移動(dòng)設(shè)備已成為我們?nèi)粘９ぷ骱图彝ド钪胁豢苫蛉钡墓ぞ?#xff0c;然而，對(duì)于它們安全性的關(guān)注和投資仍然遠(yuǎn)遠(yuǎn)不夠。本文深入分析了移動(dòng)設(shè)備安全的發(fā)展軌跡、目前面臨的威脅態(tài)勢(shì)，以及業(yè)界對(duì)于這些安全漏洞響應(yīng)遲緩的深層原因。文中還探討了人們?cè)谛睦韺用婧徒M織結(jié)構(gòu)上難以采取有效措施提升移動(dòng)設(shè)備安全的原因，并提出了優(yōu)先保護(hù)我們個(gè)性化的技術(shù)的解決方案。

圖1 移動(dòng)設(shè)備安全市場(chǎng)圖

目錄

• 文章摘要

• 智能手機(jī)：必不可少、不可或缺但易受攻擊 ...

• 什么是 "移動(dòng)設(shè)備"？

• 移動(dòng)設(shè)備威脅格局

• 鎖定移動(dòng)設(shè)備安全市場(chǎng)

• 了解移動(dòng)設(shè)備安全方面的差距

  • 過(guò)時(shí)的移動(dòng)設(shè)備安全觀念

  • 營(yíng)銷(xiāo)對(duì)安全認(rèn)知的影響

  • 克服個(gè)人對(duì)移動(dòng)安全的抵觸情緒

  • 移動(dòng)設(shè)備安全解決方案的脫節(jié)

  • 移動(dòng)安全中的集體行動(dòng)問(wèn)題

  • 企業(yè)對(duì)移動(dòng)設(shè)備安全的立場(chǎng)

• 動(dòng)員移動(dòng)設(shè)備安全的未來(lái)

文章摘要

以下是文章的摘要：

• 智能手機(jī)在個(gè)人和職業(yè)生活中扮演著關(guān)鍵角色，但它們的安全性常常不足。

• 移動(dòng)威脅的演變速度正在迅速超越我們現(xiàn)有的安全措施。

• 陳舊的觀念、生理上的障礙以及市場(chǎng)營(yíng)銷(xiāo)策略共同影響了人們對(duì)移動(dòng)設(shè)備安全性的認(rèn)知。

• 企業(yè)在責(zé)任界定上的模糊性增加了實(shí)施移動(dòng)安全措施的難度，使得本就問(wèn)題重重的領(lǐng)域出現(xiàn)了更多的安全漏洞。

• 當(dāng)前迫切需要采取集體行動(dòng)、建立行業(yè)標(biāo)準(zhǔn)、增加投資以及推動(dòng)創(chuàng)新。

• 移動(dòng)安全行業(yè)正站在一個(gè)轉(zhuǎn)折點(diǎn)上，迫切需要進(jìn)行功能上的大幅變革，正如十年前桌面安全行業(yè)所經(jīng)歷的那樣。

智能手機(jī)：必不可少、不可或缺但易受攻擊

智能手機(jī)—我們幾乎無(wú)法與之分離。它們幾乎成了我們身體的延伸，不是嗎？對(duì)于世界上大多數(shù)人來(lái)說(shuō)，智能手機(jī)是他們溝通、獲取新聞、使用社交媒體、查看天氣預(yù)報(bào)、在線訂購(gòu)食品雜貨、進(jìn)行銀行業(yè)務(wù)（甚至還有人熱衷于追逐那些漲跌不定的迷因股票）的工具。很可能，你正是通過(guò)智能手機(jī)來(lái)閱讀這篇文章的。

手機(jī)不僅僅是個(gè)人生活中的必備品。在過(guò)去的15年多時(shí)間里，它們也已成為職場(chǎng)中不可或缺的助手。你的手機(jī)可以用來(lái)查閱工作郵件、作為進(jìn)入辦公樓的掃碼通行證、接收一次性密碼（OTP）進(jìn)行多因素身份驗(yàn)證（MFA）（盡管許多行業(yè)正在逐漸采用FIDO2技術(shù)取代OTP）以及運(yùn)行與工作相關(guān)的應(yīng)用程序。

對(duì)許多人而言，智能手機(jī)已經(jīng)不只是一個(gè)方便的工具，而是變成了一個(gè)“絕對(duì)必需”的存在。但問(wèn)題來(lái)了，它們真的安全嗎？

每年網(wǎng)絡(luò)安全行業(yè)都會(huì)獲得高達(dá)數(shù)千億美元的投資，但對(duì)移動(dòng)設(shè)備安全的關(guān)注度卻相對(duì)較低。這引發(fā)了一個(gè)值得深思的問(wèn)題：為什么這項(xiàng)對(duì)大多數(shù)人和企業(yè)來(lái)說(shuō)都至關(guān)重要的技術(shù)，在安全防護(hù)方面卻沒(méi)有得到與其他領(lǐng)域相匹配的支持、資金和熱情？

