不破解、不Root的移動端企業級安全域技術,是如何幫助企業構建圍欄的?觀點
手機勒索軟件肆虐、安卓平臺漏洞百出、智能硬件千瘡百孔、信息和數據泄露無處不在,在移動互聯網蓬勃發展的今天,移動安全的威脅卻日益嚴重。
題圖來源:視覺中國
截止2017年第二季度,全球范圍的移動用戶數量已經達到50億,到2020年,全球大約75%的人口都將通過移動設備上網。按照互聯網發展的兩個階段,PC的出現突破了空間軸的界限,移動互聯則填平了時間軸的鴻溝。
在企業安全這個領域來看,移動互聯網時代的業務模式也發生了變化。
相比傳統PC安全內網/外網的劃分,無論是做設備、做網關、做VPN等都是有邊界的,相當于“好的東西出不去,壞的東西進不來”。但到了移動端,這個架構完全被打亂,不存在內網/外網的劃分,現在也叫云管端架構。在新的架構下,安全的形式也發生翻天覆地的變化。
“如今,企業的移動化水平在快速發展,但在企業級應用方面,卻屬于剛剛開始。”企業移動辦公領域的開拓者“指掌易”COO這樣向鈦媒體表示。
指掌易這家公司,基于虛擬安全域(VSA)技術,拓展為企業移動管理(EMM)、移動數據防泄露(DLP)、企業安全工作空間(MOS)等三大類產品及服務,為企業提供移動安全整個生命周期的解決方案。指掌易COO許銘認為,在移動互聯網時代,移動終端的威脅不會減少甚至會逐漸增多,而未來一定會有一個大而全的解決方案來解決移動安全的問題。
指掌易COO 許銘
五大安全威脅日益發酵
互聯網平臺移動端角力加劇, APP和多個產業結合,它給人們的生活帶來了巨大的變化,同時也帶來了各種各樣的風險。移動互聯網安全問題也會成為互聯網發展的一個巨大障礙。
在許銘看來,目前移動安全威脅仍呈現五大態勢:
一是惡意軟件將繼續發展。惡意軟件一直是攻擊者達到攻擊目標的最有效方式,2017 年惡意軟件繼續演化發展,內存駐留惡意軟件成為新趨勢,這類軟件特別難以檢測。
二是對于移動設備的攻擊逐漸增長。2017年針對移動設備的攻擊將更加猖獗,源于移動設備的企業泄露將成為極為重要的企業安全問題。
三是物聯網設備配套的 APP 應用將成為新的攻擊對象 。2016 年物聯網市場已經十分火爆,對于物聯網的攻擊行為也日益顯現。隨著物聯網連接企業網絡、消費者家庭和地方政府,安全風險正在不斷加大。未來除了移動 APP 外,可穿戴設備、物聯網設備配套的 APP 應用將成為主要攻擊對象。針對不同類型的物聯網和智能家居的木馬程序可能會逐漸增多。
四是大數據、人工智能和機器學習將更加成熟地應用于移動安全市場 。現代的威脅情報饋送和混合IT環境使得安全監管和管理的活動超越了人類的能力。人工智能、機器學習、大數據、高級算法等能夠發揮技術的優勢幫助企業識別和響應攻擊,變被動應對安全威脅為主動防御。
五是態勢感知將使移動安全可見、可控、可管、可預測。2017 年移動APP安全態勢感知產品將全方位感知網絡安全態勢,實時監控移動APP安全狀況,為安全監管部門提供屬地化的移動互聯網安全全景視圖,包括移動APP分發渠道監測、APP安全漏洞監測、APP盜版仿冒監測、 APP惡意行為監測以及黃恐賭毒等內容違規監測,結合安全大數據進行挖掘和分析,使移動安全可見、可控、可管、可預測。
兩大場景,三道圍欄實現移動終端安全
隨著移動智能終端技術的快速發展,移動辦公現象的普及,越來越多的企業員工開始使用移動智能終端進行辦公,其中自帶移動設備工作BYOD(Bring Your Own Device)也成為潮流。為什么之前移動辦公應用的情況不好,就是因為當企業員工在移動終端安裝BYOD之后,會形成數據混亂甚至個人隱私泄露的情況。
指掌易要做的,一是保證用戶的隱私,而是保證數據的安全。
“我們做了一套虛擬工作空間(MOS),也是虛擬安全應用。不管是BYOD還是其他終端,我都在設備上搭建一套虛擬安全空間,在空間里面的應用以及內容是受到保護的。即使手機丟失,也能保證在虛擬安全空間中的應用以及數據的安全。”
其優勢也比較明顯,比如對應用零改造,秒級完成安全化封裝,支持對已加固的應用進行再次封裝;超高機型和應用適配性,APP兼容性高達99%以上,超過目前行業內所有其他產品;超輕量級,封裝后的應用體積和耗電量增量微小;開箱即用,簡化配置;獨有的封裝技術,為應用提供一系列的安全管理和控制服務能力。
