" />
日媒感慨中國電動(dòng)汽車/智駕遙遙領(lǐng)先:本田、日產(chǎn)、三菱合并也沒戲消委會(huì)吹風(fēng)機(jī)品質(zhì)檢測結(jié)果揭曉 徠芬獨(dú)占鰲頭 共話新質(zhì)營銷力,2024梅花數(shù)據(jù)峰會(huì)圓滿落幕索尼影像專業(yè)服務(wù) PRO Support 升級,成為會(huì)員至少需注冊 2 臺(tái) α 全畫幅相機(jī)、3 支 G 大師鏡頭消息稱vivo加碼電池軍備競賽:6500mAh 旗艦機(jī)+7500mAh中端機(jī)寶馬M8雙門轎跑車明年年初將停產(chǎn),后續(xù)無2026款車型比亞迪:2025 款漢家族車型城市領(lǐng)航智駕功能開啟內(nèi)測雷神預(yù)告2025年首次出席CES 將發(fā)布三款不同技術(shù)原理智能眼鏡realme真我全球首發(fā)聯(lián)發(fā)科天璣 8400 耐玩戰(zhàn)神共創(chuàng)計(jì)劃iQOO Z9 Turbo長續(xù)航版手機(jī)被曝電池加大到6400mAh,搭驍龍 8s Gen 3處理器普及放緩 銷量大跌:曝保時(shí)捷將重新評估電動(dòng)汽車計(jì)劃來京東參與榮耀Magic7 RSR 保時(shí)捷設(shè)計(jì)預(yù)售 享365天只換不修國補(bǔ)期間電視迎來換機(jī)潮,最暢銷MiniLED品牌花落誰家?美團(tuán)旗下微信社群團(tuán)購業(yè)務(wù)“團(tuán)買買”宣布年底停運(yùn)消息稱微軟正與第三方廠商洽談,試圖合作推出Xbox游戲掌機(jī)設(shè)備在海外,要再造一個(gè)京東物流?消息稱蘋果正為AirPods開發(fā)多項(xiàng)健康功能,包括心率監(jiān)測和溫度感應(yīng)一加 Ace 5系列將搭載全新游戲助手:大幅提升游戲體驗(yàn)東芝全部業(yè)務(wù)實(shí)現(xiàn)盈利,退市裁員重組后終于賺錢真我14 Pro+開始提上日程:1.5K等深四微曲屏+潛望長焦穩(wěn)了
  • 首頁 > 網(wǎng)絡(luò)安全頻道 > 云安全

    零信任如何提高移動(dòng)設(shè)備的安全性

    2022年09月20日 15:44:44   來源:千家網(wǎng)

      零信任如何提高移動(dòng)設(shè)備的安全性?

      員工的隱私、個(gè)人身份和特權(quán)訪問憑證都面臨風(fēng)險(xiǎn),因?yàn)槠髽I(yè)正在犧牲安全來完成更多的工作。盡管85%的企業(yè)有專門的移動(dòng)安全預(yù)算,但超過一半(52%)的企業(yè)犧牲了移動(dòng)和物聯(lián)網(wǎng)設(shè)備的安全性,以“完成工作”。

      移動(dòng)設(shè)備攻擊正變得越來越嚴(yán)重

    1.jpg

      Verizon的研究團(tuán)隊(duì)聲稱,自從多年前開始制定安全指數(shù)以來,移動(dòng)設(shè)備攻擊的嚴(yán)重程度從未出現(xiàn)過。報(bào)告移動(dòng)安全攻擊具有持久影響的企業(yè)從去年的28%上升到今年的42%,在12個(gè)月內(nèi)增長了33%。盡管去年有近四分之一的企業(yè)遭遇了移動(dòng)安全漏洞,但大多數(shù)企業(yè)(74%)表示影響重大。

      犧牲安全性換取生產(chǎn)力

      Zimperium的首席執(zhí)行官ShridharMittal在該公司的《2022年全球移動(dòng)威脅報(bào)告》中表示:“特別是在過去兩年里,許多組織犧牲了安全控制來支持生產(chǎn)力和確保業(yè)務(wù)連續(xù)性。”因此,Verizon的安全專家團(tuán)隊(duì)表示:“當(dāng)聽到超過一半的受訪者表示其犧牲了移動(dòng)設(shè)備的安全時(shí),并不感到驚訝。”

