在移動浪潮的早期階段,如今被認為迫在眉睫的威脅(惡意軟件、網絡釣魚和不法分子濫用設備)當時常常僅限于理論上,果真影響企業(yè)的可能性很小。盡管這些威脅變得更加“切實”,但量化風險、證明有必要投入開支以防范這些風險還是一大挑戰(zhàn)。
因而,市面上銷售的大多數移動安全軟件仍然是為了防范可能會給企業(yè)帶來災難性影響的單次事件,被認為是企業(yè)經營成本的一部分。
與這種想法相反的是,移動欺詐不是一次“重大的壞事件”,而是一連串比較小的日常破壞活動,它們常常難以察覺。要是不加以解決,這些多重攻擊就會給企業(yè)帶來嚴重的累積影響。
如果企業(yè)奉行重大的壞事件理念,使用傳統(tǒng)的移動企業(yè)安全解決方案,結果會忽視哪些方面?我認為這三大方面令人擔憂:
首先,欺詐最先出現(xiàn)在你無法控制的系統(tǒng)上。
企業(yè)安全對允許訪問公司系統(tǒng)的設備擁有一定程度的控制。BYOD計劃利用移動設備管理(MDM)解決方案等工具,控制設備的安全狀況。如果在B2C環(huán)境下處理客戶那些“未加管理的設備”,獲得這種程度的控制就要難得多,有時不可能實現(xiàn)。
雖然IT安全部門擅長保護端點設備、服務器和數據庫之類的企業(yè)資產,但面臨這一難題:保護并不由企業(yè)控制的資產,具體來說是客戶的設備。從某種意義上來說,這正是最初的“BYOD”問題――保護用戶的訪問和交易/事務,而不控制底層設備。
教育用戶懂得保護自己的工作成效不大:人性敵不過社會工程學伎倆和暫時的判斷失誤。用戶有時候破解移動設備或獲得root權限,以安裝未授權應用程序。被破解或獲得root權限的設備很容易中惡意軟件的招,惡意軟件會接管重要的設備功能,比如短信(SMS);可能被用于強驗證;可能導致登錄信息失竊和經濟損失。又由于移動設備的屏幕尺寸有限,用戶常常很難識別嵌入在電子郵件中虛假的網絡釣魚URL。
其次,欺詐管理是一種高頻率/高摩擦活動。
美國商家每年因信用卡欺詐蒙受的損失高達約1900億美元。如果欺詐性交易進入企業(yè)系統(tǒng),會觸發(fā)商家采取一系列行動,面對受影響的有關方(客戶、合作伙伴或供應商),商家需要采取這些行動。支持團隊參與進來,負責處理與欺詐受害者之間的互動。分析和調查人員需要審查取證數據,查明發(fā)生的情況、資金流向,力圖及早挽回損失。恢復“照常營業(yè)”常常需要受害者投入時間和精力,證明自己的系統(tǒng)很安全。如果你考慮到這些欺詐案的發(fā)生非常頻繁,這會導致與有關方進行極其重復、強度極大的互動。
相比之下,如果我們談論企業(yè)自有系統(tǒng)里面的安全,只有導致數據丟失的實際泄密事件(相對很少發(fā)生)才需要投入大量精力。比如說,據美國波耐蒙研究所(Ponemon Institute)聲稱,只有20%的數據泄密事件牽涉至少10000條記錄。
第三,欺詐暴露在世人面前。
遇到欺詐的客戶會對移動渠道乃至整個企業(yè)失去信任。要是損失沒有由企業(yè)自動填補(如果企業(yè)銀行帳戶泄密,就是這種情況),訴訟就會接踵而來,從而給品牌造成負面影響。即便事件范圍比較小,那些不開心的客戶也會在社交網絡上吐槽欺詐事件,這最終會導致客戶流失。另外,欺詐性活動會引來監(jiān)管部門對程序和過程進行更嚴格的審查,這進一步分走了業(yè)務部門和IT部門的資源。除非作為一項監(jiān)管或合規(guī)要求,丟失的數據需要披露,否則一些企業(yè)安全泄密事件可能不會公之于眾。因而,許多泄密事件并沒有披露出來。
移動企業(yè)安全和移動欺詐防范有著同樣的目標:保護敏感的企業(yè)資產和機密的客戶信息。遺憾的是,許多安全團隊和企業(yè)組織仍把移動安全和移動欺詐防范視作是一個整體,卻沒有認識到它們目前的戰(zhàn)略并沒有起到應有的保護效果。確切地說,除了保護公司設備網絡里面的數據外,公司還有必要實施一項戰(zhàn)略,保護客戶遠離惡意活動。
英文:Deconstructing Mobile Fraud Risk