如今，幾乎每個(gè)辦公室員工都攜帶移動(dòng)手機(jī)進(jìn)出，并且大多數(shù)時(shí)候，這些設(shè)備都是非常先進(jìn)的智能手機(jī)，例如Android手機(jī)、黑莓設(shè)備或者蘋果公司的iPhone。員工幾乎從來(lái)沒(méi)有考慮過(guò)攜帶連接設(shè)備進(jìn)入公司的安全隱患。

然而這種趨勢(shì)并沒(méi)有逃脫首席安全官和信息技術(shù)管理員的關(guān)注。智能手機(jī)在企業(yè)內(nèi)部提供了很多便利，但是安全團(tuán)隊(duì)并沒(méi)有找到辦法來(lái)保護(hù)這些設(shè)備的安全。

移動(dòng)設(shè)備安全公司Lookout公司的首席執(zhí)行官John Hering表示，“他們花了大量資源（包括時(shí)間和金錢）來(lái)保護(hù)他們的企業(yè)網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)安全外圍，但是對(duì)于獲取訪問(wèn)企業(yè)機(jī)密數(shù)據(jù)的訪問(wèn)權(quán)限的移動(dòng)設(shè)備，他們卻無(wú)從下手。這基本等同于企業(yè)內(nèi)部的木馬程序，為攻擊者大開(kāi)后門�！�

換句話說(shuō)，內(nèi)部攻擊可能不是來(lái)自于有惡意企圖的員工，而是來(lái)自于攜帶受感染設(shè)備進(jìn)入工作場(chǎng)合的無(wú)知員工，Hering表示。

結(jié)果并不令人驚訝：在過(guò)去一年中，安全研究人員和攻擊者越來(lái)越關(guān)注智能手機(jī)和其他移動(dòng)平臺(tái)，這種關(guān)注突出了移動(dòng)設(shè)備的潛在攻擊情況，包括信息泄漏和直接控制個(gè)人設(shè)備發(fā)動(dòng)攻擊。

此外，移動(dòng)電話已經(jīng)成為所謂的“以用戶驅(qū)動(dòng)的IT”趨勢(shì)的主要驅(qū)動(dòng)力，就像剛畢業(yè)的大學(xué)生將早期的電子郵件習(xí)慣帶入公司一樣，消費(fèi)者正在將他們的移動(dòng)設(shè)備帶到工作場(chǎng)合，并希望IT管理員能夠解除安全隱患。

智能手機(jī)是非常有價(jià)值的設(shè)備，攻擊者可能從此下手。智能手機(jī)通常都有個(gè)人數(shù)據(jù)、麥克風(fēng)和GPS系統(tǒng)，攻擊者可以使用這些設(shè)備作為他們自己在公司內(nèi)的個(gè)人監(jiān)控系統(tǒng)。例如，如果一個(gè)攻擊者目標(biāo)是數(shù)據(jù)中心管理員，他們可以找到服務(wù)器在公司大樓的位置或者通過(guò)在執(zhí)行會(huì)議中打開(kāi)麥克風(fēng)竊聽(tīng)相關(guān)信息，移動(dòng)設(shè)備安全公司Zenprise公司的市場(chǎng)營(yíng)銷副總裁Ahmed Datoo表示。

“存在于智能手機(jī)中的安全漏洞類型非常獨(dú)特，并且非常危險(xiǎn)，如果沒(méi)有確保它的安全性的話，”Datoo表示。

舉例來(lái)說(shuō)，對(duì)于移動(dòng)設(shè)備網(wǎng)站安全性的關(guān)注非常少，所以攻擊者可能會(huì)開(kāi)始考慮將這個(gè)渠道作為攻擊智能手機(jī)的方式，并且從防火墻后面滲透入公司。斯坦福大學(xué)研究人員發(fā)現(xiàn)有一類漏洞可以被攻擊者利用來(lái)通過(guò)用戶的瀏覽器發(fā)動(dòng)攻擊，這也是web開(kāi)發(fā)人員都知道的漏洞，這種漏洞在為移動(dòng)設(shè)備構(gòu)建的網(wǎng)站中仍然沒(méi)有被修復(fù)�！耙苿�(dòng)設(shè)備網(wǎng)站安全應(yīng)該與非移動(dòng)設(shè)備網(wǎng)站安全一樣被受到關(guān)注，否則，可能發(fā)生攻擊事故，”斯坦福大學(xué)安全研究室博士后研究員Elie Bursztein表示。

最大的挑戰(zhàn)之一就是，IT管理人員通常都不知道有哪些移動(dòng)設(shè)備連接到了他們的網(wǎng)絡(luò)，Datoo表示，企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該確保部署政策來(lái)確定企業(yè)網(wǎng)絡(luò)中的移動(dòng)設(shè)備，并且確保這些設(shè)備已經(jīng)部署了適當(dāng)?shù)陌踩�政策�?/p>

讓智能手機(jī)遵守企業(yè)政策也十分重要，Lookout公司的首席技術(shù)官Kevin Mahaffey表示。企業(yè)應(yīng)該確保他們的用戶及時(shí)修復(fù)了設(shè)備的漏洞，并且下載所有更新程序來(lái)刪除惡意應(yīng)用程序。此外，雖然蘋果公司和谷歌公司為應(yīng)用程序市場(chǎng)制訂了良好的政策，但用戶應(yīng)該只從受信任的第三方下載應(yīng)用程序。

“在這里有一點(diǎn)不協(xié)調(diào)，對(duì)于攻擊者能夠更加容易地控制移動(dòng)設(shè)備，而我們?nèi)匀惶幵诜烙�和�?qiáng)大政策以及軟件確保企業(yè)網(wǎng)絡(luò)安全的早期研究階段�！�

總體而言，針對(duì)移動(dòng)設(shè)備的攻擊技術(shù)狀態(tài)是一個(gè)移動(dòng)目標(biāo)，防御同樣如此。

Hering表示，“試圖找到一種方式來(lái)管理、監(jiān)控和保護(hù)企業(yè)環(huán)境中消費(fèi)者設(shè)備的安全真的非常具有挑戰(zhàn)性，我們希望能夠早日解決這個(gè)問(wèn)題，雖然現(xiàn)在還沒(méi)有解決。