這是我一直在反復(fù)思考的一個(gè)關(guān)鍵問(wèn)題。在本文中，我嘗試分析過(guò)去十年移動(dòng)設(shè)備安全的演進(jìn)和變革，并探究保護(hù)這項(xiàng)關(guān)鍵技術(shù)安全所面臨的挑戰(zhàn)。

但在此之前，讓我們先來(lái)探討一下移動(dòng)設(shè)備本身是什么。

什么是 "移動(dòng)設(shè)備"？

曾經(jīng)，在一個(gè)并不遙遠(yuǎn)的時(shí)代，“移動(dòng)設(shè)備”一詞涵蓋了除臺(tái)式機(jī)或服務(wù)器之外的所有設(shè)備類型。這通常指的是某種形式的便攜式計(jì)算機(jī)，最典型的代表就是筆記本電腦。

圖2 第一款面向消費(fèi)者市場(chǎng)的筆記本電腦

Osborne 1，作為第一款面向消費(fèi)者市場(chǎng)的筆記本電腦，重量達(dá)到了24.5磅（約11.1公斤），在1981年4月開(kāi)始銷(xiāo)售。而蘋(píng)果公司的第一款便攜式電腦Mac PowerBook則稍晚，直到1989年才面市。

到了1995年，全球筆記本電腦的銷(xiāo)量首次突破了1000萬(wàn)臺(tái)的大關(guān)。五年后的2000年，這一數(shù)字更是飆升至2850萬(wàn)臺(tái)。隨著時(shí)間進(jìn)入21世紀(jì)，筆記本電腦的銷(xiāo)售額開(kāi)始超過(guò)臺(tái)式機(jī)，逐漸成為新的標(biāo)準(zhǔn)，使得“移動(dòng)”這一概念在描述計(jì)算設(shè)備時(shí)變得不那么突出。

就在這個(gè)時(shí)期，移動(dòng)電話也開(kāi)始引起人們的注意。BlackBerry在1999年推出了他們的手機(jī)，很快因?yàn)槠涓甙踩珮?biāo)準(zhǔn)而聲名鵲起。全球的大型企業(yè)和政府機(jī)構(gòu)紛紛采用BlackBerry手機(jī)，對(duì)其安全性贊不絕口，難以割舍。

然而，2007年1月，蘋(píng)果公司推出了iPhone，這款我們今天所熟知的智能手機(jī)徹底改變了我們對(duì)手機(jī)和移動(dòng)計(jì)算的認(rèn)識(shí)。iPhone的問(wèn)世，標(biāo)志著一個(gè)全新的時(shí)代的開(kāi)啟，它改變了一切。

圖3 喬布斯揭幕首款 iPhone 的圖片

2008年10月，標(biāo)志著一個(gè)新時(shí)代的開(kāi)始——安卓手機(jī)首次公開(kāi)發(fā)布，它再次顛覆了我們對(duì)移動(dòng)設(shè)備的認(rèn)知。

隨著iOS和Android這兩個(gè)平臺(tái)的推出，"移動(dòng)設(shè)備"這一概念在我們心中的意義發(fā)生了永久性的轉(zhuǎn)變。這種轉(zhuǎn)變促使我們重新審視并思考如何確保移動(dòng)設(shè)備的安全性。

從早期笨重的筆記本電腦到如今時(shí)尚輕薄的智能手機(jī)，移動(dòng)設(shè)備的演進(jìn)不僅在形態(tài)上發(fā)生了巨大變化，同時(shí)也帶來(lái)了安全挑戰(zhàn)的演變。每一代設(shè)備的更新，都伴隨著新的安全問(wèn)題和防護(hù)需求，要求我們不斷更新安全策略和技術(shù)，以保護(hù)這些設(shè)備不受威脅。

移動(dòng)設(shè)備威脅格局

是否認(rèn)為自己的移動(dòng)設(shè)備固若金湯？事實(shí)可能出乎意料。當(dāng)前的移動(dòng)安全威脅已經(jīng)變得前所未有地多樣化和復(fù)雜。

以2023年為例，卡巴斯基實(shí)驗(yàn)室的報(bào)告指出，他們監(jiān)測(cè)并成功阻止了超過(guò)3300萬(wàn)次針對(duì)移動(dòng)設(shè)備的攻擊，這一數(shù)字比前一年激增了約52%。

