研究：半數(shù)應(yīng)用開發(fā)商在安全方面開銷為零

上周Ponemon Institute發(fā)布了一個最新的研究報告，他們對超過400家大型組織在開發(fā)移動應(yīng)用時的安全工作進行了調(diào)查，其中包括了一些我們非常信任的企業(yè)，例如財富500強中的一些銀行業(yè)、零售業(yè)、健康行業(yè)和事業(yè)單位。

調(diào)查的結(jié)果讓人深感憂慮。40%的企業(yè)在將企業(yè)應(yīng)用送到員工手中之前，不會對應(yīng)用安全進行檢查和掃描，從而導(dǎo)致企業(yè)的數(shù)據(jù)有被盜取的可能。另外還有33%的企業(yè)從來不對自己所使用的應(yīng)用進行檢查。

更讓人震驚的是，有50%的企業(yè)在移動應(yīng)用安全方面的花銷居然為零。要知道，這些應(yīng)用的用戶經(jīng)常會將自己的個人或是企業(yè)敏感數(shù)據(jù)上傳到應(yīng)用服務(wù)器中。

而且一些企業(yè)自己也沒有做好自我保護工作。員工在自己的設(shè)備上大量使用脆弱的企業(yè)應(yīng)用，而同時他們還會下載個人應(yīng)用，這也加大了企業(yè)數(shù)據(jù)被入侵的危險性。Ponemon的調(diào)查發(fā)現(xiàn)，大約有67%的企業(yè)允許員工在工作設(shè)備上下載未經(jīng)驗證的個人應(yīng)用。員工還可以使用這些設(shè)備訪問企業(yè)的各種關(guān)鍵數(shù)據(jù)。

這種安全方面的疏忽，給黑客們提供了一個溫床，讓他們可以透過員工的移動設(shè)備來獲取企業(yè)數(shù)據(jù)，尤其是那些提取了Root權(quán)限的安卓設(shè)備以及經(jīng)過越獄的iOS設(shè)備。黑客可以通過這些設(shè)備輕松盜取敏感文件、個人數(shù)據(jù)，甚至可以遠程打開設(shè)備的攝像頭和麥克風(fēng)，從而監(jiān)聽企業(yè)的重要會議。

許多安全產(chǎn)品提供商，例如Citrix、Arxan、Appthority和IBM都相繼推出了相應(yīng)的解決方案，試圖掃滅移動設(shè)備上的惡意軟件。但是這個問題依舊沒有徹底解決，企業(yè)究竟要如何開始對移動設(shè)備的安全進行投資呢?

在去年一年中，共有超過1160萬部移動設(shè)備被惡意軟件所感染。而由于數(shù)據(jù)被盜給企業(yè)所帶來的傷害，據(jù)統(tǒng)計超過了1100萬美元，這其中還并未包括未來的客戶流失所造成的進一步損失。

2014年，Ponemon Institute的另一份報告指出，數(shù)據(jù)入侵共計會給企業(yè)造成500萬美元的損失。這些損失也在督促著企業(yè)開始對計算機、服務(wù)器和傳統(tǒng)IT的安全性進行大規(guī)模投資。然而根據(jù)今年的報告來看，企業(yè)們卻忽視了移動設(shè)備的安全。也許造成這一現(xiàn)象的原因，是由于我們還沒有經(jīng)歷過嚴(yán)重的移動設(shè)備數(shù)據(jù)被盜事件。然而，隨著移動設(shè)備數(shù)量的增多，以及移動數(shù)據(jù)的不斷膨脹，黑客很可能在短期內(nèi)將目光盯向移動設(shè)備。如果那一天真的來臨，移動設(shè)備數(shù)據(jù)侵入將會給企業(yè)帶來巨大的財政損失以及品牌聲譽方面的損失。與其被迫采取行動，為什么不能防患于未然呢?

本文作者Subbu Sthanu 是IBM公司移動安全和應(yīng)用安全部門總監(jiān)。在加入IBM之前，Subbu曾先后供職多家著名安全軟件供應(yīng)商，例如Novell、NetIQ、Trustwave和BeyondTrust等。

（via VB，譯|快鯉魚，轉(zhuǎn)載請注明出處）