威胁管理平台是移动设备安全发展道路上的下一步

由于针对移动设备发动的攻击变得更加狡猾，许多企业不再一味依赖标准的设备管理平台来获得安全，而是将传统的企业移动管理(EMM)和移动设备管理(MDM)系统与移动应用程序管理(MAM)系统结合起来，打造一种全方位的威胁管理平台。

几周前，我采访了Lacoon移动安全公司的首席执行官兼联合创始人Michael Shaulov，这家专注于移动安全的初创企业最近已被知名厂商Check Point收购。Lacoon致力于为基于iOS和安卓的移动设备确保网络安全。该公司的研发团队在以色列，而公司办公室却设在加利福尼亚州旧金山。产品是一款威胁管理平台，能够检测针对安卓和iOS的不同类型的恶意软件、网络攻击和网络威胁。

Shaulov及其团队与军方、情报界(IC)和政府执法部门有过合作。Lacoon的创始人发现用于拦截和监控移动设备的更先进的技术落到网络犯罪分子的手里后，觉得需要提供一种致力于对付移动威胁的全方位威胁管理平台。

他主张移动团队和安全团队需要携起手来，用安全解决方案来增强MDM解决方案，从而保护企业的移动设备远离持续性威胁。

了解层出不穷的移动安全威胁

我跟Shaulov聊起了层出不穷的移动安全威胁，这些威胁似乎一直在登上报章头条。他回复道，这些威胁不是什么新的威胁;这些威胁其实已经存在了十多年。

Shaulov说：“可以说，移动安全威胁就跟网络安全界的几乎任何问题一样。”他以肆虐了十多年的桌面恶意软件为例，直到RSA泄密事件才让众多企业组织相信：自己同样有可能遭到危及。

Shaulov向我保证：他绝不会过分夸大当前的移动设备安全形势。他告诉我，正是由于缺少安全意识，才进一步导致了移动设备沦为新的攻击途径;由于自带设备(BYOD)战略和移动优先战略，众多移动设备迅速成为了员工的首要设备。

对攻击缺乏了解也是个问题。据Shaulov声称，除非一家企业使用威胁管理解决方案，否则它们可能不知道其网络上有没有已遭到危及的移动设备。

攻陷MDM

即便在如今的移动企业，也在某种程度上存在着MDM/EMM舒适区(comfort zone)。我询问Shaulov攻击者如何可以攻陷MDM平台。

Shaulov说：“最简单的办法就是，对用户实行网络钓鱼攻击，说服用户将某个应用程序(实为恶意软件)安装到设备上。有更高级的手法，但这是最简单的手法。”

他继续说：“然后，你就可以利用在网上随处可见的不同漏洞，突破安卓或iOS操作系统的内置安全机制。”一旦黑客突破了操作系统的安全防线，攻击者就能进而攻入MDM，不管部署了什么加密、安全容器或其他安全措施。

Shaulov说：“一旦你从管理员层面控制了操作系统，其实并不在乎那些安全措施，”Shaulov提醒道：你其实可以将一切记入日志，清除内存，并且抓取移动设备的屏幕内容。他告诉我，这些手法将MDM置于险境。

加强MDM

Shaulov一再向我保证：“我并不认为EMM已完蛋。到头来，它们解决的问题是在管理层面，提供数据访问权。”

他坚持认为，MDM提供商并不是安全供应商，它们也没有安全供应商的基因。他认为移动安全具有下列两层：

•管理层(MDM、EMM和MAM)

•管理层上面的网络安全层

他认识到，每家供应商运用稍有不同的方法来解决这个问题，但供应商们主要着眼于三个方面：

•任何企业用户下载到BYOD或企业设备的应用程序并不都是恶意软件。

•网络安全，如果员工将设备连接到不安全的无线网络，比如星巴克、酒店或机场的无线网络，就需要一种解决方案来确保网络并没有遭到危及，并没有成为拦截加密/未加密的通信内容的攻击途径。

•设备操作系统，正如Shaulov指出，设备层面的攻击是iOS中最主要的攻击，因为许多攻击表现为配置滥用(破解)而不是应用程序滥用。

他表示，并不依赖病毒特征的解决方案具有优势。Shaulov建议不要一味指望传统的反病毒供应商(包括迈克菲、赛门铁克和AVG)。他表示，病毒特征方法的功效非常有限，无力发觉任何独特的恶意软件或直接针对企业的恶意软件。

Shaulov补充说：“这种方法对消费者来说很好，但不是企业用户所寻求或者会满意的。”

他还建议，增强MDM平台的安全解决方案应该采用基于行为或启发式的检测技术。有人访问你网络上的资源时，这些技术能够发现常见用户行为方面的偏差。

据Shaulov认为，这又回到了EMM和整合这方面。他强调了可见性、检测企业环境中威胁的重要性。除此之外，Shaulov还补充：“消除威胁，确保设备不再受到威及，你需要及时地开展这方面的工作，又不浪费太多的资源。”

Shaulov给我举了一个例子，表明威胁管理平台如何与AirWatch或另一种EMM平台整合起来。一企业用户在通过与Lacoon或一种类似的威胁管理解决方案整合起来的AirWatch，访问电子邮件及其他企业应用程序。威胁管理平台检测到企业用户设备上的恶意软件后，该平台告诉AirWatch控制台：设备受到了威及，并指示控制台关闭设备访问企业电子邮件的通道，防止设备访问Salesforce或其他关键的企业资源。

结束语

我们已经看到EMM和MAM在市场上相互融合。与Michael Shaulov的一番交谈促使本人认为：网络安全和移动安全应该相互融合。基于久经考验的网络安全技术和方法的威胁管理平台似乎就是移动安全发展道路上很自然的下一步。