4． 過時(shí)的設(shè)備

智能手機(jī)、平板電腦和更小的聯(lián)網(wǎng)設(shè)備【通常被稱為物聯(lián)網(wǎng)（IoT）】——對企業(yè)安全構(gòu)成了新的風(fēng)險(xiǎn)，因?yàn)榕c傳統(tǒng)的工作設(shè)備不同，它們通常不能保證及時(shí)和持續(xù)的軟件更新。在安卓方面尤其如此，絕大多數(shù)制造商在保持產(chǎn)品更新方面都令人尷尬無效，無論是操作系統(tǒng)（OS）更新還是每月更小的安全補(bǔ)丁，以及物聯(lián)網(wǎng)設(shè)備，其中很多甚至沒有設(shè)計(jì)為首先獲得更新。

杜說：“他們中的許多人甚至沒有內(nèi)置補(bǔ)丁機(jī)制，而這在如今正成為越來越大的威脅�！�

Ponemon表示，撇開攻擊可能性增加不提，移動平臺的廣泛使用提高了數(shù)據(jù)泄露的總體成本，而大量與工作相關(guān)的物聯(lián)網(wǎng)產(chǎn)品只會導(dǎo)致這一數(shù)字進(jìn)一步攀升。據(jù)網(wǎng)絡(luò)安全公司雷神介紹，物聯(lián)網(wǎng)是一扇“敞開的大門”。該公司贊助的一項(xiàng)研究顯示，82％的IT專業(yè)人士預(yù)測，不安全的物聯(lián)網(wǎng)設(shè)備將在公司內(nèi)部引發(fā)數(shù)據(jù)泄露——很可能是“災(zāi)難性的”。

同樣，一項(xiàng)強(qiáng)有力的政策將大有裨益。有些Android設(shè)備確實(shí)能及時(shí)、可靠地接收正在進(jìn)行的更新。在物聯(lián)網(wǎng)領(lǐng)域變得不那么像蠻荒的西部之前，必須由一家公司圍繞它們建立自己的安全網(wǎng)絡(luò)。

5． Cryptojacking攻擊

作為相關(guān)移動威脅列表的一個相對較新的補(bǔ)充，cryptojacking是一種攻擊，有人使用設(shè)備在用戶不知情的情況下挖掘加密貨幣。如果所有這些聽起來像是很多技術(shù)性的，那請記住一點(diǎn)：加密過程使用你公司的設(shè)備來獲取別人的收益。它嚴(yán)重依賴于您的技術(shù)——這意味著受影響的手機(jī)可能會遇到電池壽命不佳甚至可能因組件過熱而受損。

雖然密碼竊取起源于桌面，但從2017年末到2018年初，它在移動端出現(xiàn)了激增。Skybox的一份安全分析報(bào)告顯示，2018年上半年，不受歡迎的加密貨幣挖掘占所有攻擊的三分之一，與前半年相比，這段時(shí)間的突出程度增加了70％。根據(jù)Wandera的一份報(bào)告顯示，2017年10月至11月，針對移動設(shè)備的加密攻擊爆發(fā)了，受影響的移動設(shè)備數(shù)量激增了287％。

自那以后，情況有所降溫，特別是在移動領(lǐng)域——這一舉措主要得益于蘋果iOS應(yīng)用商店和android相關(guān)的谷歌Play商店分別在6月和7月禁止使用加密貨幣挖掘應(yīng)用。不過，安全公司指出，通過手機(jī)網(wǎng)站（甚至只是手機(jī)網(wǎng)站上的流氓廣告）和從非官方第三方市場下載的應(yīng)用程序，攻擊繼續(xù)取得一定程度的成功。

分析人士還指出，通過互聯(lián)網(wǎng)連接的機(jī)頂盒進(jìn)行加密的可能性，一些企業(yè)可能將機(jī)頂盒用于流媒體和視頻播放。據(jù)安全公司Rapid7稱，黑客已經(jīng)找到了一種方法來利用一個明顯的漏洞，使Android Debug Bridge（一個僅供開發(fā)人員使用的命令行工具）變得容易訪問，而且濫用這類產(chǎn)品的時(shí)機(jī)已經(jīng)成熟。