      Verizon在全球范圍內(nèi)采訪了632名安全專業(yè)人士,其中66%的受訪者表示,他們曾面臨犧牲移動(dòng)設(shè)備安全性“以完成工作”的壓力,但79%的人最終還是屈服于這種壓力。這相當(dāng)于超過一半(52%)的安全專業(yè)人士選擇犧牲安全性來換取速度。

      在安全與速度和生產(chǎn)力之間進(jìn)行權(quán)衡,突顯了為什么網(wǎng)絡(luò)安全預(yù)算是一項(xiàng)影響企業(yè)運(yùn)營各個(gè)領(lǐng)域以及員工身份的商業(yè)決策。

    2.jpg

      “對于企業(yè)來說——無論行業(yè)、規(guī);虻貓D上的位置如何——停機(jī)時(shí)間就是金錢的損失。數(shù)據(jù)泄露意味著信任的喪失,雖然不是不可能,但很難從中恢復(fù)過來,”VerizonBusiness首席執(zhí)行官SampathSowmyanarayan表示:“因此,企業(yè)需要在其安全架構(gòu)上投入時(shí)間和預(yù)算,尤其是在外部設(shè)備上。否則,將很容易受到網(wǎng)絡(luò)威脅者的攻擊。”

      常見的移動(dòng)設(shè)備攻擊模式

      對網(wǎng)絡(luò)攻擊者來說,侵入員工的移動(dòng)設(shè)備(同時(shí)也用于訪問公司網(wǎng)絡(luò))是一座金礦。此外,網(wǎng)絡(luò)攻擊者還利用身份盜竊、竊取信用卡和銀行數(shù)據(jù),以及企業(yè)網(wǎng)絡(luò)的特權(quán)訪問憑證來創(chuàng)建欺詐性的信用卡、住房貸款和小企業(yè)貸款申請。

      美國小企業(yè)管理局(SBA)的大流行貸款是網(wǎng)絡(luò)攻擊者從手機(jī)中竊取身份數(shù)據(jù)的一個(gè)重要場所。美國特勤局已經(jīng)找回了網(wǎng)絡(luò)攻擊者使用被盜身份獲取的2.86億美元資金。自此開始,SBA就人們可以采取哪些措施來保護(hù)自己免受詐騙和欺詐提供了指導(dǎo)。

      ❶ 網(wǎng)絡(luò)攻擊者的目標(biāo)是員工的私人數(shù)據(jù)、身份和特權(quán)訪問憑證

      移動(dòng)網(wǎng)絡(luò)攻擊是致命的,因?yàn)槠涔舻氖且粋(gè)人的身份、隱私和職業(yè)生活的交匯處。因此,持續(xù)的員工網(wǎng)絡(luò)安全培訓(xùn)至今是至關(guān)重要的。此外,網(wǎng)絡(luò)攻擊者使用許多策略來訪問手機(jī)最有價(jià)值的數(shù)據(jù),例如:

      ❷ 針對Android和iOS應(yīng)用程序的供應(yīng)鏈攻擊

      Proofpoint的研究人員發(fā)現(xiàn),今年早些時(shí)候,歐洲的惡意軟件傳遞嘗試增加了500%。網(wǎng)絡(luò)攻擊者和犯罪團(tuán)伙合作將移動(dòng)惡意軟件插入應(yīng)用程序中,因此每天有成千上萬的用戶下載它們。此外,為企業(yè)工作的數(shù)萬名員工的手機(jī)上可能有惡意軟件,這有可能危及企業(yè)網(wǎng)絡(luò)。

      在這兩個(gè)平臺(tái)中,Android更受這種攻擊策略的歡迎,因?yàn)樵撈脚_(tái)支持許多應(yīng)用商店,且其足夠開放,允許從Web上的任何網(wǎng)站加載應(yīng)用程序。不幸的是,這種便利變成了網(wǎng)絡(luò)攻擊的快車道,只需幾個(gè)步驟就能破壞Android手機(jī)。對于企業(yè)及其高級管理團(tuán)隊(duì)而言,這是需要監(jiān)控和評估手機(jī)的領(lǐng)域。

      相反,Apple不允許側(cè)加載應(yīng)用程序,并且有更嚴(yán)格的質(zhì)量控制。然而,iPhone仍然會(huì)遭到黑客攻擊。對于企業(yè)來說,網(wǎng)絡(luò)攻擊者可以在短短1小時(shí)24分鐘內(nèi)進(jìn)入網(wǎng)絡(luò)并開始橫向移動(dòng)。Amazon的RingAndroid應(yīng)用程序、Slack的Android應(yīng)用程序、Klarna和其他應(yīng)用程序可能出現(xiàn)的數(shù)據(jù)泄露就是一個(gè)很好的例子。

