移动设备安全革命:应对威胁与解决方案

移动设备已成为我们日常工作和家庭生活中不可或缺的工具,然而,对于它们安全性的关注和投资仍然远远不够。本文深入分析了移动设备安全的发展轨迹、目前面临的威胁态势,以及业界对于这些安全漏洞响应迟缓的深层原因。文中还探讨了人们在心理层面和组织结构上难以采取有效措施提升移动设备安全的原因,并提出了优先保护我们个性化的技术的解决方案。

图1 移动设备安全市场图

目录

  • 文章摘要

  • 智能手机:必不可少、不可或缺但易受攻击 ...

  • 什么是 "移动设备"?

  • 移动设备威胁格局

  • 锁定移动设备安全市场

  • 了解移动设备安全方面的差距

    • 过时的移动设备安全观念

    • 营销对安全认知的影响

    • 克服个人对移动安全的抵触情绪

    • 移动设备安全解决方案的脱节

    • 移动安全中的集体行动问题

    • 企业对移动设备安全的立场

  • 动员移动设备安全的未来

文章摘要

以下是文章的摘要:

  • 智能手机在个人和职业生活中扮演着关键角色,但它们的安全性常常不足。

  • 移动威胁的演变速度正在迅速超越我们现有的安全措施。

  • 陈旧的观念、生理上的障碍以及市场营销策略共同影响了人们对移动设备安全性的认知。

  • 企业在责任界定上的模糊性增加了实施移动安全措施的难度,使得本就问题重重的领域出现了更多的安全漏洞。

  • 当前迫切需要采取集体行动、建立行业标准、增加投资以及推动创新。

  • 移动安全行业正站在一个转折点上,迫切需要进行功能上的大幅变革,正如十年前桌面安全行业所经历的那样。

智能手机:必不可少、不可或缺但易受攻击

智能手机—我们几乎无法与之分离。它们几乎成了我们身体的延伸,不是吗?对于世界上大多数人来说,智能手机是他们沟通、获取新闻、使用社交媒体、查看天气预报、在线订购食品杂货、进行银行业务(甚至还有人热衷于追逐那些涨跌不定的迷因股票)的工具。很可能,你正是通过智能手机来阅读这篇文章的。

手机不仅仅是个人生活中的必备品。在过去的15年多时间里,它们也已成为职场中不可或缺的助手。你的手机可以用来查阅工作邮件、作为进入办公楼的扫码通行证、接收一次性密码(OTP)进行多因素身份验证(MFA)(尽管许多行业正在逐渐采用FIDO2技术取代OTP)以及运行与工作相关的应用程序。

对许多人而言,智能手机已经不只是一个方便的工具,而是变成了一个“绝对必需”的存在。但问题来了,它们真的安全吗?

每年网络安全行业都会获得高达数千亿美元的投资,但对移动设备安全的关注度却相对较低。这引发了一个值得深思的问题:为什么这项对大多数人和企业来说都至关重要的技术,在安全防护方面却没有得到与其他领域相匹配的支持、资金和热情?

这是我一直在反复思考的一个关键问题。在本文中,我尝试分析过去十年移动设备安全的演进和变革,并探究保护这项关键技术安全所面临的挑战。

但在此之前,让我们先来探讨一下移动设备本身是什么。

什么是 "移动设备"?

曾经,在一个并不遥远的时代,“移动设备”一词涵盖了除台式机或服务器之外的所有设备类型。这通常指的是某种形式的便携式计算机,最典型的代表就是笔记本电脑。

图2 第一款面向消费者市场的笔记本电脑

Osborne 1,作为第一款面向消费者市场的笔记本电脑,重量达到了24.5磅(约11.1公斤),在1981年4月开始销售。而苹果公司的第一款便携式电脑Mac PowerBook则稍晚,直到1989年才面市。

到了1995年,全球笔记本电脑的销量首次突破了1000万台的大关。五年后的2000年,这一数字更是飙升至2850万台。随着时间进入21世纪,笔记本电脑的销售额开始超过台式机,逐渐成为新的标准,使得“移动”这一概念在描述计算设备时变得不那么突出。

就在这个时期,移动电话也开始引起人们的注意。BlackBerry在1999年推出了他们的手机,很快因为其高安全标准而声名鹊起。全球的大型企业和*机构纷纷采用BlackBerry手机,对其安全性赞不绝口,难以割舍。

然而,2007年1月,苹果公司推出了iPhone,这款我们今天所熟知的智能手机彻底改变了我们对手机和移动计算的认识。iPhone的问世,标志着一个全新的时代的开启,它改变了一切。