圖4 2023年卡巴斯基移動(dòng)設(shè)備攻擊監(jiān)測(cè)情況

攻擊者正不斷更新他們的策略，以更巧妙的方式侵入移動(dòng)設(shè)備和個(gè)人隱私。社會(huì)工程學(xué)攻擊，包括編造理由和網(wǎng)絡(luò)釣魚(yú)等手段，已經(jīng)成為移動(dòng)安全領(lǐng)域的一大威脅。

所謂的“假借理由”（Pretexting）是一種社會(huì)工程學(xué)手段，攻擊者通過(guò)構(gòu)造虛假情境誘使受害者點(diǎn)擊惡意鏈接或泄露敏感信息。到了2024年，這種攻擊手段的威脅性顯著增加。

根據(jù)2024年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告（DBIR），假借理由攻擊事件數(shù)量上升，首次超過(guò)了傳統(tǒng)的網(wǎng)絡(luò)釣魚(yú)攻擊。Verizon報(bào)告中指出：“我們觀察到，涉及預(yù)設(shè)文本的攻擊事件（其中大多數(shù)以商業(yè)電子郵件攻擊[BEC]為目標(biāo)）占據(jù)了金融動(dòng)機(jī)攻擊的約四分之一（大約在24%到25%之間）?！边@表明攻擊者正在使用更加個(gè)性化和有說(shuō)服力的策略來(lái)利用人性弱點(diǎn)進(jìn)行攻擊。

圖5 2024年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告

這標(biāo)志著安全威脅的一個(gè)新動(dòng)向：攻擊者開(kāi)始采用更加個(gè)性化、更具說(shuō)服力的策略來(lái)操縱人們。

移動(dòng)設(shè)備之所以這么有趣，不僅因?yàn)樗鼈兪瞧墼p、詐騙和勒索攻擊的常見(jiàn)目標(biāo)，更因?yàn)殡S著人工智能技術(shù)的應(yīng)用，這些攻擊變得更加高明和難以防范。（當(dāng)然，我怎么可能在文章中忽略提及人工智能呢？）

人工智能的文本轉(zhuǎn)語(yǔ)音技術(shù)，可能被犯罪分子用于提升其綁架或保釋詐騙的可信度。在現(xiàn)實(shí)世界中，我們已經(jīng)目睹了犯罪分子如何利用AI語(yǔ)音克隆技術(shù)結(jié)合電話號(hào)碼欺騙，進(jìn)行電話攻擊，制造出“女性尖叫”或“小男孩尖叫特定名字”等聲音效果，以此來(lái)增加詐騙的真實(shí)感。（雷切爾·托拜克 (@RachelTobac) 發(fā)布于2024年5月31日）

除此之外，移動(dòng)應(yīng)用程序及其底層操作系統(tǒng)也面臨著被攻擊的風(fēng)險(xiǎn)。iVerify追蹤了一些針對(duì)高凈值和高社會(huì)地位個(gè)人的顯著案例：

• NSO 集團(tuán)的 Pegasus 移動(dòng)間諜軟件工具被用來(lái)對(duì)付記者 Anand Magnale，他正在調(diào)查針對(duì)印度億萬(wàn)富翁商人 Gautam Adani 的腐敗指控，而 Gautam Adani 是印度總理納倫德拉-莫迪（Narendra Modi）的親密助手。

• 一名總部位于美國(guó)的智囊團(tuán)員工遭遇了安卓 SMShing 入侵，攻擊者假裝代表其 ISP 發(fā)送了一個(gè)惡意鏈接，用戶點(diǎn)擊后使用 Odin 對(duì)設(shè)備進(jìn)行了 root操作。攻擊者獲取了其 WhatsApp、Telegram 和 Signal 以及其 ISP 賬單門(mén)戶賬戶權(quán)限，這很可能是為了獲取憑證/身份，以初步獲得該組織IT基礎(chǔ)設(shè)施的初始訪問(wèn)權(quán)。

iVerify 在 "移動(dòng)優(yōu)先的0day時(shí)代已經(jīng)到來(lái) "一文中指出，針對(duì)谷歌產(chǎn)品的已知0day漏洞有一半是商業(yè)間諜軟件供應(yīng)商（CSVs）所為。雇傭軍間諜軟件業(yè)務(wù)的價(jià)值高達(dá) 120 億美元，并以傳統(tǒng)的商業(yè)結(jié)構(gòu)公開(kāi)運(yùn)營(yíng)。移動(dòng)設(shè)備安全威脅與勒索軟件市場(chǎng)一樣，走的也是企業(yè)模式路線。

iVerify在其文章“移動(dòng)優(yōu)先的0day時(shí)代已經(jīng)到來(lái)”中強(qiáng)調(diào)了一個(gè)令人關(guān)注的現(xiàn)象：針對(duì)谷歌產(chǎn)品的已知0day漏洞中，有一半是由商業(yè)間諜軟件供應(yīng)商（Commercial Spyware Vendors，簡(jiǎn)稱CSVs）造成的。這一行業(yè)的價(jià)值已經(jīng)達(dá)到了驚人的120億美元，并且它們以一種傳統(tǒng)的商業(yè)結(jié)構(gòu)公開(kāi)運(yùn)作。