      ❸ 含有安裝惡意軟件鏈接的短信

      這是網(wǎng)絡(luò)攻擊者將惡意軟件植入移動(dòng)設(shè)備的另一種常見策略。多年來,其一直被用于針對大型企業(yè)的高級管理團(tuán)隊(duì),希望獲得企業(yè)網(wǎng)絡(luò)的特權(quán)證書。網(wǎng)絡(luò)攻擊者在暗網(wǎng)上挖掘高級管理人員的手機(jī)號碼,并經(jīng)常依靠這種技術(shù)在其手機(jī)上植入惡意軟件。因此,聯(lián)邦貿(mào)易委員會(huì)關(guān)于識別和報(bào)告垃圾短信的建議值得高級管理團(tuán)隊(duì)閱讀和分享,他們很可能已經(jīng)在其IM應(yīng)用程序中看到過這種攻擊策略。

      ❹ 網(wǎng)絡(luò)釣魚仍然是一個(gè)日益增長的威脅媒介

      Verizon的數(shù)據(jù)泄露調(diào)查報(bào)告(DBIR)已經(jīng)在其研究中涵蓋了網(wǎng)絡(luò)釣魚15年,其中Verizon最新的MSI發(fā)現(xiàn),“83%的企業(yè)都經(jīng)歷過成功的基于電子郵件的網(wǎng)絡(luò)釣魚攻擊,在這種攻擊中,用戶被誘騙進(jìn)行有風(fēng)險(xiǎn)的活動(dòng),如點(diǎn)擊錯(cuò)誤鏈接、下載惡意軟件、提供憑證或執(zhí)行電匯。與2020年相比,這是一個(gè)巨大的增長,當(dāng)時(shí)的數(shù)字只有46%,”根據(jù)Verizon2022年的報(bào)告。

      此外,Zimperium的《2022年全球移動(dòng)威脅報(bào)告》發(fā)現(xiàn),去年75%的釣魚網(wǎng)站以移動(dòng)設(shè)備為目標(biāo)。

      移動(dòng)安全需要以零信任重新定義自己

      將每個(gè)身份視為新的安全防線至關(guān)重要。Gartner的《2022年零信任網(wǎng)絡(luò)訪問市場指南》為安全團(tuán)隊(duì)設(shè)計(jì)零信任框架的需求提供了深刻見解。企業(yè)領(lǐng)導(dǎo)者應(yīng)該考慮如何以零信任的方式開始保護(hù)自己的移動(dòng)設(shè)備,從以下建議開始。

      ❶ 零信任和微分割將定義長期移動(dòng)安全的有效性

      移動(dòng)設(shè)備在微細(xì)分計(jì)劃中的包含程度部分,取決于企業(yè)對應(yīng)用程序映射的理解程度。使用最新的一系列工具來了解通信路徑是必不可少的。微分割是實(shí)現(xiàn)零信任最具挑戰(zhàn)性的方面之一。要想做得好,就要從小處開始,采用迭代的方法。

      ❷ 在每個(gè)公司和BYOD設(shè)備上啟用多因素身份驗(yàn)證(MFA)

      領(lǐng)先的統(tǒng)一端點(diǎn)管理(UEM)平臺(tái),包括來自VMware和Ivanti的平臺(tái),都將MFA設(shè)計(jì)到其體系結(jié)構(gòu)的核心代碼中。MFA是零信任的主要組成部分之一,對于經(jīng)常為預(yù)算而戰(zhàn)的ciso來說,這通常是一個(gè)快速的勝利。在定義MFA實(shí)施計(jì)劃時(shí),一定要在移動(dòng)設(shè)備的“你知道什么”(密碼或PIN碼)身份認(rèn)證例程中添加“你是什么”(生物特征)、“你做什么”(行為生物特征)或“你擁有什么”(令牌)因素。

      ❸ 為批準(zhǔn)的BYOD設(shè)備定義安全操作系統(tǒng)和硬件要求

      如果允許在企業(yè)網(wǎng)絡(luò)上的第三方設(shè)備中存在太多設(shè)備和操作系統(tǒng)級別的變化,企業(yè)就會(huì)陷入麻煩。在標(biāo)準(zhǔn)操作系統(tǒng)上進(jìn)行標(biāo)準(zhǔn)化是最好的,特別是在平板電腦上,許多企業(yè)發(fā)現(xiàn)Windows10可以使UEM平臺(tái)上的設(shè)備管理團(tuán)隊(duì)更加高效。