图3 乔布斯揭幕首款 iPhone 的图片

2008年10月,标志着一个新时代的开始——安卓手机首次公开发布,它再次颠覆了我们对移动设备的认知。

随着iOS和Android这两个平台的推出,"移动设备"这一概念在我们心中的意义发生了永久性的转变。这种转变促使我们重新审视并思考如何确保移动设备的安全性。

从早期笨重的笔记本电脑到如今时尚轻薄的智能手机,移动设备的演进不仅在形态上发生了巨大变化,同时也带来了安全挑战的演变。每一代设备的更新,都伴随着新的安全问题和防护需求,要求我们不断更新安全策略和技术,以保护这些设备不受威胁。

移动设备威胁格局

是否认为自己的移动设备固若金汤?事实可能出乎意料。当前的移动安全威胁已经变得前所未有地多样化和复杂。

以2023年为例,卡巴斯基实验室的报告指出,他们监测并成功阻止了超过3300万次针对移动设备的攻击,这一数字比前一年激增了约52%。

图4 2023年卡巴斯基移动设备攻击监测情况

攻击者正不断更新他们的策略,以更巧妙的方式侵入移动设备和个人隐私。社会工程学攻击,包括编造理由和网络钓鱼等手段,已经成为移动安全领域的一大威胁。

所谓的“假借理由”(Pretexting)是一种社会工程学手段,攻击者通过构造虚假情境诱使受害者点击恶意链接或泄露敏感信息。到了2024年,这种攻击手段的威胁性显著增加。

根据2024年Verizon数据泄露调查报告(DBIR),假借理由攻击事件数量上升,首次超过了传统的网络钓鱼攻击。Verizon报告中指出:“我们观察到,涉及预设文本的攻击事件(其中大多数以商业电子邮件攻击[BEC]为目标)占据了金融动机攻击的约四分之一(大约在24%到25%之间)。”这表明攻击者正在使用更加个性化和有说服力的策略来利用人性弱点进行攻击。

图5 2024年Verizon数据泄露调查报告

这标志着安全威胁的一个新动向:攻击者开始采用更加个性化、更具说服力的策略来操纵人们。

移动设备之所以这么有趣,不仅因为它们是欺诈、诈骗和勒索攻击的常见目标,更因为随着人工智能技术的应用,这些攻击变得更加高明和难以防范。(当然,我怎么可能在文章中忽略提及人工智能呢?)

人工智能的文本转语音技术,可能被犯罪分子用于提升其绑架或保释诈骗的可信度。在现实世界中,我们已经目睹了犯罪分子如何利用AI语音克隆技术结合电话号码欺骗,进行电话攻击,制造出“女性尖叫”或“小男孩尖叫特定名字”等声音效果,以此来增加诈骗的真实感。(雷切尔·托拜克 (@RachelTobac) 发布于2024年5月31日)

除此之外,移动应用程序及其底层操作系统也面临着被攻击的风险。iVerify追踪了一些针对高净值和高社会地位个人的显著案例:

  • NSO 集团的 Pegasus 移动间谍软件工具被用来对付记者 Anand Magnale,他正在调查针对印度亿万富翁商人 Gautam Adani 的腐败指控,而 Gautam Adani 是印度总理纳伦德拉-莫迪(Narendra Modi)的亲密助手。

  • 一名总部位于美国的智囊团员工遭遇了安卓 SMShing 入侵,攻击者假装代表其 ISP 发送了一个恶意链接,用户点击后使用 Odin 对设备进行了 root操作。攻击者获取了其 WhatsApp、Telegram 和 Signal 以及其 ISP 账单门户账户权限,这很可能是为了获取凭证/身份,以初步获得该组织IT基础设施的初始访问权。

iVerify 在 "移动优先的0day时代已经到来 "一文中指出,针对谷歌产品的已知0day漏洞有一半是商业间谍软件供应商(CSVs)所为。雇佣军间谍软件业务的价值高达 120 亿美元,并以传统的商业结构公开运营。移动设备安全威胁与勒索软件市场一样,走的也是企业模式路线。

iVerify在其文章“移动优先的0day时代已经到来”中强调了一个令人关注的现象:针对谷歌产品的已知0day漏洞中,有一半是由商业间谍软件供应商(Commercial Spyware Vendors,简称CSVs)造成的。这一行业的价值已经达到了惊人的120亿美元,并且它们以一种传统的商业结构公开运作。