目前，沒有什么好的答案，除非仔細(xì)選擇設(shè)備并堅(jiān)持要求用戶僅從平臺的官方店面下載應(yīng)用程序的策略，其中密碼劫持代碼的可能性顯著降低。并且實(shí)際上，沒有跡象表明大多數(shù)公司受到任何重大或直接威脅，特別是考慮到整個行業(yè)采取預(yù)防措施。盡管如此，考慮到過去幾個月該領(lǐng)域的活動起伏不定，而且人們對該領(lǐng)域的興趣不斷上升，2019年的進(jìn)展情況值得關(guān)注。

6． 密碼衛(wèi)生不良

你可能認(rèn)為我們現(xiàn)在已經(jīng)過了這一階段，但不知為何，用戶仍然沒有正確地保護(hù)他們的帳戶——當(dāng)他們攜帶的手機(jī)同時(shí)包含公司帳戶和個人登錄時(shí)，這可能會出現(xiàn)問題。

谷歌和哈里斯民意調(diào)查（Harris Poll）的一項(xiàng)新調(diào)查發(fā)現(xiàn)，根據(jù)調(diào)查樣本，超過一半的美國人在多個賬戶上使用相同密碼。同樣令人擔(dān)憂的是，近三分之一的人沒有使用雙因素身份驗(yàn)證（或者甚至不知道他們是否在使用它——這可能更糟一些）。而且只有四分之一的人在積極使用密碼管理器，這表明絕大多數(shù)人可能在大多數(shù)地方都沒有特別強(qiáng)的密碼，因?yàn)樗麄兛赡苁亲约荷�成和記憶密碼的。

事情只會變得更糟：根據(jù)2018年的LastPass分析，有整整一半的專業(yè)人士在工作和個人賬戶上使用相同的密碼。分析發(fā)現(xiàn)，如果這還不夠，一個普通員工在工作過程中會與同事分享大約六個密碼。

為了避免你認(rèn)為這完全是廢話，在2017年Verizon發(fā)現(xiàn)，在與黑客相關(guān)的企業(yè)入侵事件中，80％以上要?dú)w咎于薄弱或被盜的密碼。特別是從一個移動設(shè)備，工作人員想快速登錄到各種應(yīng)用程序、網(wǎng)站和服務(wù)，考慮到組織數(shù)據(jù)的風(fēng)險(xiǎn)，即使只有一個人用他們用于公司帳戶的相同密碼，隨機(jī)零售網(wǎng)站，聊天應(yīng)用或消息論壇上的提示�，F(xiàn)在，把這個風(fēng)險(xiǎn)和前面提到的Wi－Fi干擾的風(fēng)險(xiǎn)結(jié)合起來，乘以你工作場所的員工總數(shù)，并考慮快速累積的可能暴露點(diǎn)的層次。

最令人煩惱的是，大多數(shù)人似乎完全忘記了他們在這方面的疏忽。在谷歌和哈里斯民意調(diào)查中，69％的受訪者為了有效保護(hù)他們的在線賬戶給自己一個“A”或“B”，盡管后來的答案表明不是這樣。顯然，您無法信任用戶自己對此事的評估。

7． 物理設(shè)備違反

最后但仍然重要的一點(diǎn)可能看起來特別愚蠢，但仍然是一個令人不安的現(xiàn)實(shí)威脅：丟失或無人看管的設(shè)備可能是一個主要的安全風(fēng)險(xiǎn)，特別是如果它沒有強(qiáng)大的PIN或密碼和完整的數(shù)據(jù)加密。

請考慮以下因素：在2016年的Ponemon研究中，35％的專業(yè)人士表示他們的工作設(shè)備沒有強(qiáng)制措施來保護(hù)可訪問的公司數(shù)據(jù)。更糟糕的是，接近一半的受訪者表示他們沒有密碼、PIN或生物識別安全保護(hù)他們的設(shè)備，大約三分之二的人說他們沒有使用加密技術(shù)。68％的受訪者表示他們有時(shí)會通過移動設(shè)備訪問個人和工作帳戶的密碼。

結(jié)論：僅僅把責(zé)任留給用戶是不夠的。不要通過假設(shè)制定政策，你以后會感謝自己的。