因人施“法”降低移动设备安全风险

谈到移动设备安全，我们自己就是最大的敌人。研究人员表示，尽管很多人已经7×24小时离不开移动设备，但大多数人似乎并没有在安全上变得更聪明些。赛门铁克2014年4月份发布的一份安全威胁报告指出，2012年有44%的用户没有意识到移动设备上有安全解决方案，到2013年这个数字上升到57%。研究人员说部分原因在于缺乏这方面的教育和培训。例如，那些多年来使用功能手机的用户由于没有什么安全需求，在转向智能手机后也根本意识不到要安装安全软件。

就长期来看，安全专家认为，随着使用者在他们的手机上保存越来越多的敏感信息，针对移动设备的恶意软件会越来越多。而这些移动设备经常会接入公司的网络，从而让企业数据也处于威胁之中。

企业安全面临的另一个威胁是遗失手机数量的不断攀升。根据Consumer Reports最近的一个调查，全球在2013年有140万智能手机丢失再也不曾找到，2012年这个数字是120万。

鉴于太多种情形让设备和企业数据处于威胁之中，因此并没有一种完全的方法可以解决所有移动安全问题。

“至今并没有一个真正完美的解决方案能保证员工手中的移动设备的安全。”从事医疗服务的WellPoint公司IT副总裁Jamisson Fowler说，“因为员工可能犯各种各样的错，没有哪一种工具能给移动设备加上一把绝对安全的锁。”

不过，幸好还是有些方法可以让员工对移动安全多一份了解，同时也对设备多一份安全保护。以下提供了5个方法，分别针对5类容易置企业数据于危险之中的员工，用以帮助他们认识到移动设备面临的安全风险并采取措施防范这些风险。

对无戒心的人

有些人很容易被社会工程学或者钓鱼行为所骗，因为他们根本就没有意识到其中可能存在的陷阱。对于这些人如何让他们认识到风险，从而避免成为恶意者不断变化的伎俩的受害者?

解决办法:让他们体验钓鱼诱骗

网络黑客们一直在不断寻找计算机之外的下一个目标，移动设备就是其中之一。他们正在把在PC上已获得成功的欺骗手段复制到手机上，看是否会取得同样的成功，而大多数手机用户还没有意识到存在风险。“黑客们一直在寻找链条上最弱的一环，然后把他们昔日成功的手段应用到这一环节。”安全分析人士如此评价说。

在德国医疗设备制造商Karl Storz GmbH公司，对2200名移动设备的安全管理采取了与其内部的业务系统完全一样的策略。

“我们希望让员工们意识到钓鱼攻击的存在。”公司企业技术总监David O’Brien说。对企业内部的应用系统，该公司采用了来自PhishMe的培训课程，该课程模拟利用电子邮件和社会工程学来引诱员工。在一开始有高达70%的人会被一些最常用的钓鱼骗局所欺骗，会点击钓鱼链接，并输入账户和密码等信息，其中甚至包括一些高级的IT人员。

当然，恶意者不只是通过电脑来进行社会学工程引诱，同样还会利用移动设备来进行，他们诱骗那些使用者不经意地点击某个链接下载恶意代码，然后借助恶意代码入侵企业网络，窃取企业数据。

Karl Storz公司所进行的钓鱼测试让公司的员工认识到其中的陷阱，也让他们知道如何避免“中招”。“此类攻击可能针对所有类型移动设备，无论是iOS还是安卓或者Windows。”O’Brien说，“在我们的测试中，中招的最终用户中近20%的用户使用iOS设备，我敢肯定如果继续测试未来还会有更多移动用户中招。”

在技术型公司Raytheon这里，安全已经成为一种企业文化。这个在全球拥有6.3万名员工的公司大约1/3的员工使用公司配备的智能手机或者平板电脑。

“涉及到安全，人的因素总是最先要考虑的。”公司IT部门全球业务服务部副总裁Jon Aliber说,“我们必须让每个员工都了解钓鱼欺骗是什么样。”

Aliber介绍说，该公司使用一种社交系统和博客工具让员工了解什么是钓鱼欺骗，每年公司还会要求每位员工参加在线安全培训课程。

对刚拿到移动设备的新手

由于没有意识到其中存在的安全风险，那些第一次拿到智能手机或者平板电脑的人可能会成为安全漏洞。

解决办法：耐心，不能歧视他们

WellPoint公司给旗下的500多名医生配备了iPad，这些医生负责为居家的老人、残疾人和盲人提供医疗服务，其中大部分使用者对技术并不了解，甚至对使用iPad有一点抵触。

