兩位Gartner公司分析師本周對企業(yè)安全管理人員發(fā)出警告:在他們不知情的情況下,智能手機(jī)用戶可能已. . .
兩位Gartner公司分析師本周對企業(yè)安全管理人員發(fā)出警告:在他們不知情的情況下,智能手機(jī)用戶可能已經(jīng)變成危險(xiǎn)的黑客,讓企業(yè)安全受到威脅。
在本周舉行的Gartner 2012安全與風(fēng)險(xiǎn)管理峰會上,分析師John Girard和Lawrence Pingree在移動設(shè)備安全的演講中說:“如果用一句話來形容目前的企業(yè)BYOD安全政策狀態(tài)的話,那應(yīng)該是:越獄設(shè)備對企業(yè)安全構(gòu)成重大威脅,應(yīng)該禁止在企業(yè)網(wǎng)絡(luò)中使用越獄設(shè)備。”
“越獄”一詞是指用戶繞過移動設(shè)備制造商和運(yùn)營商在iOS和Android智能手機(jī)以及平板電腦中建立的軟件限制。通過越獄或者生根,用戶可以獲取管理員級別的權(quán)限,并使用越獄后的設(shè)備來運(yùn)行未經(jīng)授權(quán)的應(yīng)用程序,以及執(zhí)行不被認(rèn)可的功能,例如Wi-Fi路由。
這兩名分析師表示,雖然只有一小部分移動設(shè)備用戶對其設(shè)備進(jìn)行了越獄,但這些用戶通常都會將他們的越獄設(shè)備帶到企業(yè)環(huán)境。攻擊者可以通過流氓移動應(yīng)用程序,利用這些移動設(shè)備作為支點(diǎn)來繞過防火墻和其他防御措施,最終進(jìn)入企業(yè)網(wǎng)絡(luò)。
這兩名分析師著重強(qiáng)調(diào)iOS和Android平臺,是因?yàn)檫@兩個(gè)平臺非常普及,它們是最常越獄的平臺,黑莓公司的平臺基本上不可能越獄,而Windows Mobile設(shè)備只占一小部分市場份額。
Girard表示,就整體而言,從企業(yè)的角度來看,蘋果公司的平臺非常好,因?yàn)樗惶峁┮粋€(gè)單一的操作系統(tǒng),只能通過一個(gè)來源下載應(yīng)用程序,并可以抵御可預(yù)見的漏洞。
Girard表示,“企業(yè)知道有越獄設(shè)備,企業(yè)應(yīng)該圍繞這些設(shè)備建立服務(wù)臺流程和政策。”蘋果移動設(shè)備的用戶一般不太想越獄,因?yàn)樗麄兿M軌蛏壍阶钚率跈?quán)OS版本,以使用新功能。
然而,Android則是另一回事了。因?yàn)锳ndroid本質(zhì)上是一個(gè)開源操作系統(tǒng),任何廠商都可以利用其基本代碼,根據(jù)自己的需要進(jìn)行修改。“谷歌的操作系統(tǒng)并不要求設(shè)備上具有加密或者綜合管理功能,這無疑是一個(gè)問題,”Girard表示,“當(dāng)涉及設(shè)備安全時(shí),異構(gòu)性能夠加強(qiáng)安全性,但問題是Android的大多數(shù)漏洞利用都是向前和向后兼容所有版本的。”
Pingree表示,對于越獄,或者更確切的說---生根,Android操作系統(tǒng)嚴(yán)重危及平臺安全。事實(shí)上,攻擊者只要在設(shè)備上運(yùn)行root就已經(jīng)能夠訪問設(shè)備上的所有信息了。“如果我們想要確保安全性,我們必須不惜一切代價(jià)來阻止越獄設(shè)備。”
這兩名分析師強(qiáng)烈主張將“禁止越獄或者生根”的規(guī)定納入企業(yè)的BYOD政策中。他們還建議采用更廣泛的技術(shù)防御,例如使用受公司管理的移動設(shè)備管理(MDM)產(chǎn)品,以及如果在移動設(shè)備訪問企業(yè)資源,在任何情況下它們都必須使用證書。同時(shí),他們表示,還有一些簡單而有效的方法,例如授權(quán)設(shè)備訪問密碼。
“任何有特權(quán)升級的設(shè)備都是攻擊者的信息聚寶盆,”Girard表示,但對于受密碼保護(hù)的越獄設(shè)備,攻擊者將需要先破解密碼然后獲取證書才能得到有價(jià)值的數(shù)據(jù)。所以一個(gè)基本密碼已經(jīng)足以讓攻擊者打消念頭。”
摘自:硅谷動力