【TechTarget中国原创】挫败移动设备应用程序的威胁
互联网安全中心(CIS)已经建立了安全配置标准,它是一系列经过协商的关于移动设备(比如iPhone等移动设备以及它们所支持的多种第三方应用软件)的最佳实践安全配置标准。
在基础层面,CIS建议企业在移动应用程序安全以及用户怎样使用这些应用程序跟网络交换数据的政策方面要“实际而且谨慎”。举个例子,Apple公司让用户可以很简单的配置iPhone从而访问公司的电子邮件以及其他的后端系统,比如CRM 和 ERP等,但这样做会带来一个问题:如果没有合适的控制,那么公司的敏感数据就有可能泄漏。然而,实施CIS标准将会减少这种数据泄漏的情况。比如设置密码标准,可以对数据丢失提供强有力的保护,这个标准包括“需要的密码”、“自动锁定时间”以及“访问密码识别失败清除数据”等特点和功能。
另一种潜在的威胁载体是Wi-Fi网络或者全球定位系统(GPS)。许多设备通过这两种方式传输数据。CIS标准能解释并且指导用户如何设置移动设备,以便在不需要的时候把这些服务关闭。
然而,现实情况却是今天的无线设备可以非常方便的传送数据。举例来说,有许多第三方应用程序支持从台式机或者笔记本电脑到移动设备的文件无线传输,这导致那些想通过网络偷窃文件的人不再需要插入U盘就能获得敏感数据。
为了减少通过网络应用程序对移动设备远程攻击的危险,像iPhone这样的设备可以设置成禁止所有收发以及接受功能的模式---即所谓的“飞机模式”。当设置成这种模式之后,GPS功能就会关闭,而且所有的无线信号(Wi-Fi、蓝牙以及手机信号)都会被屏蔽。
应该鼓励用户对员工自己的设备进行设置,防止这些设备自动连接到任何可用的Wi-Fi网络。虽然这种设置可能会妨碍设备对企业应用程序的访问(如电子邮件或者浏览器),因为这两个应用程序是通过手机信号连接的,但却可以保证这些设备不会为攻击者敞开大门。
有些深入研究移动领域的企业使用第三方产品来保护移动设备的安全。最新发布的iPhone固件版本支持思科公司的VPN功能,还支持Microsoft Exchange功能。然而,IT厂家需要更多的选择,利用现存的安全设施来预防那些未经认证的、具有潜在危险的、会接触到公司网络的移动应用程序。比如,Trust Digital公司的企业移动管理(EMM)软件支持iPhone,它可以通过一个集中的管理平台进行IT管理以及保护iPhone的安全。
“虽然有3-5%的用户总是会受到攻击,但是如今IT职业人员在保护移动设备不受日益增加的第三方应用程序破坏方面比以前有了更多的选择。”Gold说。