Fowler惊讶地发现，部分医生不好意思或者害怕告诉技术部门他们把iPad弄丢了。“有人会过一天甚至三天后才来告诉我们，他们把iPad弄丢了，或者他们现在才想起来找iPad，但找不到，他们认为是丢了。”Fowler回忆说，“有时候是真丢了，有时候则是把iPad落在家里了，我们可以通过位置定位服务来找到设备。但这段时间意味着设备和敏感信息处于高度不安全状态。”

为此，Fowler的团队提出两个解决办法。首先，降低医生们因疏忽而把iPad落在家里的可能性，IT部门为医生们配备了一个手包，可以装下iPad和他们常用的一些工作资料。同时，对医生们进行培训告诉他们一旦找不到自己的iPad就一定要及时告诉IT部门。其次，对IT部门进行培训，要求IT部门不要嘲笑他们，并要安慰医生们不要因弄丢了设备而不好意思。

“我们不会对任何丢失设备的医生进行喊叫，IT部门都知道不应该这样。”Fowler说，“当医生向iPad组报告设备丢失后，IT人员会表示很乐意为他们提供帮助，一旦发现设备真的的丢失，我们会启动安全步骤，对设备上的敏感内容进行擦除。”

为了降低设备丢失以后存在的安全风险，IT部门会对初次使用iPad的医生进行培训，告诉他们密码的重要性，并指导他们设置比较复杂的密码。“我们有一个完整的培训流程，通过在线视频进行，不仅有关于设备的使用也有密码的设置，以及密码与设备要分开放置等。” Fowler解释说，“我们还会列出一些具体的例子来说明某些不安全的行为可能带来的麻烦。”

比如，一封带有钓鱼链接的邮件可以把用户在Facebook上的行为摄录下来，或者一个假的银行邮寄让用户提交个人信息。通过这些培训让医生们意识到，如果自己的iPad开机密码和设备上安装的应用软件登录密码同样或相似，就会让病人的信息处于高度危险之中，公司也处于高度危险之中。

对神经“大条”的人

大多数人认为自己的个人信息是无价的，会紧紧守护它，但也有一些人对自己和企业的数据满不在乎。

解决办法：游戏化地不断提醒。

密西根州政府需要跟踪被政府员工使用的1.7台智能手机和平板电脑。去年，员工共丢失了256台政府配备的移动设备，包括手机、平板电脑和笔记本电脑。

“坦白地说，过去我们在安全方面的培训是很失败的。”密西根州政府首席安全官Daniel J. Lohrmann说，过去只是准备了一个PPT，让那些有关的员工来听一个小时的演讲。他很怀疑到底有多少人真正听进去了，现在他们准备彻底抛弃这一做法而重新建立一套培训方法。参加培训的人也表示，过去的办法很无趣、难以接受，也并没有教给他们什么有用的知识。

现在他们的目标是要让培训变得更简短、更具交互性、更有趣，尤为重要的是，要想方设法告诉员工他们以前所不知道的东西。为此，技术部门选择了一家培训服务商来做这件事，该服务商利用一个游戏视频来进行培训。

Lohrmann表示，他最喜欢的一部分内容是让员工能与他们在机场被盗或者丢失的手机取得联系，擦除其上的内容。这是非常重要的一部分知识，根据2012年Credant技术公司(如今被戴尔收购)的一份统计，仅仅在芝加哥、丹佛、旧金山、迈阿密、奥兰多、明尼阿波利斯、夏洛特等七大机场就捡到8016台无线设备，其中智能手机和平板占45%，笔记本电脑占43%。有一半的设备最后归还给失主，剩下的捐给了慈善组织或者被拍卖。

培训课程介绍了这些数据，然后一步步地告诉员工们如何避免这类事情的发生。最有趣的部分是，在一个在线游戏中，员工们扮演一个角色。有90秒钟的时间利用刚刚学到的知识寻找12台遗失或被盗的手机。员工控制的这个角色会在机场穿梭，要经过登机手续办理处、美食广场、行李输送带以及不同登机口之间的穿梭小火车，每使用一种工具他就会得到一个“赞”。

“没有人第一次就能完成任务，他们都会想再来一次。”Lohrmann说。

密西西比州现在正在针对所有员工开展这个培训课程，Lohrmann希望每个员工都能像他一样对这次培训能留下深刻印象。“对我而言，这次培训效果很明显，如今每次到机场我都会想到这次培训，这种培训或多或少都会改变人们的一些行为方式。”他说。

对技术达人

员工中那些对技术非常在行的用户对于企业安全而言可能是一个噩梦，特别是在他懂得如何重新配置智能手机来获得系统管理员级的操作权限时。

解决办法:要比他们更聪明

通过获得管理员操作权限，恶意软件可以在移动设备上更随意地进行操作。Gartner预计，到2017年，75%的移动安全漏洞源于应用程序的不恰当配置。

对Karl Storz公司这方面的威胁非常大。“我们是一个工程公司，员工都非常懂技术。”O’Brien 说，“从公司开始给员工配智能手机以来，我还没有看到员工们自己刷机，但是他们有这个能力。一旦他们这么做了，他们手机上的信息IT部门就无法掌控了。”

