Android安全改进,但企业应谨慎行事
Android是领先的移动操作系统,但根据一位移动取证专家表示,企业采用者有一些重要的东西。
根据MichaelsPreitzenbarth,Siemens Cert的团队领先和IT安全顾问,在部署Android的部署设备时,企业应谨慎行事。
“在2015年前九个月的Android中报告了大约300个安全漏洞,并且在150个应用程序中发现了200多个漏洞,企业需要考虑风险以及福利,”他告诉(ISC)2担保国会,欧洲,中东和非洲2015年慕尼黑。
在企业中使用Android的最大好处包括Android设备,附件和应用往往比竞争操作系统的昂贵昂贵,并且在官方Android应用程序存储中拥有超过一百万的应用程序是每次使用的应用程序-案件。
“这意味着提供具有巨大成本节约的企业,因为它们不太可能开发任何应用程序本身,以满足其业务需求,并且可以免费使用Android应用商店中的更大比例的应用程序,”Spreitzenbarth表示。
然而,他说企业应该意识到许多厂商不谈论他们的设备中的安全漏洞,修补差,有很少的安全建议可用,研究显示87%的Android设备容易受到至少一个关键攻击。
“虽然谷歌补丁快速且努力,但制造商倾向于修补媒体压力很高,因为它需要时间和资金来更新他们的设备中使用的所有版本的Android,而服务提供商必须批准,有时修改每个补丁,” Spreitzenbarth说。
因此,安全更新可能需要数周,几个月甚至几年的分布和应用。
他说,制造商也往往会缓慢响应安全漏洞的报告,引用了一个案例,其中一位近一年的制造商在通知影响几个设备的严重漏洞后推出安全补丁。
使用Android设备对企业的另一个关键安全挑战是,可以为所有设备用于移动设备管理(MDM)系统没有一般设备管理应用程序接口(API)。
“甚至没有用于来自同一制造商或同一版本的Android版本的设备管理API,这使得难以创建和应用公司范围的安全政策,这对跨国公司特别具有挑战性,”Spreitzenbarth说。
他说,第三方应用程序也代表了危险,其中许多应用程序包含旨在从用户收集敏感或个人数据的代码。
鉴于风险,他表示企业使用Android设备需要特别注意用户意识,设备硬化,漏洞,漏洞,应用程序测试。
“用户倾向于安装任何内容和一切,因此公司需要确保员工了解威胁遵守移动安全政策的威胁和重要性。
“他们需要将公司数据与个人秘密以及在移动设备上的数据相同的方式处理公司数据,与笔记本电脑和台式机上的数据相同。”
SPReitzenbarth表示,公司应创建和维护员工使用的所有Android设备,并确保执行这些指南。
企业还应确保他们了解与员工使用的所有设备相关的安全风险,并采取措施减轻这些不断新兴风险。
“组织应测试每个业务应用程序以确定它能够访问的数据。自动化测试是一个很好的开始,“Spreitzenbarth说。
在一个积极的注意事项上,他说谷歌正在努力改善Android的倡议的情况,旨在使其能够在特定于工作的个人资料,更好的APIS为MDM进行管理和保护业务应用程序以及介绍Nexus安全公告,这是第一个公共Android安全咨询。
其他Android安全计划包括三星的Knox,这是一套企业移动管理服务,提供移动设备和数据保护和管理。