图6 2018到2024年金融类攻击中的行动种类

甚至还有一个针对勒索软件团伙的 "恶意四分位图",显示它们的实力排名:

图7 勒索软件团伙的 "恶意四分位图"

我们生活的社会

为什么会出现这种情况?简而言之,移动设备更容易访问,而且回报率高。

手机已成为被利用、诈骗和获取凭证的便捷途径。再加上没有人会像关注台式机那样关注移动设备,这就为灾难埋下了伏笔。

人类与手机之间有着亲密的关系--手机承载着他们所有的生活和职业经历。使用手机作为初始接入点,然后绕过(或使用)MFA 检查,可以更快地获得特权访问。

从此,游戏结束。听起来很像我们使用和保护的台式机,不是吗?

锁定移动设备安全市场

但数字不会说谎。

图8 移动设备安全与其他所有网络投入资金的比较

纵观移动设备安全市场,与更大的网络安全市场相比,可谓九牛一毛。再细分一下,96% 的移动设备安全资金流向了移动设备管理 (MDM) 和移动应用安全公司。

图9 年对年成立的移动设备安全资金分配情况

仅从分配给 MDM 和移动应用安全公司的部分来看,90% 的资金只分配给了四家公司:

  • Lookout 已筹集超过 4.3 亿美元

  • Jamf 已筹集超过 3.3 亿美元

  • Mosyle 已筹集了近 2.5 亿美元

  • MobileIron 融资超过 1.6 亿美元,于 2014 年上市,并于 2020 年被 Ivanti 以约 8.72 亿美元的价格收购。

这还不包括微软 Intune,它于 2011 年作为 MDM 工具推出,后来成为一个更通用的端点管理平台。

我们正处于移动设备安全类别下一次迭代的早期阶段。多年来,这一市场的发展轨迹与终端计算机市场类似。"移动设备安全 "涵盖的产品范围很广,其中有些相互竞争和重叠,有些则不然。

以下是我绘制的市场地图,帮助您直观了解我们的工作:

图10 移动设备安全市场图

如今,这一领域在很大程度上仍处于分散状态,因此让我们逐一分析这些领域,以确保我们都理解得一致:

Mobile OS Security 移动操作系统安全

  • 设备加密:确保对设备上的数据进行加密,防止未经授权的访问。

  • 应用程序审查:彻底检查应用程序,然后才允许在设备上使用。

  • 威胁检测:实时识别和缓解潜在的安全威胁。

安全访问和自带设备管理

本节将讨论与安全访问移动设备有关的挑战,以及自带设备(BYOD)趋势,即员工使用个人设备用于工作用途的情况:

  • 安全访问:VPN 和多因素身份验证 (MFA) 等解决方案以保护企业数据。

  • 自带设备管理:确保员工设备上个人和企业数据安全的政策和技术。

企业移动设备管理

本节重点介绍如何管理和保护移动设备机队,以保持对移动资产的控制。它是 MDM 的邻近衍生产品,专为拥有庞大移动设备群的公司而设计,适合拥有仓储、物流或大量外勤代理员工的公司。

移动威胁检测与响应 (MTDR) - 正处于不断增长阶段

MTDR 专注于识别和应对针对移动设备的威胁,包括

  • 威胁检测:监控恶意软件、网络钓鱼、网络诈骗以及零日攻击等其他恶意活动。这是针对移动设备的端点检测和响应(EDR)。

  • 响应机制:快速、主动应对检测到的威胁并最大限度减少损失的工具。

移动应用安全

从设备层到应用程序层,本节重点关注保护移动应用程序免受漏洞和攻击的影响,具体包括:

  • 应用程序开发安全:在开发过程中发现并解决漏洞。

  • 运行时保护:一旦部署,即可监控和保护应用程序免受实时威胁。

移动设备管理(MDM)

这是一切的起点,也是大部分投资的去向。MDM 解决方案帮助公司管理和保护移动设备,包括:

  • 设备注册和管理:确保正确注册、配置和管理设备。

  • 策略执行:在所有受管设备上应用和执行安全策略。

  • 补丁和更新:自动部署补丁和更新,确保设备运行最新、最安全的软件版本。

  • 远程擦除:允许管理员远程擦除丢失、被盗或不再使用的设备中的数据,以保护敏感信息。

  • 应用程序管理:控制可在设备上安装和使用的应用程序,确保只有经过批准的安全应用程序才能访问。

手机盗窃应对措施 - 新兴

这些解决方案旨在保护被盗或丢失的移动设备及其包含的数据。

  • 预防措施:远程锁定、擦除功能和设备跟踪等功能。

  • 找回工具:协助找回丢失的设备,有效管理盗窃事件。

许多移动设备管理( MDM )解决方案也具备这一功能,但这一新兴部分面向个人而非企业,属于个人网络安全类别。

在研究了这些数据并考虑了这一市场的空白之后,我发现了一些关键主题:

