iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 21
1
Security

資安分析師的轉職升等之路系列 第 22

Day 21 你的手機安全嗎?(1)

前幾天很多介紹都和日誌相關,今天暫時休息,傳換方向,分享ㄧ個和大家息息相關的題目:手機。

2017年暑假前,我出席ㄧ場義工研習會,其中一項課題是探討如何善用科技進行數位化學習,並藉由雲端工具讓來自不同國家地區的義工合作。因為題目和科技有關,所以有些與會者是平時各地的IT/MIS義工,大家難得聚在一起,簡單介紹後便開始交流分享經驗,同時其他對於電腦不熟悉的義工也趁機請教電腦問題。當時ㄧ位年輕的義工,資訊系本科畢業,也有幾年MIS工作經驗,竟然對著大家說:「手機上是沒有病毒的,畢竟手機上沒有防毒軟體嘛,所以各位遇到不確定的網站和連結,都在手機上打開好了,這樣比較安全。」

當時我轉過頭來,客氣地提醒:也許嚴格上來說不一定能算是病毒,但手機上還是有惡意程式,而且很多詐騙和惡意連結不可不防。我甚至舉了一個最近發生的實例,在LINE群組上的一名義工點擊來歷不明的連結後,自動四處轉發惡意連結,已有多人受害。可惜,忠言逆耳,當感覺到對方拒絕接受的態度,也只能一笑離開。

你的手機真的安全嗎?

以往在公司企業環境的做法是使用Mobile Device Management (MDM) 行動裝置管理方案,無論是員工自己使用手機BYOD還是公司發派的智慧手機都由 MDM 控制,從MDM上管理監控,設定安全政策,防止未經同意的行動設備存取公司資源例如電子郵件信箱、行事曆等等;ㄧ但納入MDM控管,可以憑安全政策設定,要求ㄧ定要有密碼保護設備、不准停用GPS 以利搜尋、加密訊息等等;ㄧ但遺失,管理員可以從遠端鎖住設備或刪除公司相關資料;透過MDM,管理員還可以派發特定的安全瀏覽器強迫用戶使用,避免惡意連結開啟。然而,智慧型手機功能越多、越便利,大家越習慣使用手機,這些行動設備所面臨的威脅也逐年增加,行動設備防護除了傳統MDM方案,有廠商提出Mobile Application Management (MAM) 和Mobile Threat Management (MTM) 的方案,作為原本MDM的額外保護,或者增加功能將本身MDM方案提升。從去年2017年的趨勢來看,大致面臨以下威脅:

  1. 本身軟體弱點漏洞需補強更新

手機現在需要更新的頻率越來越高,2017年光是APPLE手機的iOS 11系統就經歷好幾次更新:

9/19/2017更新iOS 11
9/26 更新iOS 11.0.1
10/3/20127 更新iOS 11.0.2
10/11/2017 更新iOS 11.0.3
10/31/2017更新iOS 11.1
11/9/2017 更新iOS 11.1.1
11/16/2017 更新iOS 11.1.2
12/2/2017 更新iOS 11.2
12/17/2017 更新iOS 11.2.1
1/8/2018 更新iOS 11.2.2

從2017年九月釋出iOS 11 到現在2018年初,不到四個月iOS系統已有九次更新,沒有每星期產生報表幫助,根本很難掌握手機系統更新程度。依據Zimperium 2017年第三季報告,調查的手機中,即使Apple釋出更新檔案45天後,百分之二十三的iPhone手機仍然沒有更新;百分之九十四的Android手機並沒有使用最新兩版的作業系統。在電腦系統上我們都知道要做安全更新,為什麼行動設備上反而沒有強迫員工定期更新呢?尤其最近的幾次更新都是極為重大的漏洞,從之前的Wi-FI通訊協定漏洞KRACK和最近的CPU問題Meltdown、Spectre。建立手機系統更新機制,善用MDM系統強化行動設備管理,要求手機更新到指定版本才允許存取公司資源,實在是保護手機的第一步驟。

「只因為太喜歡,所以更害怕失去」- - 《刀劍神域》

資料來源:Q3 2017 Zimperium Global Threat Report
https://blog.zimperium.com/zimperium-global-threat-report-q3-2017/

之前鐵人賽,邦友虎虎有寫一篇關於行動裝置的風險,可以參考:資安x系統x絕對領域系列 第 34 篇 資安x行動裝置x弱點風險
https://ithelp.ithome.com.tw/articles/10188358


上一篇
Day 20 沒有SIEM? 試養開源的加拿大馬鹿ELK
下一篇
Day 22 你的手機安全嗎?(2)
系列文
資安分析師的轉職升等之路32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言