圖6 2018到2024年金融類攻擊中的行動(dòng)種類

甚至還有一個(gè)針對(duì)勒索軟件團(tuán)伙的 "惡意四分位圖"，顯示它們的實(shí)力排名：

圖7 勒索軟件團(tuán)伙的 "惡意四分位圖"

我們生活的社會(huì)

為什么會(huì)出現(xiàn)這種情況？簡(jiǎn)而言之，移動(dòng)設(shè)備更容易訪問(wèn)，而且回報(bào)率高。

手機(jī)已成為被利用、詐騙和獲取憑證的便捷途徑。再加上沒(méi)有人會(huì)像關(guān)注臺(tái)式機(jī)那樣關(guān)注移動(dòng)設(shè)備，這就為災(zāi)難埋下了伏筆。

人類與手機(jī)之間有著親密的關(guān)系--手機(jī)承載著他們所有的生活和職業(yè)經(jīng)歷。使用手機(jī)作為初始接入點(diǎn)，然后繞過(guò)（或使用）MFA 檢查，可以更快地獲得特權(quán)訪問(wèn)。

從此，游戲結(jié)束。聽(tīng)起來(lái)很像我們使用和保護(hù)的臺(tái)式機(jī)，不是嗎？

鎖定移動(dòng)設(shè)備安全市場(chǎng)

但數(shù)字不會(huì)說(shuō)謊。

圖8 移動(dòng)設(shè)備安全與其他所有網(wǎng)絡(luò)投入資金的比較

縱觀移動(dòng)設(shè)備安全市場(chǎng)，與更大的網(wǎng)絡(luò)安全市場(chǎng)相比，可謂九牛一毛。再細(xì)分一下，96% 的移動(dòng)設(shè)備安全資金流向了移動(dòng)設(shè)備管理 (MDM) 和移動(dòng)應(yīng)用安全公司。

圖9 年對(duì)年成立的移動(dòng)設(shè)備安全資金分配情況

僅從分配給 MDM 和移動(dòng)應(yīng)用安全公司的部分來(lái)看，90% 的資金只分配給了四家公司：

• Lookout 已籌集超過(guò) 4.3 億美元

• Jamf 已籌集超過(guò) 3.3 億美元

• Mosyle 已籌集了近 2.5 億美元

• MobileIron 融資超過(guò) 1.6 億美元，于 2014 年上市，并于 2020 年被 Ivanti 以約 8.72 億美元的價(jià)格收購(gòu)。

這還不包括微軟 Intune，它于 2011 年作為 MDM 工具推出，后來(lái)成為一個(gè)更通用的端點(diǎn)管理平臺(tái)。

我們正處于移動(dòng)設(shè)備安全類別下一次迭代的早期階段。多年來(lái)，這一市場(chǎng)的發(fā)展軌跡與終端計(jì)算機(jī)市場(chǎng)類似。"移動(dòng)設(shè)備安全 "涵蓋的產(chǎn)品范圍很廣，其中有些相互競(jìng)爭(zhēng)和重疊，有些則不然。

以下是我繪制的市場(chǎng)地圖，幫助您直觀了解我們的工作：

圖10 移動(dòng)設(shè)備安全市場(chǎng)圖

如今，這一領(lǐng)域在很大程度上仍處于分散狀態(tài)，因此讓我們逐一分析這些領(lǐng)域，以確保我們都理解得一致：

Mobile OS Security 移動(dòng)操作系統(tǒng)安全

• 設(shè)備加密：確保對(duì)設(shè)備上的數(shù)據(jù)進(jìn)行加密，防止未經(jīng)授權(quán)的訪問(wèn)。

• 應(yīng)用程序?qū)彶?#xff1a;徹底檢查應(yīng)用程序，然后才允許在設(shè)備上使用。

• 威脅檢測(cè)：實(shí)時(shí)識(shí)別和緩解潛在的安全威脅。

安全訪問(wèn)和自帶設(shè)備管理

本節(jié)將討論與安全訪問(wèn)移動(dòng)設(shè)備有關(guān)的挑戰(zhàn)，以及自帶設(shè)備（BYOD）趨勢(shì)，即員工使用個(gè)人設(shè)備用于工作用途的情況：

