随着技术的发展,个人和公司的设备、数据和隐私所面临的威胁也在发生变化。在本文中,我们将仔细研究当今移动设备安全面临的主要威胁,并共同探讨不久的将来的前景。
但首先让我们从基础开始:如何对移动设备发起攻击?
移动安全威胁是指旨在破坏或窃取智能手机和平板电脑等移动设备数据的攻击。这些威胁使恶意个人可以未经授权访问设备;在许多情况下,用户甚至不知道自己是攻击的受害者。
移动安全威胁的类型
针对移动设备的攻击有多种形式和规模,但最常见的攻击分为以下四类:
- 基于应用程序的威胁:应用程序通常是移动设备漏洞的根源。当用户下载恶意应用程序或在未验证其信任和安全性的情况下授予应用程序访问设备数据的权限时,可能会发生此类攻击。
- 基于 Web 的威胁:基于 Web 的攻击通常通过网络钓鱼来完成。攻击者会通过 Whatsapp 或 Telegram 等应用程序发送电子邮件、短信或任何其他消息,这些消息看似来自受信任的来源,但该消息包含恶意链接或附件。
- 网络威胁:当恶意者以不安全的公共 Wi-Fi 网络或免费网络为目标时,就会发生这种针对移动设备的攻击。在某些情况下,黑客甚至可能创建虚假的 Wi-Fi 网络(称为网络欺骗)以试图欺骗用户。
- 物理威胁:设备丢失、被盗或保管不当会使用户面临各种安全问题。如果您不使用强密码、PIN 或生物识别,或者使用未加密的应用程序和服务,您的手机很容易被黑客入侵。物理威胁还包括公共充电中心的物理连接,例如您可以在购物中心或机场找到的充电中心。这种类型的攻击被称为“果汁劫持”,是通过修改充电点、隐藏设备来调试连接到充电点的设备或进行修改以使充电点释放超出必要的电能来实施的,从而损坏设备。
移动设备的 4 种典型风险及其预防方法
迟早必须与能够使用上述任何类型威胁的恶意行为者打交道是事实,但真正重要的是我们的日常行为和移动活动;如果我们不养成健康的小习惯,我们就可以让他们更容易成功地访问我们的设备和数据。
- 下载恶意应用程序并授予过多权限:从官方应用程序商店(主要是 Apple App Store 和 Google Play)以外的来源下载的应用程序可能已过时、存在缺陷,或者更糟糕的是,被故意修改。
- 连接到不安全的 WiFi 网络:公共场所的免费 WiFi 网络很方便,但其中许多网络不安全,这意味着攻击者可以轻松访问用户的设备并危害其数据。
- 成为社会工程攻击的目标:随着远程工作的兴起,网络钓鱼和“诈骗”等攻击在移动和桌面设备上越来越普遍。
- 养成不良的计算机习惯:对于人们来说,拥有健康的计算机习惯比以往任何时候都更加重要,但许多人继续使用弱密码、在帐户之间重复使用凭据,以及在不加密的情况下与朋友和同事共享数据。
公司应养成健康的网络习惯
IT 和安全团队可以做什么
只有 13% 的组织具备四项基本保护:数据加密、SSO、非默认密码和定期安全测试。此外,近 50% 的组织缺乏基本的设备使用策略,这对于应对移动数据安全威胁至关重要,并为员工跨设备和网络的行为设定标准。(数据:Verizon,2022 年)
公司人员可以做什么
员工和承包商还可以通过确保他们了解常见威胁来防止移动安全攻击。他们不仅应该知道自己是什么,还应该能够识别企图攻击的迹象。
除了遵循组织制定的策略之外,员工还可以通过在所有设备上实施强密码实践并启用更强大的身份验证工具(例如 MFA 和生物识别)来将安全性掌握在自己手中。他们还可以确保家庭网络安全,并避免在远程工作时使用免费 WiFi 网络。
新出现的威胁:展望 2030 年
ENISA 识别并分类了到 2030 年将出现的 10 种主要网络安全威胁。
该欧洲小组的工作发现了从 360 度角度观察网络安全世界的最大危险,这意味着未来检测到的威胁是确定的或移动设备分支的潜力。
十大新兴网络安全威胁是什么?
- 软件依赖性供应链妥协
- 高级虚假信息活动
- 数字监控的增长/隐私的丧失/独裁主义
- 网络物理生态系统中的人为错误和被利用的遗留系统
- 由智能设备数据支持的有针对性的攻击
- 缺乏对基础设施和对象的分析和控制
- 高级混合威胁的增长
- 技能短缺
- 跨境ICT服务提供商作为单点漏洞
- 滥用人工智能
ENISA 列表表明,已识别和分类的威胁极其多样化,并且仍然包括迄今为止最相关的威胁。
从本质上讲,今天的威胁不会消失,而是会演变或改变目标。
因此,必须认识到可能使我们的设备和数据的安全和隐私面临风险的新威胁。只有通过积极主动的方法保护移动设备安全,我们才能避免最常见的威胁,并能够更加安心地过上数字化的私人和工作生活。