  • 市场适合并购和整合:移动设备安全市场高度分散,这边儿为合并和收购提供了机会,以整合和精简产品,提高效率和效益。

  • 新进入者的机会:市场为创新的新进入者敞开大门,以颠覆传统的移动设备管理 (MDM) 企业。新方法可以挑战既有规范,并推出更好的解决方案来应对当今的威胁。

  • 威胁检测和响应方面的新需求:我们才刚刚开始应对移动威胁检测和响应的广泛需求。随着移动威胁的发展,我们越来越需要先进的解决方案来抵御复杂的攻击。

我还留下了一些哲学方面的后续问题:

  • 我们是否已经建立了足够的激励机制来推动网络安全行业的发展?

  • 是否因为改变人们的行为习惯太过艰难,从而在实践中产生了诸多摩擦?

  • 移动设备是否真正印证了“人们宁愿牺牲安全和隐私,也要追求便利”的这一说法?

我倾向于认为这些问题的答案都是肯定的。接下来,让我们将这些问题细化,探讨可能导致这些现象的几个关键领域。

了解移动设备安全方面的差距

过时的移动设备安全观念

风险 "感 "不够高。为什么在众多安全领域中,移动安全似乎并没有得到足够的关注?这可能是因为人们普遍存在一种心理定势,即认为手机是相对安全的。

这种心理定势的形成有着深厚的历史渊源。在过去,人们普遍认为计算机才是恶意软件、网络钓鱼攻击和其他网络威胁的主要攻击目标。相比之下,移动设备在人们心中似乎更加安全。毕竟,早期的手机使用方式与现在大相径庭,它们并不像台式机那样能够访问敏感的企业数据,也不像现在这样成为我们日常生活和工作中不可或缺的工具。

灰胡子提醒:我记得在很多年以前,在你入职时公司并没有强制要求员工必须配备手机。智能手机问世多年后,我才注意到员工合同中逐渐出现了这样的要求。事实上,我接受的一些工作甚至会为我提供公司的移动设备,甚至会额外支付我的个人电话费用,以便我能够随时待命。

营销对安全认知的影响

苹果公司一直将 iPhone 宣传为市场上最安全、最注重隐私的手机。该公司在营销中强调了几项关键功能:

  • 封闭的硬件和软件生态系统使安全系统的集成度更高。

  • 对进入 iOS 生态系统的所有移动应用程序进行严格、彻底的检查

  • 对信息和视频通话进行端到端加密,以保护隐私

  • 将 Siri 等服务的数据最小化(不过,随着苹果公司未来可能直接在设备上引入生成式人工智能模型,这种情况将有所改变)

尽管采取了这些措施,移动设备仍无法免受威胁。认为移动设备不易受到攻击的假设既过时又危险。

克服个人对移动安全的抵触情绪

个人对移动设备安全的抵触情绪如何?

  • 存在隐私问题。

  • 安全培训让我们认为电脑是危险的,使用电脑时要小心,但使用手机时却不是这样。

  • 生活中有太多个人和职业的时刻。

  • 企业侵蚀和个人自主正在迅速碰撞。

推广多因素认证(MFA)在工作以外在线账户的应用并非易事。同样,要让大众在日常生活中使用密码管理器也是一项艰巨的任务。然而,"无密码"运动通过使用通行证和生物识别技术,确实让这一过程变得更加简便。

在多因素认证(MFA)和密码管理器的使用过程中,为用户增加任何额外的步骤都显得尤为困难。那些试图在现有的密码和MFA流程中加入额外认证或授权步骤的网络安全初创公司的创始人们对此深有体会。如果你的解决方案是要求用户下载另一个应用程序,那么祝你好运!通常只有那些极度谨慎、对安全极为重视的人才可能会考虑采纳。

人际交往中的这种摩擦使得广泛采用能提高安全性的额外步骤变得极具挑战。人们渴望的是无障碍的安全,而不是需要付出额外努力的安全。

同样,你也可以询问那些以"社会公益"为出发点的网络安全初创公司,他们面临的处境如何。这些公司试图将个人在移动设备上的安全态势与企业的风险态势相结合。除了自带设备(BYOD)政策之外,将企业标准推向个人与移动设备的关系,对大多数人来说是一种过度的要求。尤其是当一个人在工作场所之外的网络安全标准在工作场所内导致了不理想的个人风险评分时,这种矛盾尤为突出。