• 安全訪問(wèn)：VPN 和多因素身份驗(yàn)證 (MFA) 等解決方案以保護(hù)企業(yè)數(shù)據(jù)。

• 自帶設(shè)備管理：確保員工設(shè)備上個(gè)人和企業(yè)數(shù)據(jù)安全的政策和技術(shù)。

企業(yè)移動(dòng)設(shè)備管理

本節(jié)重點(diǎn)介紹如何管理和保護(hù)移動(dòng)設(shè)備機(jī)隊(duì)，以保持對(duì)移動(dòng)資產(chǎn)的控制。它是 MDM 的鄰近衍生產(chǎn)品，專為擁有龐大移動(dòng)設(shè)備群的公司而設(shè)計(jì)，適合擁有倉(cāng)儲(chǔ)、物流或大量外勤代理員工的公司。

移動(dòng)威脅檢測(cè)與響應(yīng) (MTDR) - 正處于不斷增長(zhǎng)階段

MTDR 專注于識(shí)別和應(yīng)對(duì)針對(duì)移動(dòng)設(shè)備的威脅，包括

• 威脅檢測(cè)：監(jiān)控惡意軟件、網(wǎng)絡(luò)釣魚(yú)、網(wǎng)絡(luò)詐騙以及零日攻擊等其他惡意活動(dòng)。這是針對(duì)移動(dòng)設(shè)備的端點(diǎn)檢測(cè)和響應(yīng)（EDR）。

• 響應(yīng)機(jī)制：快速、主動(dòng)應(yīng)對(duì)檢測(cè)到的威脅并最大限度減少損失的工具。

移動(dòng)應(yīng)用安全

從設(shè)備層到應(yīng)用程序?qū)?#xff0c;本節(jié)重點(diǎn)關(guān)注保護(hù)移動(dòng)應(yīng)用程序免受漏洞和攻擊的影響，具體包括：

• 應(yīng)用程序開(kāi)發(fā)安全：在開(kāi)發(fā)過(guò)程中發(fā)現(xiàn)并解決漏洞。

• 運(yùn)行時(shí)保護(hù)：一旦部署，即可監(jiān)控和保護(hù)應(yīng)用程序免受實(shí)時(shí)威脅。

移動(dòng)設(shè)備管理（MDM）

這是一切的起點(diǎn)，也是大部分投資的去向。MDM 解決方案幫助公司管理和保護(hù)移動(dòng)設(shè)備，包括：

• 設(shè)備注冊(cè)和管理：確保正確注冊(cè)、配置和管理設(shè)備。

• 策略執(zhí)行：在所有受管設(shè)備上應(yīng)用和執(zhí)行安全策略。

• 補(bǔ)丁和更新：自動(dòng)部署補(bǔ)丁和更新，確保設(shè)備運(yùn)行最新、最安全的軟件版本。

• 遠(yuǎn)程擦除：允許管理員遠(yuǎn)程擦除丟失、被盜或不再使用的設(shè)備中的數(shù)據(jù)，以保護(hù)敏感信息。

• 應(yīng)用程序管理：控制可在設(shè)備上安裝和使用的應(yīng)用程序，確保只有經(jīng)過(guò)批準(zhǔn)的安全應(yīng)用程序才能訪問(wèn)。

手機(jī)盜竊應(yīng)對(duì)措施 - 新興

這些解決方案旨在保護(hù)被盜或丟失的移動(dòng)設(shè)備及其包含的數(shù)據(jù)。

• 預(yù)防措施：遠(yuǎn)程鎖定、擦除功能和設(shè)備跟蹤等功能。

• 找回工具：協(xié)助找回丟失的設(shè)備，有效管理盜竊事件。

許多移動(dòng)設(shè)備管理（ MDM ）解決方案也具備這一功能，但這一新興部分面向個(gè)人而非企業(yè)，屬于個(gè)人網(wǎng)絡(luò)安全類別。

在研究了這些數(shù)據(jù)并考慮了這一市場(chǎng)的空白之后，我發(fā)現(xiàn)了一些關(guān)鍵主題：

• 市場(chǎng)適合并購(gòu)和整合：移動(dòng)設(shè)備安全市場(chǎng)高度分散，這邊兒為合并和收購(gòu)提供了機(jī)會(huì)，以整合和精簡(jiǎn)產(chǎn)品，提高效率和效益。

• 新進(jìn)入者的機(jī)會(huì)：市場(chǎng)為創(chuàng)新的新進(jìn)入者敞開(kāi)大門(mén)，以顛覆傳統(tǒng)的移動(dòng)設(shè)備管理 (MDM) 企業(yè)。新方法可以挑戰(zhàn)既有規(guī)范，并推出更好的解決方案來(lái)應(yīng)對(duì)當(dāng)今的威脅。

