版权声明:本PPT为本人工作总结及本人翻译美国NIST相关标准的综合文档。相关美标翻译稿已在本人知识星球发布,目前国内尚无上述标准中文译稿。部分内容参考公开资料整理而成,请勿恶意举报,本人对侵权责任及可能发生的名誉损害保留法律诉讼权利。
移动设备威胁
利用设备中的潜在漏洞
•软件开发是一门复杂的学科,它创建了为移动设备和应用程序提供动力的指令集。在典型软件的情况下,估计每1000行代码存在的错误和漏洞约有25个错误的频率 。由于移动设备的开发和制造方式的性质,多个不同的组织将为同一设备贡献软件和固件。参与组织可能有也可能没有健全的软件开发实践和流程。这些供应商中任何一个的代码中的漏洞都可能危害设备。利用漏洞示例利用语音帮助或快速访问功能中的漏洞绕过锁屏并获得对移动设备的未授权访问。
设备丢失和盗窃
•移动设备可用于组织控制范围之外的多个位置(例如,建筑物,办公室),例如员工住宅,咖啡店,酒店和出租车。一些组织对移动设备有严格的规定,规定只能在组织范围内使用它们。然而,许多组织有多个站点,因此移动设备在建筑物之间进行传输。与传统的台式机系统相比,移动设备的便携性使其更容易丢失或被盗,这些设备上的敏感数据增加了组织遭受破坏的风险。
通过配置错误的设备访问企业资源
•移动设备可能配置错误。移动操作系统包含许多与安全性和隐私相关的配置选项,例如密码的使用,设备加密,用户跟踪和VPN。并非所有与安全和隐私相关的设置都位于移动OS界面的安全选项区域内。有时还可以在设备的管理区域内配置安装设备上的应用程序,但也可以在应用程序本身进行配置。相关配置包括对应用程序的身份验证,跟踪用户和正确使用加密。将配置不正确的设备连接到企业资源(例如网络驱动器)可能会导致信息暴露给监视网络或直接访问设备的实体。
通过网络钓鱼窃取凭据
•攻击者通过电子邮件或短信窃取或请求员工的用户凭据。可能会诱使员工相信该消息来自受信任的来源,并通过单击电子邮件或文本消息中的超链接来提供其凭据或允许攻击者未经授权访问其移动设备。
安装未经授权的证书
•通过各种渠道将这些证书分发给设备,包括Web浏览器,物理连接(例如USB电缆)和类似于EMM配置文件的配置文件。将证书提供给移动设备的证书存储后,它就可以用于身份验证,还可以通过向用户显示警告来将其用于对应用进行基于信任的决策。恶意证书的存在可能会诱使用户的设备信任网络钓鱼站点或安装伪造的网络钓鱼或Trojan应用程序(例如银行应用程序)。
使用不受信任的移动设备
•许多移动设备(尤其是个人拥有的移动设备)本来就不值得信赖。设备经常越狱和Root绕过对操作系统使用和其他功能内置的安全性限制。组织应假定所有移动设备都是不受信任的,除非组织已妥善保护它们,并在使用这些设备访问企业应用程序或数据时不断监视其安全性。不受信任的设备是最危险的移动设备,通常可以访问敏感的企业信息,并且也最容易遭到破坏。
无线窃听
•由于移动设备主要使用非企业网络进行Internet访问,因此组织通常将无法控制设备访问的外部通信网络的安全性。通信介质可以包括诸如蓝牙,WiFi和蜂窝网络的无线系统。蓝牙设备通常用于传输音频信息(例如语音流量,音乐)以及来自可穿戴设备的通知和健康信息。WiFi和蜂窝可用于传输多种类型的流量,包括语音和数据。所有这些网络协议和媒体都容易受到窃听和中间人(MitM)攻击,这些攻击可以拦截和修改设备与企业系统之间的通信。
手机恶意软件
•移动设备旨在让用户轻松查找,获取和安装由应用商店提供的第三方应用。这种可访问性带来了重大的安全风险,尤其是对于不对第三方应用发布施加安全限制或其他限制的移动设备平台和应用商店。
锁屏配置不安全导致信息丢失
•锁定屏幕是未经授权用户必须获得访问存储在移动设备上的信息的第一个障碍。可以使用数字密码或图案来配置锁定屏幕,以限制对设备的访问。如果用简单的密码保护不佳,则可能通过蛮力攻击破坏锁屏。
•锁定屏幕还可以配置为显示对与未接来电或消息,应用程序警报,收到的电子邮件等有关的通知的快速访问。锁定屏幕上显示的信息(例如电子邮件)可能显示敏感的企业信息。
用户隐私侵害
•用户或员工数据的收集和监视会极大地破坏个人的个人隐私。移动应用程序不是唯一收集用户信息的系统,因为用于移动的大多数业务系统(例如EMM,MTD)也可能具有此功能,这意味着雇主可以收集有关员工的敏感信息。未经用户同意而收集数据会妨碍机密性,并且会侵犯隐私,因为在用户不知情的情况下,收集到的数据可能会以不需要的方式使用。
•一种常见的侵犯隐私行为是用户位置跟踪。定位服务通常被社交媒体,导航和天气应用程序以及Web浏览器之类的应用程序使用。在组织安全性和个人隐私方面,启用了位置服务的移动设备受到针对性攻击的风险增加,因为潜在的攻击者更容易确定用户和移动设备的位置,并将该信息与其他有关信息相关联。
通过同步丢失数据
•移动设备可以与其他系统交互以执行数据交换,同步和存储。这可以包括本地或远程设备同步。
•远程系统同步通常涉及将数据自动备份到基于云的存储系统。通常这些组件中的一个或多个在企业外部。组织的数据都有存储在组织控制范围之外的不安全位置的风险。在这些情况下,也可能将恶意软件从一台设备传输到另一台设备。
使用Shadow IT
•“影子IT”一词通常表示员工在不了解IT组织的情况下与工作相关的对IT相关的硬件,软件或云服务的使用。Shadow IT的典型例子是一个使用独立购买的运行软件的服务器执行关键型任务工作的部门,该软件未经大型IT组织的批准、管理,甚至不为其所知。在此系统出现故障或被破坏之前,IT人员可能无法了解该系统的存在,从而危及关键任务。
•在移动系统环境中,员工可能被激励使用个人设备来规避由企业提供的移动设备的全面企业管理所实施的限制性移动设备策略。工作人员可以将与工作相关的电子邮件或文档发送到他们的个人电子邮件帐户,以在旅行期间更好地进行访问,或者他们可以使用相机在其个人设备上拍摄白板图纸的图片。
•Shadow IT系统不符合组织对企业控制或文档的要求,并且可能会也可能不会违反安全性或可靠性策略。
原文始发于微信公众号(老烦的草根安全观):高速公路行业网络安全基础培训
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论