钓鱼Wi-Fi、恶意插件泛滥,你的移动业务还安全吗
不久前,一年一度的315晚会上曝光出诸多和企业移动业务相关的安全事件,深信服先带大家回顾一下这些要警惕的安全威胁:
· 吸话费的恶意程序明码出售
央视315晚会上曝光的恶意扣费软件广受关注,包括“抢票快手”、“疯狂的小鸟”等许多热门APP都中招了。此前,国家互联网应急中心发现了大量手机用户被莫名扣费的现象,经过技术人员分析,这是因为用户点击了手机上出现的包含恶意扣费程序的广告弹窗。目前,利用正规软件中内置的插件进行推广已经成为恶意程序非法吸金的重要手段,而且这些恶意程序已经开始明码出售,愈加泛滥。
· 公共免费Wi-Fi瞬间盗取你的一切隐私
315晚会现场做了一个实验,让现场观众连上无线网络,然后打开使用一下自己常用的消费类软件,比如打车、订餐、购物等APP。与此同时,现场的大屏幕显示出了参与实验的观众的地址、姓名、身份证号、银行卡号等个人信息。相信很多人看到后都心惊胆战,连接不安全的公共免费Wi-Fi竟会如此轻易地泄露个人隐私。
看了这两个安全事件之后,深信服开始思索它们对企业移动业务安全所带来的影响。
· 为了非法谋利,不法分子可能会在企业办公APP中植入恶意广告链接,甚至可能对企业APP进行反编译然后上传到网上,进而窃取企业的业务机密。那么,企业的移动办公业务系统能否抵御这种安全威胁?
· 为方便办公,员工有时会在公共免费Wi-Fi下使用移动办公APP,业务数据在网络中明文传输,但如果不小心遇到钓鱼Wi-Fi,就极有可能会存在数据泄密风险,企业又该如何规避?
这些安全威胁,其实对信服君来说都是小case,我们的安全团队早就给出了应对之策:
自建应用商店
通过自建应用商店,员工或用户在下载企业APP时会由统一的入口进行下载,而非鱼龙混杂的各大应用商店平台,保证所有用户使用的移动办公APP都是官方的安全应用。
业务加密传输
当用户连接了非法WI-FI时,业务数据很容易被黑客截获。但如果被截获的是加密数据,黑客将无法破解,那么企业业务数据和用户个人信息依然是安全的。所以,建议企业部署自主可控的VPN设备,对APP传输和存储过程中业务数据进行加密处理,所有APP业务数据都通过VPN加密隧道传输。经过VPN加密后,APP安全性大大提高,用户即使在公共免费Wi-Fi下也可以放心使用企业APP办公。
多因素身份认证
对于企业的核心业务系统,如果只采用密码认证,一旦用户密码被盗或泄露,攻击者轻易就能获取企业的核心机密。因此,建议企业对核心业务做多因素身份认证,如密码认证、硬件特征码、短信验证码等相结合的认证方式,加固核心业务的身份校验,降低身份被冒用的风险。