      在固件中設(shè)計(jì)了隱式信任例程的低轉(zhuǎn)速和傳統(tǒng)移動(dòng)設(shè)備是一個(gè)安全問題。它們是Meltdown和Spectre攻擊的目標(biāo)。大多數(shù)傳統(tǒng)的移動(dòng)設(shè)備都缺乏更新補(bǔ)丁,因此在最新的硬件和操作系統(tǒng)平臺(tái)上安裝整套設(shè)備對安全至關(guān)重要。

      ❹ 使用UEM管理BYOD和企業(yè)擁有的移動(dòng)設(shè)備

      采用UEM平臺(tái)對于確保每臺(tái)移動(dòng)設(shè)備的安全至關(guān)重要。先進(jìn)的UEM平臺(tái)還可以提供自動(dòng)化配置管理,并確保符合企業(yè)標(biāo)準(zhǔn),以降低違規(guī)風(fēng)險(xiǎn)。CISO正迫使UEM平臺(tái)供應(yīng)商整合其平臺(tái),并以更低的成本提供更多的價(jià)值。

      Gartner最新的統(tǒng)一端點(diǎn)管理工具的魔法象限反映了CISO對IBM、Ivanti、ManageEngine、Matrix42、Microsoft、VMware、Blackberry、Citrix等公司的產(chǎn)品戰(zhàn)略的影響。Gartner的市場分析表明,終端彈性是另一個(gè)關(guān)鍵的購買標(biāo)準(zhǔn)。

      端點(diǎn)安全領(lǐng)域的領(lǐng)導(dǎo)者包括AbsoluteSoftware的Resilience平臺(tái)、CiscoAIEndpointAnalytics、CrowdStrikeFalcon、CyCognito、Delinea、FireEyeEndpointSecurity、Venafi、ZScaler等。

      ❺ 在所有公司設(shè)備和BYOD設(shè)備上自動(dòng)化補(bǔ)丁管理

      大多數(shù)安全專業(yè)人士認(rèn)為補(bǔ)丁管理既費(fèi)時(shí)又過于復(fù)雜,而往往拖延完成。此外,53%的受訪者表示,組織和確定關(guān)鍵漏洞占用了其大部分時(shí)間。今年早些時(shí)候,在RSA2022上,Ivanti推出了一個(gè)基于AI的補(bǔ)丁智能系統(tǒng)。用于MicrosoftEndpointConfigurationMonitor(MEM)的NeuronsPatch依賴于一系列基于人工智能(AI)的機(jī)器人來尋找、識別和更新所有跨端點(diǎn)需要更新的補(bǔ)丁。其他提供基于AI的終端保護(hù)的供應(yīng)商包括Broadcom、CrowdStrike、SentinelOne、McAfee、Sophos、TrendMicro、VMwareCarbonBlack、Cybereason等。

      只需一臺(tái)移動(dòng)設(shè)備被入侵

      正如微分割的情況一樣,CISO及其團(tuán)隊(duì)需要認(rèn)識到網(wǎng)絡(luò)攻擊是不可避免的。盡管Verizon發(fā)現(xiàn)82%的安全專業(yè)人士表示,他們的組織正在采取或積極考慮零信任的安全方法,但大多數(shù)人為了更快完成更多工作而犧牲了安全性。

      隨著移動(dòng)攻擊變得越來越致命,并專注于獲取特權(quán)訪問憑據(jù)。安全領(lǐng)導(dǎo)者必須面對一個(gè)發(fā)人深省的事實(shí),即只需一臺(tái)移動(dòng)設(shè)備被入侵,基礎(chǔ)設(shè)施就會(huì)遭到破壞。

      文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹(jǐn)慎對待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。

    即時(shí)

    新聞

    明火炊具市場:三季度健康屬性貫穿全類目

    奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。

    企業(yè)IT

    重慶創(chuàng)新公積金應(yīng)用,“區(qū)塊鏈+政務(wù)服務(wù)”顯成效

    “以前都要去窗口辦,一套流程下來都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。

    3C消費(fèi)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,高能實(shí)力,創(chuàng)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實(shí)質(zhì)性的幫助,雙十一期間低至2799元,性價(jià)比很高,簡直是創(chuàng)作者們的首選。