據 Gartner 指由於現時企業手機用戶在 app store 及網絡上下載的 app 均未有完善的保安選項,而企業職員不時都會以來自各界的應用程式以存取與業務相關的數據,因此吸引到不少黑客的目光。基於 apps 中大多形同虛設的保安程序,因此估計至 2015,市面上多達 75% 的 apps 將被輕易破解。
內外策略發展需雙管齊下
據 Gartner 的分析人員指,不少企業現時均傾向流動裝置與讓員工自行選擇裝置的 BYOD 作為管理策略,而隨之而來的是莫大的風險,因此分析人員強調企業必須留神當中的問題與尋求專業的保安協助。他續指,現時大部份有開發自家應用軟件的企業均要求開發人員兼職保安專家,而因為開發人員往往大多着重於程式的功能開發,而非其保安性,因此企業事實上正暴露於風險之中。
Gartner 的首席研究員 Dionisio Zumerle 指,雖然現時不少企業都會將其應用以靜態應用程式安全檢測 (Static Application Security Testing,SAST) 與動態應用程式安全檢測 (Dynamic Application Security Testing,DAST) 測試,但即使兩項測試標準已被沿用有 6 至 8 年,發屆成熟。但由於流動裝置為一個全新領域,因此上述技術面對新興風潮仍有不少的缺陷。因此不少企業都會以行為分析 (behavior analysis) 作為其補足的部分,但手提裝置領域上的保安策略依然有待發展與完善化。
他續指,現時有多達 90% 以上的企業容許在 BYOD 的政策下使用第三方的商業軟件,雖然可以在 app stores 上出現已代表並無太大的資安問題,但企業不應忽略定其檢視所周軟件的安全性,因為一個音樂播放器都可以在藏有惡意程式碼的情況下成功上架,而此類軟件的安全性往往最容易被忽略。
Gartner 估計大多數的點對點攻擊將會轉至智能手機與平板上,因為現時的攻擊比例已大幅改變為一部電腦:三部隨身裝置。有見現時脆弱的流動裝置保安系統,Gartner 建議企業應加強各種流動裝置的保安,提供可行與有效的方案。
Gartner 亦指,雖然現時的風險來自外部攻擊,但他們推斷至 2017 年為止,企業資料的流出將由於裝置的錯誤設置所致。例如在 BYOD 的情況下,員工因將個人帳戶與公司的企業資料誤連,導致企業的敏感資料洩漏。因此在推行 BYOD 等以流動裝置為主的策略時,企業除應妥善管理其保安以抗外部攻擊的同時,亦需要為公司員工提供適當的培訓,避免企業資料「不打自招」。
Source:Gartner
