上周Ponemon Institute發(fā)布了一個最新的研究報告,他們對超過400家大型組織在開發(fā)移動應用時的安全工作進行了調查,其中包括了一些我們非常信任的企業(yè),例如財富500強中的一些銀行業(yè)、零售業(yè)、健康行業(yè)和事業(yè)單位。
調查的結果讓人深感憂慮。40%的企業(yè)在將企業(yè)應用送到員工手中之前,不會對應用安全進行檢查和掃描,從而導致企業(yè)的數據有被盜取的可能。另外還有33%的企業(yè)從來不對自己所使用的應用進行檢查。
更讓人震驚的是,有50%的企業(yè)在移動應用安全方面的花銷居然為零。要知道,這些應用的用戶經常會將自己的個人或是企業(yè)敏感數據上傳到應用服務器中。
而且一些企業(yè)自己也沒有做好自我保護工作。員工在自己的設備上大量使用脆弱的企業(yè)應用,而同時他們還會下載個人應用,這也加大了企業(yè)數據被入侵的危險性。Ponemon的調查發(fā)現,大約有67%的企業(yè)允許員工在工作設備上下載未經驗證的個人應用。員工還可以使用這些設備訪問企業(yè)的各種關鍵數據。
這種安全方面的疏忽,給黑客們提供了一個溫床,讓他們可以透過員工的移動設備來獲取企業(yè)數據,尤其是那些提取了Root權限的安卓設備以及經過越獄的iOS設備。黑客可以通過這些設備輕松盜取敏感文件、個人數據,甚至可以遠程打開設備的攝像頭和麥克風,從而監(jiān)聽企業(yè)的重要會議。
許多安全產品提供商,例如Citrix、Arxan、Appthority和IBM都相繼推出了相應的解決方案,試圖掃滅移動設備上的惡意軟件。但是這個問題依舊沒有徹底解決,企業(yè)究竟要如何開始對移動設備的安全進行投資呢?
在去年一年中,共有超過1160萬部移動設備被惡意軟件所感染。而由于數據被盜給企業(yè)所帶來的傷害,據統(tǒng)計超過了1100萬美元,這其中還并未包括未來的客戶流失所造成的進一步損失。
2014年,Ponemon Institute的另一份報告指出,數據入侵共計會給企業(yè)造成500萬美元的損失。這些損失也在督促著企業(yè)開始對計算機、服務器和傳統(tǒng)IT的安全性進行大規(guī)模投資。然而根據今年的報告來看,企業(yè)們卻忽視了移動設備的安全。也許造成這一現象的原因,是由于我們還沒有經歷過嚴重的移動設備數據被盜事件。然而,隨著移動設備數量的增多,以及移動數據的不斷膨脹,黑客很可能在短期內將目光盯向移動設備。如果那一天真的來臨,移動設備數據侵入將會給企業(yè)帶來巨大的財政損失以及品牌聲譽方面的損失。與其被迫采取行動,為什么不能防患于未然呢?
本文作者Subbu Sthanu 是IBM公司移動安全和應用安全部門總監(jiān)。在加入IBM之前,Subbu曾先后供職多家著名安全軟件供應商,例如Novell、NetIQ、Trustwave和BeyondTrust等。
(via VB,譯|快鯉魚,轉載請注明出處)
相關閱讀