行動化已成為促進企業成長的動力,同時也是必須關切的安全風險。未來,當我們開始穿著連網衣服去上班時,行動裝置安全威脅必然更加險惡。如果說過去十年的警示還不足夠,那麼2017將再次成為令人矚目的一年。
每年,行動通訊似乎都擺脫不了新的安全機會、挑戰與問題。IT技術走向消費化的結果,人人都成為個人連網裝置基礎設施的管理者,不論是點擊可疑的連結、更新軟體、變更密碼、備份資料、查看帳戶,每個人都必須維持高度警覺性,同時也應安裝防毒軟體和防火牆,以及如同住家大門般的隨時鎖住裝置。透過智慧型電話操控的門禁也可能成為一項風險。其他如行動支付系統、IoT傀儡網路、或者行動電話本身未經測試的不安全App等,都隱藏著安全風險。
從員工到客戶,Web應用程式也是被攻擊的目標之一。反釣魚工作小組(Anti-Phishing Working Group,APWG)報告指出,2015年10月到2016年3月這段期間,被偵測到的釣魚網站數量暴增了250%。每個月約有230,000次獨特的釣魚攻擊活動,其中很多瞄準行動裝置。當行動裝置瀏覽數量在2016年末期首度超越桌上電腦,而Google現在也傾向於將行動搜尋結果指向具有行動裝置親和性(Mobile-friendly)的網站,造成相容性與搜索引擎優化方面的困擾。
網路的高安全風險已經是一項社會問題,每個人都該負起責任。安全性的維護不僅是應用程式和企業網路間,更應該周延到設備、應用程式以及用戶存取行動和Web應用程式的網路。客戶端的智慧可視性與邏輯以及與專家們驅動的安全操作,要能確保實際檢測Web和行動應用程式共同的各種威脅監測。通過監視應用程式在瀏覽器之間看到的可視性會話數據的完整性,也可以防範Web欺詐、惡意軟體變體欺詐活動。
日益複雜的攻擊變體也導致企業疲於應付,更嚴重干擾企業的運作與信譽。從應用交付開端,企業需要提供整體持續的安全防護,從安全性到欺詐,基於網路的惡意軟體、DDoS攻擊和其他威脅通過網路應用程式。最重要的是透過一種無客戶端解決方案,可以透明地檢查端點,檢測惡意軟體活動並提供即時保護。
為了確保行動網路及設備上網時的安全性,應該更加注意從資料串接埠到行動裝置的通道安全性、行動裝置上應用程式安全性、使用者身份識別正確性及異常行為偵測等。用戶端防護系統最少要能做到連線時避免中間人攻擊(MitM Attack)、DNS Spoofing與憑證偽造(Certificate Forging)等攻擊。甚至要進一步擴展至確保行動裝置本身的安全性,避免從系統底層發生的各項入侵或攻擊事件。
行動化已成為促進企業成長動力,行動裝置安全威脅必然更加險惡。安全性的維護戰已經全面開打,企業應該將安全性視為一種整體策略,贏得這場資料保護戰。