热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

企业需要特别关注的11个BYOD风险

本文讲的是:企业需要特别关注的11个BYOD风险,在移动互联时代,BYOD所带来的风险主要是针对具备计算功能以及短讯和语音功能的移动平台如智能手机和平板电脑设备。典型

本文讲的是 :  企业需要特别关注的11个BYOD风险  ,在移动互联时代,BYOD所带来的风险主要是针对具备计算功能以及短讯和语音功能的移动平台如智能手机和平板电脑设备。典型的情况是这些移动设备通常也具有大量的存储容量,这些设备通过数据泄漏、恶意软件、未经授权的应用程序和不恰当的访问,对于企业来说代表着一个混合型的威胁。许多移动设备如智能手机和平板电脑通常是从用户的角度来设计的。他们是用户友好的,他们通常有一个内置的安全模型作为操作系统的一部分来防止用户受到各种各样的威胁。他们首先考虑到的是生产力的集中,安全性能只是其次要的考虑因素。但他们确实是具备一些内置的安全功能的。

  然而,这些风险对于企业来说是不可回避的,高层管理者们需要保持足够的警惕和重视。在本文中我们将着眼于与企业移动设备相关的主要风险,包括对于设备本身以及这些设备中运行的应用程序存在的风险,企业在确定适当的对策之前对风险有一个清楚的了解是必要的。

  BYOD风险的分类

  影响移动设备的安全风险分为两类:

  •设备风险:这是建立在今天的智能手机和平板电脑其实是一种新型的拥有本地和云端存储功能的高效能计算机这一事实基础上的,而且比起较为传统的、容易理解的台式电脑和笔记本电脑,当今的企业组织较少能够控制这些移动设备。

  •应用程序风险:这种风险源于最终用户安装的第三方应用程序,这些应用程序通常可以访问到公司的数据,将数据存储到设备上,并上传到公司周边之外的地方。

  设备风险

  由于智能手机和平板电脑在本质上基本可以算作计算机,它们很容易受到跟电脑同样的威胁。这些威胁可以利用底层操作系统的漏洞导致数据丢失和被盗,对设置进行更改,阻断服务,入侵受保护的内部网络,诸如此类。

  就像感染电脑一样,恶意软件同样可以感染智能手机和平板电脑。恶意软件可以形成一个平台,在这个平台上攻击者可以实施网络入侵和数据盗窃。一台受损的移动设备可以作为进入网络并窃取数据的一个很好的工具,特别是如果在一个组织内没有把它视为一种重大威胁的话,那么因此,它就不会像计算机工作站一样受到很好的保护。

  以下部分讨论了对设备来说存在的其他威胁。

  数据存储风险

  现代智能手机、相机和平板电脑含有大量的闪存并且可以通过USB接口使用,这就允许了数据小偷可以悄悄地复制文件。移动设备有如此多的存储容量,以至于他们可以被用于窃取许多组织中的所有数据。在移动设备上的数据存储可以轻松地批量下载大量数据——就像用一个巨大的网来钓鱼一样——数据窃贼肯定会在他们收集的文件中找到宝贵的知识。这些设备会对组织的数据构成严重威胁,因为相比起硬盘或记忆棒他们不太"明显",导致很难检测到任何隐藏在他们里面的被盗数据。移动设备上的板载内存存储通常允许他们作为存储设备安装在任何计算机上。这意味着它们可以用来复制数据,于是导致数据被盗或被滥用。一旦移动设备获取了数据,对于组织来说则更加难以控制。数据也可以通过电子邮件附件和其他应用程序的方式被盗或者被滥用。

  弱密码风险

  考虑到计算平台基本都对外提供数据与资源服务,假如平台支持终端用户使用密码进行验证连接,那么攻击者通过猜测或者截取可以获得用户密码,这种情况下,移动设备成为攻击计算平台上用户数据和资源的入口。这对于电子邮件来说是特别重要的,因为如果你有密码(或者PIN),进入一个智能手机或平板电脑阅读电子邮件是比较容易的。

  WI-FI劫持风险

  类似于中间人攻击(Man-in-the-Middle), WI-FI劫持是恶意攻击者通过使用在公共场所设立的免费WI-FI热点而实施的,而用户一般希望在这些地方能找到免费的无线——机场、咖啡厅、公园以及市中心地区。然而这些热点,经常受到期待收获个人信息、财务数据和密码的攻击者的监控。

