研究:半數(shù)應(yīng)用開(kāi)發(fā)商在安全方面開(kāi)銷(xiāo)為零

2015/03/26 23:03     

上周Ponemon Institute發(fā)布了一個(gè)最新的研究報(bào)告,他們對(duì)超過(guò)400家大型組織在開(kāi)發(fā)移動(dòng)應(yīng)用時(shí)的安全工作進(jìn)行了調(diào)查,其中包括了一些我們非常信任的企業(yè),例如財(cái)富500強(qiáng)中的一些銀行業(yè)、零售業(yè)、健康行業(yè)和事業(yè)單位。

調(diào)查的結(jié)果讓人深感憂(yōu)慮。40%的企業(yè)在將企業(yè)應(yīng)用送到員工手中之前,不會(huì)對(duì)應(yīng)用安全進(jìn)行檢查和掃描,從而導(dǎo)致企業(yè)的數(shù)據(jù)有被盜取的可能。另外還有33%的企業(yè)從來(lái)不對(duì)自己所使用的應(yīng)用進(jìn)行檢查。

更讓人震驚的是,有50%的企業(yè)在移動(dòng)應(yīng)用安全方面的花銷(xiāo)居然為零。要知道,這些應(yīng)用的用戶(hù)經(jīng)常會(huì)將自己的個(gè)人或是企業(yè)敏感數(shù)據(jù)上傳到應(yīng)用服務(wù)器中。

而且一些企業(yè)自己也沒(méi)有做好自我保護(hù)工作。員工在自己的設(shè)備上大量使用脆弱的企業(yè)應(yīng)用,而同時(shí)他們還會(huì)下載個(gè)人應(yīng)用,這也加大了企業(yè)數(shù)據(jù)被入侵的危險(xiǎn)性。Ponemon的調(diào)查發(fā)現(xiàn),大約有67%的企業(yè)允許員工在工作設(shè)備上下載未經(jīng)驗(yàn)證的個(gè)人應(yīng)用。員工還可以使用這些設(shè)備訪(fǎng)問(wèn)企業(yè)的各種關(guān)鍵數(shù)據(jù)。

這種安全方面的疏忽,給黑客們提供了一個(gè)溫床,讓他們可以透過(guò)員工的移動(dòng)設(shè)備來(lái)獲取企業(yè)數(shù)據(jù),尤其是那些提取了Root權(quán)限的安卓設(shè)備以及經(jīng)過(guò)越獄的iOS設(shè)備。黑客可以通過(guò)這些設(shè)備輕松盜取敏感文件、個(gè)人數(shù)據(jù),甚至可以遠(yuǎn)程打開(kāi)設(shè)備的攝像頭和麥克風(fēng),從而監(jiān)聽(tīng)企業(yè)的重要會(huì)議。

許多安全產(chǎn)品提供商,例如Citrix、Arxan、Appthority和IBM都相繼推出了相應(yīng)的解決方案,試圖掃滅移動(dòng)設(shè)備上的惡意軟件。但是這個(gè)問(wèn)題依舊沒(méi)有徹底解決,企業(yè)究竟要如何開(kāi)始對(duì)移動(dòng)設(shè)備的安全進(jìn)行投資呢?

在去年一年中,共有超過(guò)1160萬(wàn)部移動(dòng)設(shè)備被惡意軟件所感染。而由于數(shù)據(jù)被盜給企業(yè)所帶來(lái)的傷害,據(jù)統(tǒng)計(jì)超過(guò)了1100萬(wàn)美元,這其中還并未包括未來(lái)的客戶(hù)流失所造成的進(jìn)一步損失。

2014年,Ponemon Institute的另一份報(bào)告指出,數(shù)據(jù)入侵共計(jì)會(huì)給企業(yè)造成500萬(wàn)美元的損失。這些損失也在督促著企業(yè)開(kāi)始對(duì)計(jì)算機(jī)、服務(wù)器和傳統(tǒng)IT的安全性進(jìn)行大規(guī)模投資。然而根據(jù)今年的報(bào)告來(lái)看,企業(yè)們卻忽視了移動(dòng)設(shè)備的安全。也許造成這一現(xiàn)象的原因,是由于我們還沒(méi)有經(jīng)歷過(guò)嚴(yán)重的移動(dòng)設(shè)備數(shù)據(jù)被盜事件。然而,隨著移動(dòng)設(shè)備數(shù)量的增多,以及移動(dòng)數(shù)據(jù)的不斷膨脹,黑客很可能在短期內(nèi)將目光盯向移動(dòng)設(shè)備。如果那一天真的來(lái)臨,移動(dòng)設(shè)備數(shù)據(jù)侵入將會(huì)給企業(yè)帶來(lái)巨大的財(cái)政損失以及品牌聲譽(yù)方面的損失。與其被迫采取行動(dòng),為什么不能防患于未然呢?

本文作者Subbu Sthanu 是IBM公司移動(dòng)安全和應(yīng)用安全部門(mén)總監(jiān)。在加入IBM之前,Subbu曾先后供職多家著名安全軟件供應(yīng)商,例如Novell、NetIQ、Trustwave和BeyondTrust等。

(via VB,譯|快鯉魚(yú),轉(zhuǎn)載請(qǐng)注明出處)

相關(guān)閱讀