的互联网伦理与规则。 

根据Verizon《2018数据泄漏报告调查》统计,去年关于信息安全的大小事件共发生了大约53000起,其中确定为数据泄漏的事件有2216起,平均每一天就有6起数据泄漏事件发生。而且,在Verizon过去10年的报告中,数据泄漏事件也是频繁发生,发展至今天已经成为了常态。 

 90%的移动设备深受漏洞危害   劫持窃取成数据泄露高频场景

更为要紧的是,黑客攻击技术与移动安全技术在同步提升。近日,Reddit宣布,6 月份的一个信息安全漏洞导致攻击者入侵了该公司内部系统的某些部分。

值得注意的是,这次攻击绕开了Reddit通过短信实现的双因子认证(Two-Factor Authentication)系统,这也给仍在使用短信来部署双因子认证的互联网服务敲响了警钟。 

其实,全球普遍采用的双因子认证系统非常脆弱,黑客先使用伪基站获取用户手机号,再通过网上泄露的数据库,根据手机号码反查用户的姓名、身份证号、银行账号等信息。然后在某些网站启动注册或交易,并利用和用户位置相近的特点窃取用户短信验证码。

通过短信验证码登录账号后,黑客可以获取用户的快递地址、消费记录、通讯录等隐私信息,还可以通过“撞库”、“拖库”等方式,就像拼图一样集齐用户的姓名、身份证、银行卡号等信息。

根据检测发现,94.1%的安卓设备受到中危级别漏洞的危害,95.4%的安卓设备存在高危漏洞,90.6%的安卓设备受到严重级别的漏洞影响。由此可见,我国移动端的安全威胁仍然不容小觑。 

目前,八成的网络欺诈场景都来自移动端。移动网络隐私的泄露主要有手机软件获取、免费Wifi窃取、旧手机设备泄露,以及黑客盗取企业大数据等渠道。这其中,手机软件是绝大多数人几乎每天都会高频使用的产品,在使用过程中,用户往往需要给软件开放各项权限。

但是,由于手机应用软件的开发者众多,以及监管平台在很多方面都难以覆盖周全,这使得手机软件良莠不齐,越界获取隐私权限的问题时有发生。

 

 攻击者只需向安卓设备发送一条简单的文本信息,就能够在用户的设备上获得Root等其他访问权限。一些最危险的漏洞还可以让用户暴露在整个系统的接管过程中,包括用户的截屏,视频记录、打电话、阅读记录和获取短信等,甚至未经用户同意的情况下强制安装第三方的任意应用程序或删除用户保存在设备上的数据。 

移动安全成企业IT关注焦点     定制化安全方案隔离潜在风险

 不仅个人数据成为公众关注焦点,移动应用数据防泄漏也成为企业关注的重点。比如金融、医疗等一些行业对信息与数据的安全性要求极高,即使是很小的疏忽或者漏洞,都会引发蝴蝶效应。

 当前,移动办公主要面临五大安全风险: 

1、内部员工是泄密企业敏感数据信息的最大“黑客”

数据报告显示,企业信息数据安全事故中有50%是因为内部员工而起,约有20%的安全事故被认为是内幕者恶意行为,比如说员工可能从泄露的数据信息中获利。员工的主要泄密途径除了拍照泄漏、存储在手机中外泄外,还有离职员工拷贝企业重要信息。 

2、移动设备成为病毒渗攻击企业数据的跳板

在移动互联网越来越深入人心的今天,攻击者已经开始将视线由PC转向了移动设备。同时,由于Root权限滥用和新的黑客攻击技术,移动设备成为滋生安全风险的新温床,容易成为黑客入侵渗透企业内网的跳板。 

3、公私数据混用,个人隐私难以得到保障

同一台移动设备上既有个人应用,又有企业应用和数据。在没有明确区分移动终端上的个人和企业数据和应用时,个人应用可以随意访问、获取企业数据,同时,企业也会触及到个人应用。禁止企业数据被个人应用非法上传、共享和外泄,同时禁止企业应用访问个人隐私数据,是企业难以避免的问题。 

4、缺乏端对端网络的可视性

实时、全面的端到端可见性,对数据、数字基础设施、网络以及流程的管理都是至关重要的。网络工程和应用团队必须实施简化的自动化流程,以实现自动化的网络映射,获得关键应用程序和网络基础设施的全面和完整的可视性。 

5、解决大数据隐私惯例的需求

目前,还不存在任何一个坚实的框架,能够实现大数据隐私的最佳实践。相反地,企业必须采取积极主动的战略措施,来进一步改进和强化不合适的数据安全和隐私行为。对于企业而言,只是实施标准的一般安全措施已经远远不够了,还需要存在合约关系的云服务提供商、网络工程和应用程序团队的共同努力和担当。 

如今,已有不少像爱加密、梆梆安全、通付盾等移动安全公司针对企业安全特性,提供定制化移动安全解决方案。比如爱加密,具有强大的机器学习智能防护能力,主动从输入数据中找到潜在的风险类别规则并建立关系模型。以内容检测举例,移动安全大数据平台通过计算机视觉技术与半人工审核的运用,实现了对于移动应用内容的有效监管。

爱加密会收集企业App在移动互联网上面临的可能潜在风险,包括有没有被逆向、有没有被破解、有没有被盗版等。然后把这些风险的数据,收回到企业内部,在企业内部借助我们整个的移动安全大数据平台,进行分析和监控,提出自动化的主动关联防护。

随着新的数字破坏者不断涌现,找到适合的移动安全服务商,可以帮助移动企业有针对性、有准备地应对不可预测的未来。通过不断进化企业安全防护体系,企业可以更从容地面对不可预知的变化趋势与潜在风险,并最终实现业务增长的目标。

【科技云报道原创】

微信公众账号:科技云报道

推荐文章