• 威脅檢測(cè)和響應(yīng)方面的新需求：我們才剛剛開(kāi)始應(yīng)對(duì)移動(dòng)威脅檢測(cè)和響應(yīng)的廣泛需求。隨著移動(dòng)威脅的發(fā)展，我們?cè)絹?lái)越需要先進(jìn)的解決方案來(lái)抵御復(fù)雜的攻擊。

我還留下了一些哲學(xué)方面的后續(xù)問(wèn)題：

• 我們是否已經(jīng)建立了足夠的激勵(lì)機(jī)制來(lái)推動(dòng)網(wǎng)絡(luò)安全行業(yè)的發(fā)展？

• 是否因?yàn)楦淖內(nèi)藗兊男袨榱?xí)慣太過(guò)艱難，從而在實(shí)踐中產(chǎn)生了諸多摩擦？

• 移動(dòng)設(shè)備是否真正印證了“人們寧愿犧牲安全和隱私，也要追求便利”的這一說(shuō)法？

我傾向于認(rèn)為這些問(wèn)題的答案都是肯定的。接下來(lái)，讓我們將這些問(wèn)題細(xì)化，探討可能導(dǎo)致這些現(xiàn)象的幾個(gè)關(guān)鍵領(lǐng)域。

了解移動(dòng)設(shè)備安全方面的差距

過(guò)時(shí)的移動(dòng)設(shè)備安全觀念

風(fēng)險(xiǎn) "感 "不夠高。為什么在眾多安全領(lǐng)域中，移動(dòng)安全似乎并沒(méi)有得到足夠的關(guān)注？這可能是因?yàn)槿藗兤毡榇嬖谝环N心理定勢(shì)，即認(rèn)為手機(jī)是相對(duì)安全的。

這種心理定勢(shì)的形成有著深厚的歷史淵源。在過(guò)去，人們普遍認(rèn)為計(jì)算機(jī)才是惡意軟件、網(wǎng)絡(luò)釣魚(yú)攻擊和其他網(wǎng)絡(luò)威脅的主要攻擊目標(biāo)。相比之下，移動(dòng)設(shè)備在人們心中似乎更加安全。畢竟，早期的手機(jī)使用方式與現(xiàn)在大相徑庭，它們并不像臺(tái)式機(jī)那樣能夠訪問(wèn)敏感的企業(yè)數(shù)據(jù)，也不像現(xiàn)在這樣成為我們?nèi)粘Ｉ詈凸ぷ髦胁豢苫蛉钡墓ぞ摺?/p>

灰胡子提醒：我記得在很多年以前，在你入職時(shí)公司并沒(méi)有強(qiáng)制要求員工必須配備手機(jī)。智能手機(jī)問(wèn)世多年后，我才注意到員工合同中逐漸出現(xiàn)了這樣的要求。事實(shí)上，我接受的一些工作甚至?xí)槲姨峁┕镜囊苿?dòng)設(shè)備，甚至?xí)~外支付我的個(gè)人電話費(fèi)用，以便我能夠隨時(shí)待命。

營(yíng)銷(xiāo)對(duì)安全認(rèn)知的影響

蘋(píng)果公司一直將 iPhone 宣傳為市場(chǎng)上最安全、最注重隱私的手機(jī)。該公司在營(yíng)銷(xiāo)中強(qiáng)調(diào)了幾項(xiàng)關(guān)鍵功能：

• 封閉的硬件和軟件生態(tài)系統(tǒng)使安全系統(tǒng)的集成度更高。

• 對(duì)進(jìn)入 iOS 生態(tài)系統(tǒng)的所有移動(dòng)應(yīng)用程序進(jìn)行嚴(yán)格、徹底的檢查

• 對(duì)信息和視頻通話進(jìn)行端到端加密，以保護(hù)隱私

• 將 Siri 等服務(wù)的數(shù)據(jù)最小化（不過(guò)，隨著蘋(píng)果公司未來(lái)可能直接在設(shè)備上引入生成式人工智能模型，這種情況將有所改變）

盡管采取了這些措施，移動(dòng)設(shè)備仍無(wú)法免受威脅。認(rèn)為移動(dòng)設(shè)備不易受到攻擊的假設(shè)既過(guò)時(shí)又危險(xiǎn)。

克服個(gè)人對(duì)移動(dòng)安全的抵觸情緒

個(gè)人對(duì)移動(dòng)設(shè)備安全的抵觸情緒如何？

• 存在隱私問(wèn)題。

• 安全培訓(xùn)讓我們認(rèn)為電腦是危險(xiǎn)的，使用電腦時(shí)要小心，但使用手機(jī)時(shí)卻不是這樣。

• 生活中有太多個(gè)人和職業(yè)的時(shí)刻。

• 企業(yè)侵蝕和個(gè)人自主正在迅速碰撞。

推廣多因素認(rèn)證（MFA）在工作以外在線賬戶的應(yīng)用并非易事。同樣，要讓大眾在日常生活中使用密碼管理器也是一項(xiàng)艱巨的任務(wù)。然而，"無(wú)密碼"運(yùn)動(dòng)通過(guò)使用通行證和生物識(shí)別技術(shù)，確實(shí)讓這一過(guò)程變得更加簡(jiǎn)便。

