人人都相信IT消费化是一列即将来临的火车。很多文章都描述了这种使用趋势。移动化是最新的消费化运动——大型和小型的组织正在拥抱移动化来吸引消费者的注意力并提升企业的生产率和协作性。 热衷于采用移动化的行业之一是支付及银行业。
每个消费者银行和金融机构具有某些形式的移动化支付/银行业务策略。然而在没有咨询安全团队,甚至在邀请了安全团队参与讨论却根本不听取他们的意见的情形下,这些组织做出了许多关于移动银行业务的重要决策,因为每个人都感觉到移动化趋势的紧迫性。 例如,有许多压力使得通过短信服务(SMS)推送信息。短信服务账户告警、余额查询等等正在成为习以为常的事情。
在北美有一个独一无二的现象最好……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
人人都相信IT消费化是一列即将来临的火车。很多文章都描述了这种使用趋势。移动化是最新的消费化运动——大型和小型的组织正在拥抱移动化来吸引消费者的注意力并提升企业的生产率和协作性。
热衷于采用移动化的行业之一是支付及银行业。每个消费者银行和金融机构具有某些形式的移动化支付/银行业务策略。然而在没有咨询安全团队,甚至在邀请了安全团队参与讨论却根本不听取他们的意见的情形下,这些组织做出了许多关于移动银行业务的重要决策,因为每个人都感觉到移动化趋势的紧迫性。
例如,有许多压力使得通过短信服务(SMS)推送信息。短信服务账户告警、余额查询等等正在成为习以为常的事情。在北美有一个独一无二的现象最好地形容了短信服务到Web服务。设想你的银行给你发送账户透支短信告警并且包含一个URL来让你存更多的资金。如果你点击该链接,然后你的移动浏览器跳转到银行主页。这是一个从短信服务到Web服务的典型应用案例。短信服务不是安全的和认证的通信媒介,并且通过短信服务发送的链接是存在问题的。骗子们能轻易地伪造一个短信,对于消费者来说在移动屏幕上来区分钓鱼和真实的URL是很有挑战性的。
类似地,每个人都想让移动银行与金融机构的单点登录(SSO)设施集成。确实,那样做是件好的事情。但是我知道许多短信银行业务的部署,从手机号码到用户账户的映射信息——包括用户凭证——是存储在DMZ中的服务器上的,从而实现有效的短信服务访问。这些部署没有经过完整的安全架构评审;一个胜任的安全架构绝对不会允许这种设计。对于短信服务器来说,正确的方法是通过一套安全的SSO API连接到位于内部网络的受到正确防护的SSO服务器。但是做出这个设计决定时没有牵涉到安全。
另一个令人不安的趋势是企业中安卓(Android)操作系统设备的快速扩增。来自comScore和Nielsen的最新统计数据都表明,安卓操作系统是现在最畅销的智能手机平台。尽管这些统计数据来自消费者的销售,但企业也目睹了安卓操作系统迅速渗入。
当许多开发人员偏好安卓操作系统时,安卓也为IT带来了一些任何时候都不太可能迅速解决的独一无二的安全挑战。比如下面两个:
- 市场细分化:由于安卓操作系统市场的细分化,如果你所有的安卓操作系统设备来自不同的厂家,没有一个简单的办法做一个通用的补丁来更新它们。这个问题会将终端管理一直回退到80年代!
- 天生缺乏对安全的支持:人们期待安卓3支持盼望已久的终端加密特色功能,但是安卓3的发布日期尚不明确。
IT的移动化可能是无法避免的。你最好为此进行准备。但是如果你在采用和应用决策中没有考虑到安全,很可能这列即将来临的火车在到达车站前会造成一些破坏。
注释:Chenxi Wang是Forrester研究机构的副总裁和首席分析师,在那里她从事于安全和风险职位,请发送对这个专栏的评论的邮件到feedback@infosecuritymag.com。
作者
相关推荐
-
警惕!谷歌Adsense恶意软件悄然传播给Android用户
卡巴斯基实验室的新研究发现Svpeng手机银行木马的新变种正被传播到Android设备,而且不需要任何用户交互……
-
Android勒索软件现新变种,重点是其可在移动设备中直接创建
研究机构称发现已知勒索软件Android.Lockdroid.E的新变种,要命的是这些变种利用Andriod集成开发环境(AIDE),可在Android设备上直接开发而成……
-
谷歌在其最新Android安全报告中称Android恶意软件有所下降
谷歌在其第一份Android安全报告中称,在2014年,只有不到1%的设备感染Android恶意软件,但专家质疑Android生态系统是否还像以前那么安全。
-
IBM研究:2014年Android应用漏洞激增
根据IBM新研究表明,新开发的开源安全工具发现2014年已知移动应用漏洞大幅增加。在其2015年威胁情报季报中,IBM X-Force称,2013年漏洞披露为8400个,而去年增加到30000个……