移动安全漏洞是谁的“罪”

日期: 2008-08-17 作者:Kevin Beaver 来源:TechTarget中国 英文

大多数人都知道移动系统有商业风险。知道这种情况之后,一些网络管理员采取一切措施禁止移动计算。没有笔记本电脑、没有无线网络、没有掌上电脑、什么移动设备都没有。另一方面,许多人公开允许使用移动设备,很少采用限制措施,以至于使用移动设备变成了员工的一种“权力”。

在设法实现安全与应用性的平衡方面,这两种做法都属于极端的做法。但是,我经常看到这两种做法。无论你以哪一种方式支持移动性或者采取一种介于两种之间的做法,几乎都可以肯定安全问题仍然存在。   下面是我认为的一些重要的移动安全错误。

要小心对待这些错误,并且要在将来控制这些错误。   1.不知道什么是真正的风险   大多数员工和经理人真的没有想到会丢……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

大多数人都知道移动系统有商业风险。知道这种情况之后,一些网络管理员采取一切措施禁止移动计算。没有笔记本电脑、没有无线网络、没有掌上电脑、什么移动设备都没有。另一方面,许多人公开允许使用移动设备,很少采用限制措施,以至于使用移动设备变成了员工的一种“权力”。在设法实现安全与应用性的平衡方面,这两种做法都属于极端的做法。但是,我经常看到这两种做法。无论你以哪一种方式支持移动性或者采取一种介于两种之间的做法,几乎都可以肯定安全问题仍然存在。

  下面是我认为的一些重要的移动安全错误。要小心对待这些错误,并且要在将来控制这些错误。

  1.不知道什么是真正的风险

  大多数员工和经理人真的没有想到会丢失什么,特别是在涉及到对移动设备缺乏物理安全控制的问题时。简单地说,人们没有评估商业资产的价值,没有足够认真地对待威胁和安全漏洞问题。更糟糕的是,企业的许多人都不知道他们拥有什么信息,这些信息在什么地方或者不知道这些信息的价值。在大多数情况下,这是因为管理层没有向员工灌输有关隐私和安全的企业文化。这种情况经常导致安全疏漏以及造成企业级问题的令人遗憾的安全突破。

  2.没有足够认真地对待有关的复杂性

  很容易设想简单地解决移动安全问题。你仅仅加密无线通讯和笔记本电脑硬盘,然后就万事大吉了,对吗?实际并非如此。对于初学者来说,重要的问题是如何使用加密和什么时候加密。我多次看到和听说网络管理员采取错误的方法实施这些控制。他们的动机是迅速完成这个工作以便让用户满意。还有一个问题是没有结构的文件岛屿分散在笔记本电脑和掌上电脑的各个地方。这种文件到处都是,然后就出现了对这些敏感的数据实施的没有限制的攻击。

  由于缺少物理控制,未经授权的使用是很难预防和跟踪的。最后,我强烈认为有关政策和人的全部问题都被低估了。也就是说,需要安全政策、流程和说服用户来保证移动系统的安全。移动安全的软件方面是复杂的,不能轻松地对待这方面的问题。

  3.过分信赖人

  谈到人,IT部门和高级管理层的许多人都过分信赖员工、甚至过于相信外部的承包商和其他访问者。他们经常被授予移动设备的许多权限,如入网和出网的权限。但是,没有人真正知道他们如何使用这些权限。我们经常依靠这些用户做正确的事情,帮助限制移动安全弱点。但是,这些人不可能帮助做有关安全的事情,因为这些人在工作日期间有数百件其它要关心的事情,根本想不到安全的事情。

  4.不使用技术帮助

  有许多过分依赖政策保证信息安全的情况,特别是在管理层。这种假定是政策已经制定了,因此一切都是安全的和很好的。有许多安全控制没有约束大多数计算机、掌上电脑和无线局域网系统。从Windows Vista中启动口令到BitLocker硬盘加密,从WPA加密到微软TTTP VPN,有许多解决方案。重要的是做出使用这些技术的选择。如果你需要的控制措施不是默认的措施,还有许多解决方案能够从根本上保证你的移动系统的安全。

  5.不理解坏蛋是如何工作的

  最令我气恼的事情之一是许多移动系统(包括无线局域网)没有适当地测试安全漏洞。事实上,移动系统经常在安全评估的范围之外。我们检查防火墙、操作系统、网络应用程序和数据库,但是,容易忽略移动系统,因为已经有一些基本的控制措施。在进行的测试中,人们通常测试检查列表,没有对黑客的攻击方法进行深入测试,以便发现哪些安全措施能够被绕过,哪些漏洞能够被利用。以恶意的态度和良好的工具检查移动系统对于发现真正的问题是绝对必要的。

  移动安全问题不会消失。管理层无论是否支持移动性,移动性都会以某种形式存在。大多数移动安全漏洞都是看不到和想不到的。但是,不要被欺骗,移动安全漏洞仍然存在。

  最后,有两项选择:

  1.采取行动防止移动安全突破。

  2.在安全突破之后做出反应。

  根据我们看到的情况,前者比后者更容易和更便宜。要把移动安全当作一项最优先的事情,开始查出这些安全漏洞。最终,你将获得你需要的控制。

作者

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

相关推荐

  • 最好的移动安全计划:先检查风险 再对症下药

    Maslow的需求层次理论从最基本的需求开始(“生理”需求和“安全”),然后达到人类需求的最高层次——自我实现。其中还包括归属感,爱和尊重。

  • 移动安全培训迫在眉睫

    移动安全威胁,包括因用户使用习惯而导致的问题,如今已经无处不在。因此,让用户学会相应的防护措施,已迫在眉睫。

  • 保障企业移动安全从何做起?

    无论规模大小,移动计算的管理是任何企业都必须面对的一个课题。J. Gold Associates LLC的总裁和首席分析师Jack Gold讨论了终端安全的挑战,本文针对所有规模的企业,Gold提出一些移动安全管理的事项清单。

  • MTC报告:网络攻击者商业思维日益提升

    瞻博网络发布的第三份年度移动威胁报告显示:移动恶意软件正在快速增长和演变,成为对攻击者而言有利可图的业务,从2012年3月到2013年3月,移动恶意软件威胁呈现指数级增长,增长率为614%。