4. 过时的设备
智能手机、平板电脑和更小的联网设备【通常被称为物联网(IoT)】——对企业安全构成了新的风险,因为与传统的工作设备不同,它们通常不能保证及时和持续的软件更新。在安卓方面尤其如此,绝大多数制造商在保持产品更新方面都令人尴尬无效,无论是操作系统(OS)更新还是每月更小的安全补丁,以及物联网设备,其中很多甚至没有设计为首先获得更新。
杜说:“他们中的许多人甚至没有内置补丁机制,而这在如今正成为越来越大的威胁。”
Ponemon表示,撇开攻击可能性增加不提,移动平台的广泛使用提高了数据泄露的总体成本,而大量与工作相关的物联网产品只会导致这一数字进一步攀升。据网络安全公司雷神介绍,物联网是一扇“敞开的大门”。该公司赞助的一项研究显示,82%的IT专业人士预测,不安全的物联网设备将在公司内部引发数据泄露——很可能是“灾难性的”。
同样,一项强有力的政策将大有裨益。有些Android设备确实能及时、可靠地接收正在进行的更新。在物联网领域变得不那么像蛮荒的西部之前,必须由一家公司围绕它们建立自己的安全网络。
5. Cryptojacking攻击
作为相关移动威胁列表的一个相对较新的补充,cryptojacking是一种攻击,有人使用设备在用户不知情的情况下挖掘加密货币。如果所有这些听起来像是很多技术性的,那请记住一点:加密过程使用你公司的设备来获取别人的收益。它严重依赖于您的技术——这意味着受影响的手机可能会遇到电池寿命不佳甚至可能因组件过热而受损。
虽然密码窃取起源于桌面,但从2017年末到2018年初,它在移动端出现了激增。Skybox的一份安全分析报告显示,2018年上半年,不受欢迎的加密货币挖掘占所有攻击的三分之一,与前半年相比,这段时间的突出程度增加了70%。根据Wandera的一份报告显示,2017年10月至11月,针对移动设备的加密攻击爆发了,受影响的移动设备数量激增了287%。
自那以后,情况有所降温,特别是在移动领域——这一举措主要得益于苹果iOS应用商店和android相关的谷歌Play商店分别在6月和7月禁止使用加密货币挖掘应用。不过,安全公司指出,通过手机网站(甚至只是手机网站上的流氓广告)和从非官方第三方市场下载的应用程序,攻击继续取得一定程度的成功。
分析人士还指出,通过互联网连接的机顶盒进行加密的可能性,一些企业可能将机顶盒用于流媒体和视频播放。据安全公司Rapid7称,黑客已经找到了一种方法来利用一个明显的漏洞,使Android Debug Bridge(一个仅供开发人员使用的命令行工具)变得容易访问,而且滥用这类产品的时机已经成熟。
目前,没有什么好的答案,除非仔细选择设备并坚持要求用户仅从平台的官方店面下载应用程序的策略,其中密码劫持代码的可能性显著降低。并且实际上,没有迹象表明大多数公司受到任何重大或直接威胁,特别是考虑到整个行业采取预防措施。尽管如此,考虑到过去几个月该领域的活动起伏不定,而且人们对该领域的兴趣不断上升,2019年的进展情况值得关注。
6. 密码卫生不良
你可能认为我们现在已经过了这一阶段,但不知为何,用户仍然没有正确地保护他们的帐户——当他们携带的手机同时包含公司帐户和个人登录时,这可能会出现问题。
谷歌和哈里斯民意调查(Harris Poll)的一项新调查发现,根据调查样本,超过一半的美国人在多个账户上使用相同密码。同样令人担忧的是,近三分之一的人没有使用双因素身份验证(或者甚至不知道他们是否在使用它——这可能更糟一些)。而且只有四分之一的人在积极使用密码管理器,这表明绝大多数人可能在大多数地方都没有特别强的密码,因为他们可能是自己生成和记忆密码的。
事情只会变得更糟:根据2018年的LastPass分析,有整整一半的专业人士在工作和个人账户上使用相同的密码。分析发现,如果这还不够,一个普通员工在工作过程中会与同事分享大约六个密码。
为了避免你认为这完全是废话,在2017年Verizon发现,在与黑客相关的企业入侵事件中,80%以上要归咎于薄弱或被盗的密码。特别是从一个移动设备,工作人员想快速登录到各种应用程序、网站和服务,考虑到组织数据的风险,即使只有一个人用他们用于公司帐户的相同密码,随机零售网站,聊天应用或消息论坛上的提示。现在,把这个风险和前面提到的Wi-Fi干扰的风险结合起来,乘以你工作场所的员工总数,并考虑快速累积的可能暴露点的层次。
最令人烦恼的是,大多数人似乎完全忘记了他们在这方面的疏忽。在谷歌和哈里斯民意调查中,69%的受访者为了有效保护他们的在线账户给自己一个“A”或“B”,尽管后来的答案表明不是这样。显然,您无法信任用户自己对此事的评估。
7. 物理设备违反
最后但仍然重要的一点可能看起来特别愚蠢,但仍然是一个令人不安的现实威胁:丢失或无人看管的设备可能是一个主要的安全风险,特别是如果它没有强大的PIN或密码和完整的数据加密。
请考虑以下因素:在2016年的Ponemon研究中,35%的专业人士表示他们的工作设备没有强制措施来保护可访问的公司数据。更糟糕的是,接近一半的受访者表示他们没有密码、PIN或生物识别安全保护他们的设备,大约三分之二的人说他们没有使用加密技术。68%的受访者表示他们有时会通过移动设备访问个人和工作帐户的密码。
结论:仅仅把责任留给用户是不够的。不要通过假设制定政策,你以后会感谢自己的。