在2014年,移动应用程序的使用占据了在移动客户端的百分之八十六的时间,增长了6%.由于用户行为的变化,安卓联盟正面临着以下主要的移动安全挑战:
在工作场所应用安装的管理和控制
保护敏感数据和关键信息,从网上欺诈和泄漏
设备所有权:用户与其他组织内的角色
专注于移动设备和应用程序的安全漏洞和风险,我们可以列出以下关键威胁:
恶意软件,即恶意软件(通常是模块化)针对特定的业务需求。例子:密码破解,加密货币银行模块,模块,插件模块,基于地理位置的发射器
新一代病毒和蠕虫瞄准物联网(物联网)功能的设备。例子:赛门铁克发现Linux。Darlloz能够攻击一个范围内的小型设备,比如家用路由器,机顶盒和网络摄像头,以及传统的个人电脑和移动设备;变色龙,一种感染Wi-Fi网络而移动通过人口稠密地区的病毒
移动设备泄露(通过越狱等)
基于网络的攻击
网络和系统滥用,即恶意加密与数据修改
资源和服务的可用性虐待,即垃圾邮件僵尸网络,短信和电话
数据丢失和完整性
不安全网络
对企业网络的后门
社会工程攻击,即网络钓鱼(例如,只有24%的受访员工说,他们“从来没有”接受来自陌生人的邀请,在社交媒体网站上,和39%承认打开电子邮件,他们怀疑可能是欺诈或包含恶意软件)
因此,有效的移动安全的关键障碍是什么?
在一个全球性的商业社会中缺乏明确的市场定义和了解(例如,只有39%的员工接受调查时,表示一年得到持续的安全意识培训或咨询超过一次)
由于缺乏对现代安全漏洞的理解,导致结果就是,企业领导层缺乏购买的目的性
传统的,而不是移动的重点,设备和网络安全的前景
以设备为中心,以用户为中心的方法
缺乏安全标准,在创新的新兴市场,如可穿戴技术和物联网
谈到移动设备和应用程序的安全性,我已经概述了以下方法:避免/减少威胁和风险:
传统的访问控制,即保护设备的密码和空闲时间屏幕锁定
应用出处,即用户决定是否他们要使用基于出版商的身份的应用程序
加密,即在这样一种方式,只有授权方可以访问它的编码数据
隔离,即应用程序的能力,在权限范围内访问敏感的数据和系统的限制
基于权限的访问控制,即授予权限,然后限制应用程序在权限范围内访问设备/系统的能力