根据Gartner的研究，对移动平台最大的威胁可能就是对iOS的越狱或者安卓设备的“Rooting”。因为越狱或者“Rooting”后，用户可以直接访问之前所无权访问的资源，这会让设备处于危险境地，它让这些数据不再受应用或者操作系统所提供的“沙漏”的保护。这也很容易就让恶意软件被植入到设备上，从而为更多的恶意行为开绿灯，包括提取公司信息。这些被越狱的设备还很容易被暴力破解密码，对此最佳的防护办法就是通过MDM工具和策略来严格限制设备被破解。在此之上，通过应用程序“外壳”和“容器”来进一步保护重要的数据。

另外，IT安全负责人也需要借助网络访问控制技术，阻止那些被怀疑正在进行恶意操作的设备接入公司的业务系统。Raytheon同时还对员工进行认真培训，以确保他们了解公司对于安全使用这些设备的一些规定。

“如果放任他们为所欲为，就会把整个公司信息置于非常危险的境地。”Aliber说，这些规定还应该成为公司整体信息安全策略的一部分，它与设备管理软件来控制设备的配置、把数据保存云端而不是在手机上等共同来确保企业数据的安全。

对迷恋分享一族

社交媒体的出现给员工的沟通和交流带来很大方便，越来越多的员工习惯于在社交媒体上与朋友们分享。不过，有些员工过于迷恋社交媒体，换句话说，他们在社交媒体上分享了一些不该分享的内容。另外一个不安全的行为是，让家人和朋友使用他的设备。

解决办法：堵住安全漏洞。

随着千禧一代开始进入社会，社交媒体对与企业信息安全的威胁开始显现出来。作为善于利用社交媒体的年轻人，它们习惯于分享，这给企业带来了很多挑战。特别是那些拥有大量年轻员工的企业，它们突然发现公司很多信息被社交媒体公开，而且这种趋势才刚刚开始。

实际上，随着更多年轻一代参加工作，这一点将会更为明显，企业必须认真应对这个问题。“有太多信息已经被员工透过社交媒体发布出去了，而一旦发布出去，就不可能退回，所以必须提前预防。”位于亚特兰大的安全咨询公司C G Silvers 首席安全专家Chris Silvers表示。

那些愿意借助社交媒体分享而且常常过于随意与人分享的员工，很容易成为那些黑客们攻击的对象。这些黑客常常假装是合作伙伴或者其他熟悉的人来诱使这些员工分享其敏感信息，包括密码和公司敏感信息。

“任何时候把工作邮箱或者某个活动与社交媒体绑定，对企业数据而言都是一个潜在的威胁。”咨询和培训公司Social-Engineer首席安全专家Chris Hadnagy表示，他们发现那些在LinkIn和Facebook中使用公司邮箱的人，很容易招致黑客顺着其邮箱来追踪其发布到网上的信息，包括微信、博客以及发布到各种论坛中的帖子，通过这些内容黑客们可以轻易找到它们感兴趣的信息，包含其个人的和其工作单位的。

对于他们，培训和教育是关键。“员工需要一个好的教育和培训课程，让他们认识到，如果他的个人信息被公布在某个网站的某个地方，那么很有可能一些黑客会参考这些信息借助社交媒体或者通过邮件来欺骗你。”Hadnagy说。他建议，公司应该为员工在工作时使用社交媒体制定一些规范。如果可能，员工应该在社交媒体上分别建立工作账号和个人账户。此时，黑客仍然可以通过技术来跟踪员工，但毕竟难度要大大增加。

过度分享有时还会以一种看似无辜的方式出现。Lohrmann介绍说，有些父母亲为了取悦孩子，让孩子们在其工作用的手机或者平板电脑上玩游戏或者看视频，这会让这些设备处于威胁之中，最糟糕的是，黑客可能诱使孩子们进入恶意网站并借此获得对设备的访问权限。为了避免这种情况的出现，员工应该签订一些安全协议，禁止把公司设备给他们的朋友和家人使用。

本质上，安全问题最终都是灵活性和安全可控之间的平衡。对灵活性追求高就要牺牲一些安全性，反过来也是如此。“我们的确应该允许一定灵活性，让员工可以在他们的智能手机上做他们想做的。”Aliber说，比如下载一些App，但是为了保护企业数据的安全又不允许过多灵活性存在，于是，我们就必须把握好这个度，既能保证安全同时也能方便使用。