  热点风险

  移动设备可以用来束缚计算机或者以其他方式作为一个无线网络,使它们周围的计算机可以使用该无线网接入到互联网,就像一个普通的WI-FI或者蓝牙接入点。附近攻击者还可以连接到这些移动设备为终端用户的个人使用所创建的热点,在用户不知情的情况下,他们可以对本地网络及其设备发动攻击。

  基带窃听风险

  由于智能手机包含网络和语音功能,网络可以用于危害语音功能。行动电话可以被那些危害智能手机的网络攻击者拦截。这些攻击可能利用智能手机底层硬件里的漏洞,如iPhone和Android设备所使用的硬件和固件。 诸如这些之类的攻击利用智能手机的基带处理器,颠覆它使之变成窃听器,允许入侵者通过使用内置的麦克风窃听谈话,甚至在没通话的时候。

  蓝牙窃听和模糊测试

  大多数最终用户把他们的蓝牙设备的PIN密码设置为默认的PIN密码(他们几乎总是设置为0000或1234)。即使先进的技术专家对于这一块都没有太多研究,他们可能都不知道如何更改这些代码。因此,攻击者可以轻松匹配手机或设备并使用该连接来偷窃或截取数据(或窃听电话)。此外,一种称为"模糊测试"的攻击可以通过蓝牙配对执行。模糊测试攻击利用蓝牙设备固有的软件漏洞发送无效数据从而引发异常行为,如崩溃、特权扩大和可以植入恶意软件的入侵行为。

  应用风险

  移动设备的第三方应用程序是由你不认识的人在你无法控制到的环境写的,并且你看不到他们写的过程,开发生命周期,或者对于质量的控制。几乎任何人都可以上传应用程序到应用商店。这些应用程序可能是恶意的,也可以有意或无意地"绕开"在您的组织内建立的安全策略和安全标准。

  以下分别讨论与这些应用程序相关的风险。

  木马程序

  与个人计算机一样,看似有用的应用程序可以被恶意软件感染到。他们可以是逼真的应用程序,可以直接危及到移动设备,或是包含隐藏代码的实际应用程序,可能在稍后的时间感染到电话机。早在2011年3月,一个涉及到“Droid Dream”木马的恶意软件爆发,由于该木马隐藏在很多应用程序中,其中一些应用程序是合法的、富有成效的和在授权的Android市场里可用的(现在称为谷歌应用市场)。

  隐藏恶意链接

  缩短链接或重定向链接是一种针对包括邮件链接或网页链接常用的方法,这种方法取代了用复杂的位置信息来填充屏幕的方法。这使得用户看不到最终位置,直到用户单击该链接来找到它。此外,在屏幕上显示的链接文本可能不同于嵌入到网页代码的实际链接,尤其是对电子邮件来说。 攻击者可以使用此项技术把用户引入到恶意网站。在移动设备上,在访问这些恶意网站之前去验证链接对于用户来说是非常困难的,不同于计算机上鼠标指针悬停在链接文本处就可以显示出实际的链接位置。

  网络钓鱼

  网络钓鱼在移动设备与计算机上表现出完全相同的风险。网络钓鱼使用一贯技术,发送包含恶意附件的电子邮件或网络链接,用一些假的,但是看起来逼真的信息来欺骗终端用户打开这些附件或链接。 此项技术用于窃取个人信息,如银行帐号、信用卡号码或用户名和密码。

  短信诈骗

  类似于网络钓鱼,短信诈骗使用短信引诱毫无戒备的最终用户拨打一个声音电话从而套出个人信息。这些短信包含了一个看起来真实(而且紧急)的要求,可以是因安全原因需要来要求确认详细信息或是要求确认购买、退款,或付款。

  远程设备操控

  现代汽车已经变得计算机化、网络化、相互关联的以及和智能手机可互操作的。因此,攻击智能手机使得攻击者能够远程启动、开锁、追踪或操作和受控制的智能手机连接的车辆。

  

