如今，幾乎每個辦公室員工都攜帶移動手機進出，并且大多數(shù)時候，這些設(shè)備都是非常先進的智能手機，例如Android手機、黑莓設(shè)備或者蘋果公司的iPhone。員工幾乎從來沒有考慮過攜帶連接設(shè)備進入公司的安全隱患。

然而這種趨勢并沒有逃脫首席安全官和信息技術(shù)管理員的關(guān)注。智能手機在企業(yè)內(nèi)部提供了很多便利，但是安全團隊并沒有找到辦法來保護這些設(shè)備的安全。

移動設(shè)備安全公司Lookout公司的首席執(zhí)行官John Hering表示，“他們花了大量資源（包括時間和金錢）來保護他們的企業(yè)網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)安全外圍，但是對于獲取訪問企業(yè)機密數(shù)據(jù)的訪問權(quán)限的移動設(shè)備，他們卻無從下手。這基本等同于企業(yè)內(nèi)部的木馬程序，為攻擊者大開后門�！�

換句話說，內(nèi)部攻擊可能不是來自于有惡意企圖的員工，而是來自于攜帶受感染設(shè)備進入工作場合的無知員工，Hering表示。

結(jié)果并不令人驚訝：在過去一年中，安全研究人員和攻擊者越來越關(guān)注智能手機和其他移動平臺，這種關(guān)注突出了移動設(shè)備的潛在攻擊情況，包括信息泄漏和直接控制個人設(shè)備發(fā)動攻擊。

此外，移動電話已經(jīng)成為所謂的“以用戶驅(qū)動的IT”趨勢的主要驅(qū)動力，就像剛畢業(yè)的大學(xué)生將早期的電子郵件習(xí)慣帶入公司一樣，消費者正在將他們的移動設(shè)備帶到工作場合，并希望IT管理員能夠解除安全隱患。

智能手機是非常有價值的設(shè)備，攻擊者可能從此下手。智能手機通常都有個人數(shù)據(jù)、麥克風(fēng)和GPS系統(tǒng)，攻擊者可以使用這些設(shè)備作為他們自己在公司內(nèi)的個人監(jiān)控系統(tǒng)。例如，如果一個攻擊者目標是數(shù)據(jù)中心管理員，他們可以找到服務(wù)器在公司大樓的位置或者通過在執(zhí)行會議中打開麥克風(fēng)竊聽相關(guān)信息，移動設(shè)備安全公司Zenprise公司的市場營銷副總裁Ahmed Datoo表示。

“存在于智能手機中的安全漏洞類型非常獨特，并且非常危險，如果沒有確保它的安全性的話，”Datoo表示。

舉例來說，對于移動設(shè)備網(wǎng)站安全性的關(guān)注非常少，所以攻擊者可能會開始考慮將這個渠道作為攻擊智能手機的方式，并且從防火墻后面滲透入公司。斯坦福大學(xué)研究人員發(fā)現(xiàn)有一類漏洞可以被攻擊者利用來通過用戶的瀏覽器發(fā)動攻擊，這也是web開發(fā)人員都知道的漏洞，這種漏洞在為移動設(shè)備構(gòu)建的網(wǎng)站中仍然沒有被修復(fù)。“移動設(shè)備網(wǎng)站安全應(yīng)該與非移動設(shè)備網(wǎng)站安全一樣被受到關(guān)注，否則，可能發(fā)生攻擊事故，”斯坦福大學(xué)安全研究室博士后研究員Elie Bursztein表示。

最大的挑戰(zhàn)之一就是，IT管理人員通常都不知道有哪些移動設(shè)備連接到了他們的網(wǎng)絡(luò)，Datoo表示，企業(yè)安全團隊?wèi)?yīng)該確保部署政策來確定企業(yè)網(wǎng)絡(luò)中的移動設(shè)備，并且確保這些設(shè)備已經(jīng)部署了適當(dāng)?shù)陌踩�政策�?/p>

讓智能手機遵守企業(yè)政策也十分重要，Lookout公司的首席技術(shù)官Kevin Mahaffey表示。企業(yè)應(yīng)該確保他們的用戶及時修復(fù)了設(shè)備的漏洞，并且下載所有更新程序來刪除惡意應(yīng)用程序。此外，雖然蘋果公司和谷歌公司為應(yīng)用程序市場制訂了良好的政策，但用戶應(yīng)該只從受信任的第三方下載應(yīng)用程序。

“在這里有一點不協(xié)調(diào)，對于攻擊者能夠更加容易地控制移動設(shè)備，而我們?nèi)匀惶幵诜烙�和強大政策以及軟件確保企業(yè)網(wǎng)絡(luò)安全的早期研究階段�！�

總體而言，針對移動設(shè)備的攻擊技術(shù)狀態(tài)是一個移動目標，防御同樣如此。

Hering表示，“試圖找到一種方式來管理、監(jiān)控和保護企業(yè)環(huán)境中消費者設(shè)備的安全真的非常具有挑戰(zhàn)性，我們希望能夠早日解決這個問題，雖然現(xiàn)在還沒有解決。