尽管从目前的已知情况来看,移动领域中所面临的实际威胁依然算不上“重大犯罪”的程度,但由于支持近场通信技术(NFC)的下一代手机呈现迅速普及的态势,这就意味着更多种类的电子商务与金融类应用将出现,从而可能吸引到更多“职业”网络犯罪分子对于该领域的关注。
因此,按照安全供应商的观点,现在已经没有时间让消费者与技术部门继续使用头痛医头脚痛医脚零敲碎打的传统方式来保障移动设备的安全了。实际上,他们正呼吁马上建立起一个覆盖范围全面的统一安全体系,涉及的部分包括了企业网络与设备以及下载到设备上需要获得有效管理的各种各样应用程序。
趋势科技亚太区企业安全总监肯·卢声称,各大应用市场中都已经出现过可能会故意盗窃用户信息、劫持帐户以及发送高价短信的恶意移动工具。当然,仅仅依靠这一点并不能说明安全供应商认为目前已经达到了"重大犯罪"的程度。
并且,他还进一步指出,具体到对电子商务或金融类应用的关注,目前还没有发现“采取协调一致的真正努力”出现的迹象。
按照卢的分析,在不久的将来,安全局势就很可能会出现急转直下的改变。由于支持NFC的下一代手机即将全面普及,这必然会导致大部分消费市场都会选择更多地支持电子商务与金融类应用。
这位总监声称:“按照我们的预测,一旦网络犯罪分子认识到这些技术可以被用来在资金盗窃方面获取更多的好处,由“职业”网络犯罪分子造就涉及范围更广危害更严重的危急局面就将会出现”。
仅仅依靠防病毒工具来进行防范是远远不够的
因此,卢敦促系统管理员对于购买现成解决方案的决策进行重新审视。由于这些工具并没有考虑到企业网络的实际需求以及具体配置情况,所以可能无法对潮水般涌入的移动设备实施有效管理。
此外,他还指出某些移动设备管理(MDM)软件在安全功能方面存在缺陷,并没有包含防病毒或者基于声誉的网页和文件保护等必备选项。而与此同时,其它安全工具则缺乏远程擦除之类必须的数据远程管理功能。
对于这种观点,赛门铁克新加坡负责系统工程的高级经理罗尼·吴也表示了支持。他指出,即便是在IT技术消费化加上自带设备(BYOD)已经如此明显的趋势之下,很多安全供应商依然还在坚持推广无法有效应对当前风险的单端点产品。
吴指出:“在移动世界中,最关键的问题就是安全供应商必须可以对设备进行加密,对用户进行认证,确保设备中的数据不会被泄露出去,并且能够对设备中保存的数据进行有效管理”。
他指出,赛门铁克之所以在今年3月份的时间决定收购Nukona公司,就是为了获得移动应用管理(MAM)方面的能力。对于技术人员来说,这项技术将可以在针对跨越公司与个人设备的内部数据以及应用进行全面到位的保护与隔离处理时提供有力帮助。
卢也指出,移动安全工具不应当将工作重点仅仅放在设备管理之上,对于应用软件管理领域也需要给予足够的关注。他进一步解释说,这意味着用户在决定将应用下载到设备上之前需要先进行扫描;此外,应用程序市场的现有环境也应当进行规范,确保已知恶意免费应用都被标注出来。
坚持使用基于手机的数据安全策略
在移动支付安全领域,当前所面临的另一项重大问题是针对用来进行手机支付以及支付卡数据存储的PIN码所进行的黑客攻击。
按照金雅拓负责电信业务的副总裁迈克尔·欧的建议,为了确保移动支付业务在安全方面不出现问题,供应商应该选择通用集成电路卡(UICC)——在大多数移动设备上运行SIM应用——来作为为必备的安全保障机制。
他指出,UICC包含了与智能卡类似的硬件以及软件,可以提供金融级别的安全保障。欧相信,只要供应商选择UICC作为安全保障机制,目前平台已经有的保障措施就可以为移动设备内的财务信息提供足够的安全保护,从而保证用户在进行移动交易以及移动支付拥有充分的信心。
前段时间,弗若斯特沙利文公司亚太区研究总监贾菲斯维逖·伊夏哈克就曾经说过:智能卡之所以会是非常安全,就是因为内部配备有三重数据加密系统(DES),并且,利用多芯片单元(MCU)制作而成的卡被认为属于具有高度安全性与智能化的类型。