在多因素認(rèn)證（MFA）和密碼管理器的使用過(guò)程中，為用戶增加任何額外的步驟都顯得尤為困難。那些試圖在現(xiàn)有的密碼和MFA流程中加入額外認(rèn)證或授權(quán)步驟的網(wǎng)絡(luò)安全初創(chuàng)公司的創(chuàng)始人們對(duì)此深有體會(huì)。如果你的解決方案是要求用戶下載另一個(gè)應(yīng)用程序，那么祝你好運(yùn)！通常只有那些極度謹(jǐn)慎、對(duì)安全極為重視的人才可能會(huì)考慮采納。

人際交往中的這種摩擦使得廣泛采用能提高安全性的額外步驟變得極具挑戰(zhàn)。人們渴望的是無(wú)障礙的安全，而不是需要付出額外努力的安全。

同樣，你也可以詢問(wèn)那些以"社會(huì)公益"為出發(fā)點(diǎn)的網(wǎng)絡(luò)安全初創(chuàng)公司，他們面臨的處境如何。這些公司試圖將個(gè)人在移動(dòng)設(shè)備上的安全態(tài)勢(shì)與企業(yè)的風(fēng)險(xiǎn)態(tài)勢(shì)相結(jié)合。除了自帶設(shè)備（BYOD）政策之外，將企業(yè)標(biāo)準(zhǔn)推向個(gè)人與移動(dòng)設(shè)備的關(guān)系，對(duì)大多數(shù)人來(lái)說(shuō)是一種過(guò)度的要求。尤其是當(dāng)一個(gè)人在工作場(chǎng)所之外的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)在工作場(chǎng)所內(nèi)導(dǎo)致了不理想的個(gè)人風(fēng)險(xiǎn)評(píng)分時(shí)，這種矛盾尤為突出。

想象一下，如果你的iPhone設(shè)置不當(dāng)，你的薪水就會(huì)受到影響——這顯然不是人們所期望的烏托邦式未來(lái)。

移動(dòng)設(shè)備安全解決方案的脫節(jié)

令人感到有些意外的是，保護(hù)移動(dòng)設(shè)備安全的過(guò)程似乎與人們的日常生活有些脫節(jié)。盡管移動(dòng)設(shè)備面臨的威脅可能會(huì)影響到每一個(gè)移動(dòng)設(shè)備用戶——畢竟，移動(dòng)設(shè)備的總數(shù)已經(jīng)超過(guò)了全球人口（這真是一個(gè)驚人的數(shù)字！）——但針對(duì)移動(dòng)威脅的解決方案似乎缺乏個(gè)性化，不足以激發(fā)足夠多的人采取行動(dòng)進(jìn)行改變。

根據(jù)世界經(jīng)濟(jì)論壇的一篇文章，到2022年，全球移動(dòng)用戶的數(shù)量已經(jīng)超過(guò)了85.8億，而全球人口大約為79.5億。

圖11 截止2022年手機(jī)數(shù)量已超過(guò)世界人口總數(shù)

移動(dòng)安全中的集體行動(dòng)問(wèn)題

移動(dòng)設(shè)備安全已經(jīng)演變成一個(gè)需要集體行動(dòng)的問(wèn)題。在這個(gè)問(wèn)題中，每個(gè)人都能從采取特定行動(dòng)中獲益，但對(duì)個(gè)人而言，采取行動(dòng)的成本卻顯得過(guò)高。因此，人們往往希望其他人來(lái)承擔(dān)這一成本，這導(dǎo)致了集體的不作為現(xiàn)象。

網(wǎng)絡(luò)安全的挑戰(zhàn)往往超越了個(gè)人能力的范圍，有時(shí)為了更大的公共利益，需要從更高層次進(jìn)行集體行動(dòng)。例如，個(gè)人無(wú)法控制誰(shuí)可以給自己的移動(dòng)設(shè)備打電話或發(fā)送短信，這導(dǎo)致了電話營(yíng)銷(xiāo)和詐騙短信的泛濫。

羅斯-哈利尤克（Ross Halieuk）在其關(guān)于尋找值得投資的網(wǎng)絡(luò)安全初創(chuàng)公司創(chuàng)意的博客文章中提到：