然而要從終端切入移動端安全,繞不開的一件事是權限。例如安卓的一個APP是不能管控另一個APP的,只有操作系統可以。而以前傳統的做法是首先將手機ROOT,但這種做法是利用漏洞來做的,一上來現將系統破壞,但是這一點在企業行不通。好比人感冒,首先將人的免疫系統破壞,雖然什么病都可以治,但也存在著更大的風險。
而另外一種做法是定制手機,同時也存在著權限的問題,比如華為管不了360的手機一樣,同時定制手機成本極高,而且萬一定制系統不完善導致系統不穩定,將是更加要命的一個事情。
“具體我們做了一個虛擬安全機的產品,我們叫做擴展虛擬安全域(砂箱技術),是在操作系統和應用之間這一層,需要管理的APP就會把這個安全砂箱當做操作系統,當他調用操作系統上的任何應用,都首先經過安全砂箱,很好地起到保護作用。這也是全球范圍之內,指掌易是唯一一家在做的事情。”許銘介紹。
從應用場景來看,指掌易分為應用管控和移動辦公的數據保護。
作為應用管控,含有圍欄的概念,包括時間圍欄、地理圍欄以及結合第三方的電子圍欄。時間圍欄是可以設定某個應用或者某個應用的某種能力在特定時間段內是可以使用或者不可使用的。例如在教育領域,小孩普遍都在使用手機,這就存在兩大風險,其一是游戲其二是不良信息,這時時間圍欄的作用就凸顯出來了,比如在上課的時間段內只能打開跟教學相關的內容,晚上睡覺,家長也可以通過后臺來鎖定手機的某些應用或功能。地理圍欄是基于位置,這在軍隊、監獄的場景中應用較多。而電子圍欄目前在企業應用較多,如開會不能錄音、拍照等,都可以通過電子圍欄進行攔截。
許銘介紹,該方案能夠集移動設備管理(MDM)、移動應用管理(MAM)、移動安全管理(MSM)、移動內容管理(MCM)于一體的集中移動安全管理系統。從用戶、設備、應用、內容四個維度來實現對移動終端高效、安全的統一管理。同時支持內網部署、內網推送,對安卓和iOS系統進行細粒度管理,多項SaaS及移動終端管理技術專利,支持本地化適配和功能定制,企業專屬的應用商店,便于應用統一管理。
作為移動辦公領域數據保護場景,通常在工作中出現如審批、報銷等數據的防泄漏,指掌易可以做到數據的加解密。“我們在證券行業做的一個案例,企業的通訊錄不能隨便拿出去,我們做了加密,即使黑客拿到通訊錄名單也打不開,但是對于數據原始的狀態,我們在安全域里面是可以看的。”
同時對于傳統VPN來說,不管是PC還是手機連接到企業內網都是非常復雜,也存在幾個問題:
第一個必須要登錄;第二,登錄之后,設備是VPN、網絡環境是VPN,打開OA之后可以間接到企業內網,但是個人使用不了。指掌易做的是應用級VPN,這樣就可以省略登錄的過程,其次應用打開之后,比如打開OA,就可以連接到VPN,對個人來說,可以在4G與VPN之間自由切換。目前在軍隊、金領域應用較多。
“在數據保護場景還有全套的數據防泄漏(DLP),比如這篇文章打開我想拿走,拷貝粘貼、藍牙傳輸、截屏等一系列的能力,指掌易都已經做到了防泄漏功能。同時結合圍欄的能力有效杜絕數據泄露。甚至拿攝像機拍攝,指掌易都會加動態的水印,萬一泄露,也可以通過泄露的圖片追溯回來。”該方案基于成熟高效的技術平臺,讓用戶實施成本更低、周期更短,終端用戶無感知應用平臺、更易接受,還適用各類業務應用場景,完整滿足移動端DLP需求。同時,移動端解密時間比友商節省30%以上,對移動端系統資源占用率不超過5%。
例如在交通行業,如東方航空的10000臺設備飛行包,空乘人員在上飛機必須要拿飛行包(Ipad),在過去要拿飛行手冊,但是現在通過Ipad可以將所有的文檔、設備以及飛行數據等存放在Ipad里面,如何保護這些數據的安全。
指掌易在做保護這些數據安全的方案分幾個層面:
首先,iPad必須是專用的,只能允許在飛機上使用,甚至一些應用名單,在iPad上面可以裝哪些APP;
其次,假如iPad丟了,可實現遠程數據銷毀;
再次,大量的文檔要去做分發、升級,這就需要全面地從后臺做配置,包括應用升級、文檔更新等,甚至閱后即焚的功能。
指掌易移動安全解決方案在移動端擁有176項安全能力,數量遠超同類產品,同時也是目前全球唯一能在iOS和Android兩大平臺實現“全型號“支持的移動安全解決方案,在安卓應用市場支持的APP數量超過50萬款,因此能夠為任何規模、任何類型的企事業單位實現最高級別的安全保障。
目前,指掌易在公安、軍隊、央企政府、金融包括證券、保險等、制造業、交通運輸等行業都已經有了深度應用。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
