移动恶意软件一直增长并威胁着企业。根据谷歌Android安全情态联盟的说法，约1%的Android设备有可能在2014年安装了受感染的应用。而且，又出现了新的、不断增长的Android恶意软件类别：商业间谍软件。

通常，苹果iOS还是很少遭恶意软件感染的。不过在九月和十月，两个明显的恶意软件突然爆发——XcodeGhost和YiSpecter，存在于iTunes应用商店的应用中。企业如何与这些移动恶意软件隔绝开来呢？

为电脑安装反恶意软件应用被认为是保护PC安全的有效措施，不过对于移动设备来说这可行不通。反恶意软件应用受移动操作系统应用沙箱的排斥，使应用相互孤立，在苹果iOS设备上尤为如此。尽管Android已经开始支持起反恶意软件应用，它们大多建立在以特征为基础上的检测，在零日漏洞攻击应对方面并不是那么有效。企业安全团队需要寻找新的方法来阻截移动恶意软件。

止损措施：黑名单策略

采用黑名单是阻截恶意软件的一个方法，这依赖IT管理策略来防止设备上安装不必要的应用。黑名单通常都可以用在移动设备上，进行企业移动管理。

然而，黑名单的障碍是维护和个人隐私。解决前者，企业可以将黑名单作为止损措施，有选择地创建来识别、隔离以及纠正特定的恶意软件。这种方法可通过移动应用信誉分析来进行强化。不过这并不适用于BYOD环境，因为企业雇主不愿意对用户自行安装的应用也做盘查。

对于带有EMM的移动设备来说，强制执行的基础策略能够明显减少移动恶意软件带来的风险。在Android上，可以避免其他装载，即安装非谷歌或公司本身的应用。对于iOS和Android用户设备，可以安装EMM代理对越狱和刷机进行检测并响应。虽然不是所有的恶意软件都包括越狱、刷机或其他装载，不过绝大多数移动恶意软件都是通过这些途径进行潜伏的。一些企业可能需要越狱，刷机或装载其他应用，不过这也只是小众需求。

per-app VPN可减少恶意软件出场机会

最近出现了一种新的阻截移动恶意软件的方法：per-app VPN，iOS 9和Android 5移动设备上都可实现。

Per-app VPN在iOS 7中首次亮相，不过彼时只限于应用层的VPN客户端支持这一功能。在iOS 9中，它集成至本地iOS VPN客户端并应用至IPsec VPN通道中。此外，可以配置应用通过Kerberos进行身份验证，并且可以自动启动本机VPN客户端验证。这使得per-app VPN能够更多地用于企业，是从网络层通道到企业网络阻截恶意软件的有效方式。

传统VPN下，移动设备上的所有流量会流至企业网络，这为企业网防护带来隐患，通过移动网络防御进入的木马很可能获得访问权限。而IP/端口层面的策略能够应用到传统通道中去，对于减少风险来说这些方法还是比较粗糙的，特别是越来越多低效的应用流量穿越SSL/TLS而来。

per-app VPN可以穿件一个范式，仅有企业安装的应用能够自动应用。采用这种方法，受信任的企业应用进入白名单，可安全地访问企业网络，而其他安装在移动设备上的应用（包括恶意软件）没有访问VPN的权限。

最后，企业应该综合上诉策略来管理手机恶意软件的风险问题。毕竟，在越狱设备上黑名单或是per-app VPN无法被信任。然而，可以组合使用措施来为每个移动设备创建一个更强健的安全状况，有效地检测并阻截移动恶意软件。