移動(dòng)安全市場(chǎng)從未真正起飛，這很不幸，因?yàn)槲覀冋媾R著網(wǎng)絡(luò)釣魚(yú)、網(wǎng)絡(luò)詐騙和其他類型的網(wǎng)絡(luò)攻擊的泛濫。

聯(lián)邦貿(mào)易委員會(huì)（FTC）和聯(lián)邦通信委員會(huì)（FCC）已經(jīng)采取了一系列措施，與移動(dòng)運(yùn)營(yíng)商緊密合作，以保護(hù)消費(fèi)者免受這些騷擾電話的侵害，包括自動(dòng)攔截非法呼叫和標(biāo)記垃圾電話。

然而，盡管有這些努力，對(duì)于大多數(shù)人來(lái)說(shuō)，采取額外行動(dòng)的成本（或?qū)Σ扇⌒袆?dòng)的看法）仍然是一個(gè)巨大的障礙。

企業(yè)對(duì)移動(dòng)設(shè)備安全的立場(chǎng)

結(jié)構(gòu)性障礙，例如組織內(nèi)部責(zé)任的分散，使得移動(dòng)設(shè)備安全問(wèn)題變得更加棘手。

僅僅管理移動(dòng)設(shè)備并不等同于確保它們免受損害。（Rocky Cole, iVerify Rocky Cole，iVerify）

在企業(yè)環(huán)境中，移動(dòng)設(shè)備安全的歸屬往往不明確。責(zé)任可能分散在不同的團(tuán)隊(duì)之間，這使得制定一個(gè)統(tǒng)一而有效的安全策略變得極其困難，從而導(dǎo)致責(zé)任分配和執(zhí)行效果上的差距。

• 終端管理團(tuán)隊(duì)：該團(tuán)隊(duì)負(fù)責(zé)管理終端用戶設(shè)備，但可能缺乏必要的專業(yè)知識(shí)，對(duì)更廣泛的安全影響關(guān)注不足。

• 企業(yè)安全小組：專注于實(shí)體安全和環(huán)境控制，可能同樣缺乏對(duì)移動(dòng)安全的專業(yè)理解和關(guān)注。

• 高管保護(hù)團(tuán)隊(duì)：專注于高管的人身安全和在線安全，包括移動(dòng)設(shè)備的安全，但在技術(shù)層面可能面臨挑戰(zhàn)，其方法可能需要在整個(gè)企業(yè)范圍內(nèi)進(jìn)行推廣。

• 網(wǎng)絡(luò)安全團(tuán)隊(duì)：雖然具備必要的安全技能，專注于保護(hù)移動(dòng)設(shè)備的安全，但可能缺乏對(duì)最終用戶支持領(lǐng)域的經(jīng)驗(yàn)和技巧。

實(shí)際上，構(gòu)成"移動(dòng)設(shè)備體驗(yàn)"的集體思想并不僅僅屬于上述任何一個(gè)團(tuán)隊(duì)，而是所有這些團(tuán)隊(duì)的共同責(zé)任。

首席信息安全官們還面臨很多其他的痛點(diǎn)，而移動(dòng)安全往往不是他們的首要關(guān)注點(diǎn)。唯一的例外可能是那些需要保護(hù)大量知識(shí)產(chǎn)權(quán)的政府機(jī)構(gòu)和公司，例如半導(dǎo)體行業(yè)。

同時(shí)，隨著移動(dòng)使用的增加和攻擊手段的日益先進(jìn)，安全團(tuán)隊(duì)面臨的安全漏洞缺口也在不斷擴(kuò)大。

動(dòng)員移動(dòng)設(shè)備安全的未來(lái)

CrowdStrike 公司在端點(diǎn)惡意軟件領(lǐng)域所做的工作，為攻擊者和防御者創(chuàng)造了一個(gè)公平競(jìng)爭(zhēng)的環(huán)境。在移動(dòng)安全領(lǐng)域，我們同樣需要實(shí)現(xiàn)這樣的變革。順便一提，要實(shí)現(xiàn)這一變革，可能需要借助外部的視角，而那些長(zhǎng)期存在的公司可能不太愿意進(jìn)行必要的職能調(diào)整。

對(duì)于移動(dòng)設(shè)備安全而言，現(xiàn)在正是一個(gè)"建立起來(lái)，他們就會(huì)來(lái)"的時(shí)刻。如果整個(gè)行業(yè)開(kāi)始推動(dòng)這些行動(dòng)，那么企業(yè)家和風(fēng)險(xiǎn)資本家將會(huì)被吸引，參與到這個(gè)領(lǐng)域中來(lái)。

世界需要有人挺身而出，發(fā)出號(hào)召。

原文鏈接：

https://www.returnonsecurity.com/p/reveolution-of-mobile-device-security

聲明：本文來(lái)自安全喵喵站，版權(quán)歸作者所有。