原文发布时间为:2015年7月6日

本文作者:佚名

本文来自云栖社区合作伙伴IT168,了解相关信息可以关注IT1684

原文标题 :企业需要特别关注的11个BYOD风险



推荐阅读
  • Parallels Desktop for Mac 是一款功能强大的虚拟化软件,能够在不重启的情况下实现在同一台电脑上无缝切换和使用 Windows 和 macOS 系统中的各种应用程序。该软件不仅提供了高效稳定的性能,还支持多种高级功能,如拖放文件、共享剪贴板等,极大地提升了用户的生产力和使用体验。 ... [详细]
  • 在 Axublog 1.1.0 版本的 `c_login.php` 文件中发现了一个严重的 SQL 注入漏洞。该漏洞允许攻击者通过操纵登录请求中的参数,注入恶意 SQL 代码,从而可能获取敏感信息或对数据库进行未授权操作。建议用户尽快更新到最新版本并采取相应的安全措施以防止潜在的风险。 ... [详细]
  • CTF竞赛中文件上传技巧与安全绕过方法深入解析
    CTF竞赛中文件上传技巧与安全绕过方法深入解析 ... [详细]
  • 2018年9月21日,Destoon官方发布了安全更新,修复了一个由用户“索马里的海贼”报告的前端GETShell漏洞。该漏洞存在于20180827版本的某CMS中,攻击者可以通过构造特定的HTTP请求,利用该漏洞在服务器上执行任意代码,从而获得对系统的控制权。此次更新建议所有用户尽快升级至最新版本,以确保系统的安全性。 ... [详细]
  • 用阿里云的免费 SSL 证书让网站从 HTTP 换成 HTTPS
    HTTP协议是不加密传输数据的,也就是用户跟你的网站之间传递数据有可能在途中被截获,破解传递的真实内容,所以使用不加密的HTTP的网站是不 ... [详细]
  • 本文详细介绍了如何解决DNS服务器配置转发无法解析的问题,包括编辑主配置文件和重启域名服务的具体步骤。 ... [详细]
  • 微信小程序详解:概念、功能与优势
    微信公众平台近期向200位开发者发送了小程序的内测邀请。许多人对微信小程序的概念还不是很清楚。本文将详细介绍微信小程序的定义、功能及其独特优势。 ... [详细]
  • 本文介绍了如何利用HTTP隧道技术在受限网络环境中绕过IDS和防火墙等安全设备,实现RDP端口的暴力破解攻击。文章详细描述了部署过程、攻击实施及流量分析,旨在提升网络安全意识。 ... [详细]
  • 类加载机制是Java虚拟机运行时的重要组成部分。本文深入解析了类加载过程的第二阶段,详细阐述了从类被加载到虚拟机内存开始,直至其从内存中卸载的整个生命周期。这一过程中,类经历了加载(Loading)、验证(Verification)等多个关键步骤。通过具体的实例和代码示例,本文探讨了每个阶段的具体操作和潜在问题,帮助读者全面理解类加载机制的内部运作。 ... [详细]
  • 服务器部署中的安全策略实践与优化
    服务器部署中的安全策略实践与优化 ... [详细]
  • DedeCMS 6月7日补丁更新后版权链接问题分析与解决
    本文探讨了在安装DedeCMS官方于6月7日发布的最新安全补丁后,出现的版权链接问题。更新完成后,底部自动生成了“Power by DedeCMS”的链接,尽管配置文件中的`cfg_powerby`字段并未包含相关信息。文章详细分析了这一现象的原因,并提供了有效的解决方法,帮助用户快速恢复网站的正常显示。 ... [详细]
  • ### 优化后的摘要本学习指南旨在帮助读者全面掌握 Bootstrap 前端框架的核心知识点与实战技巧。内容涵盖基础入门、核心功能和高级应用。第一章通过一个简单的“Hello World”示例,介绍 Bootstrap 的基本用法和快速上手方法。第二章深入探讨 Bootstrap 与 JSP 集成的细节,揭示两者结合的优势和应用场景。第三章则进一步讲解 Bootstrap 的高级特性,如响应式设计和组件定制,为开发者提供全方位的技术支持。 ... [详细]
  • 在Ubuntu系统中安装Android SDK的详细步骤及解决“Failed to fetch URL https://dlssl.google.com/”错误的方法
    在Ubuntu 11.10 x64系统中安装Android SDK的详细步骤,包括配置环境变量和解决“Failed to fetch URL https://dlssl.google.com/”错误的方法。本文详细介绍了如何在该系统上顺利安装并配置Android SDK,确保开发环境的稳定性和高效性。此外,还提供了解决网络连接问题的实用技巧,帮助用户克服常见的安装障碍。 ... [详细]
  • 汽车电子架构与CAN网络基础解析——鉴源实验室专业解读 ... [详细]
  • Argus: 免费的Outlook插件,有效检测恶意邮件
    Argus: 免费的Outlook插件,有效检测恶意邮件 ... [详细]
author-avatar
titia
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有