想象一下,如果你的iPhone设置不当,你的薪水就会受到影响——这显然不是人们所期望的乌托邦式未来。

移动设备安全解决方案的脱节

令人感到有些意外的是,保护移动设备安全的过程似乎与人们的日常生活有些脱节。尽管移动设备面临的威胁可能会影响到每一个移动设备用户——毕竟,移动设备的总数已经超过了全球人口(这真是一个惊人的数字!)——但针对移动威胁的解决方案似乎缺乏个性化,不足以激发足够多的人采取行动进行改变。

根据世界经济论坛的一篇文章,到2022年,全球移动用户的数量已经超过了85.8亿,而全球人口大约为79.5亿。

图11 截止2022年手机数量已超过世界人口总数

移动安全中的集体行动问题

移动设备安全已经演变成一个需要集体行动的问题。在这个问题中,每个人都能从采取特定行动中获益,但对个人而言,采取行动的成本却显得过高。因此,人们往往希望其他人来承担这一成本,这导致了集体的不作为现象。

网络安全的挑战往往超越了个人能力的范围,有时为了更大的公共利益,需要从更高层次进行集体行动。例如,个人无法控制谁可以给自己的移动设备打电话或发送短信,这导致了电话营销和诈骗短信的泛滥。

罗斯-哈利尤克(Ross Halieuk)在其关于寻找值得投资的网络安全初创公司创意的博客文章中提到:

移动安全市场从未真正起飞,这很不幸,因为我们正面临着网络钓鱼、网络诈骗和其他类型的网络攻击的泛滥。

联邦贸易委员会(FTC)和联邦通信委员会(FCC)已经采取了一系列措施,与移动运营商紧密合作,以保护消费者免受这些骚扰电话的侵害,包括自动拦截非法呼叫和标记垃圾电话。

然而,尽管有这些努力,对于大多数人来说,采取额外行动的成本(或对采取行动的看法)仍然是一个巨大的障碍。

企业对移动设备安全的立场

结构性障碍,例如组织内部责任的分散,使得移动设备安全问题变得更加棘手。

仅仅管理移动设备并不等同于确保它们免受损害。(Rocky Cole, iVerify Rocky Cole,iVerify)

在企业环境中,移动设备安全的归属往往不明确。责任可能分散在不同的团队之间,这使得制定一个统一而有效的安全策略变得极其困难,从而导致责任分配和执行效果上的差距。

  • 终端管理团队:该团队负责管理终端用户设备,但可能缺乏必要的专业知识,对更广泛的安全影响关注不足。

  • 企业安全小组:专注于实体安全和环境控制,可能同样缺乏对移动安全的专业理解和关注。

  • 高管保护团队:专注于高管的人身安全和在线安全,包括移动设备的安全,但在技术层面可能面临挑战,其方法可能需要在整个企业范围内进行推广。

  • 网络安全团队:虽然具备必要的安全技能,专注于保护移动设备的安全,但可能缺乏对最终用户支持领域的经验和技巧。

实际上,构成"移动设备体验"的集体思想并不仅仅属于上述任何一个团队,而是所有这些团队的共同责任。

首席信息安全官们还面临很多其他的痛点,而移动安全往往不是他们的首要关注点。唯一的例外可能是那些需要保护大量知识产权的*机构和公司,例如半导体行业。

同时,随着移动使用的增加和攻击手段的日益先进,安全团队面临的安全漏洞缺口也在不断扩大。

动员移动设备安全的未来

CrowdStrike 公司在端点恶意软件领域所做的工作,为攻击者和防御者创造了一个公平竞争的环境。在移动安全领域,我们同样需要实现这样的变革。顺便一提,要实现这一变革,可能需要借助外部的视角,而那些长期存在的公司可能不太愿意进行必要的职能调整。

对于移动设备安全而言,现在正是一个"建立起来,他们就会来"的时刻。如果整个行业开始推动这些行动,那么企业家和风险资本家将会被吸引,参与到这个领域中来。

世界需要有人挺身而出,发出号召。

原文链接:

https://www.returnonsecurity.com/p/reveolution-of-mobile-device-security

声明:本文来自安全喵喵站,版权归作者所有。

上一篇:ArcGIS Pro SDK (九)几何 5 多边形


下一篇:题解