Search

Risques pour la sécurité des périphériques mobiles

juillet 22, 2012

Risques pour la sécurité des périphériques mobiles

     
     
           
     
     
Risques pour la sécurité des périphériques mobiles
 
Ans en janvier 2007, ou si, iPhone a été introduit par apple, ordinateur de poche combinaison de téléphone portable, lecteur multimédia, appareil photo et client Internet avec des capacités de navigation sur le web de-la-pointe. Alors que le grand public a été recrutée, analystes en sécurité a grandi en plus nervous qu'ils ont imaginé les risques de que tels dispositifs pourraient transporter en milieu de travail. Comme les ventes aux consommateurs afin de tirer parti de cette nouvelle pratique, débats a suscité plus d'autoriser les périphériques mobiles dans des environnements d'entreprise ou non. Terribles avertissements ont été émis sur leur manque de sécurité, expliqué dans un information technology (IT) du personnel désespérément blog de détecter leur présence sur les réseaux et les politiques draconiennes ont été écrits pour leur interdire l'entrée dans l'écosystème de l'entreprise.
La réponse est simple : exigences pour l'accès aux actifs de l'entreprise par le biais de ces dispositifs sont venant de quelque part inhabituelle — au sommet. Demandes sont émanant de la salle de conférence ministérielle autant, si pas plus, le département d'informatique, et de cadres de niveau c ont tendance à obtenir ce qu'ils demandent. Un récent sondage par Forbes Insights et Google de plus de 300 cadres supérieurs à grandes entreprises américaines a conclu que 82 % des cadres de niveau c un Smartphone, un pourcentage beaucoup plus élevé que la population générale. Et l'enquête a conclu que tandis que les ordinateurs sont encore le pilier de leur utilisation de données d'entreprise, du Smartphone et tablettes Internet-permis pouvaient rivaliser eux pour ce poste dans les trois ans. Décideurs reconnaissent que tandis que les appareils mobiles représentent une opportunité formidable pour augmenter la productivité, les appareils mobiles posent également les problèmes de protection des données importantes. En plus d'être vulnérables à la perte ou le vol, leur combinaison unique d'une population de gros utilisateur, mettant l'accent sur la convivialité et de plates-formes avec des outils de sécurité immature a conduit à fournir un terrain fertile pour les logiciels malveillants. Les pirates, syndicats du crime, parrainés par l'état des agents et autres éléments malveillants ont tendance à concentrer leur attention sur les espaces qui les utilisateurs occupent en grand nombre. La montée continue de l'utilisation de l'appareil mobile — Cisco a estimé qu'il y aura près d'un appareil mobile par habitant en 2015 — a conduit à devenir la principale cible. Afin d'obtenir les données de l'entreprise passant par ou résidant sur ces dispositifs, il est impératif d'abord comprendre les risques.
Les vecteurs de menace et attaque pour dispositifs mobiles doivent être familiers à toute personne qui a traité avec sécurisation des dispositifs plus traditionnels ; ils sont en grande partie composées de reciblées versions des mêmes attaques. Ces risques peuvent être classées en cinq catégories.
Accès physique
Les appareils mobiles sont petites, facilement portable et extrêmement léger. Alors que leur petite taille les rend compagnons de voyage idéal, il également les rend facile à voler ou à laisser dans les aéroports, les avions ou les taxis. Comme avec des dispositifs plus traditionnelles, l'accès physique à un dispositif mobile est égale à « jeu au-dessus. » Le système de détection d'intrusion intelligent et mieux les logiciels antivirus sont inutiles contre une personne malveillante ayant accès physique. Contourner un mot de passe ou un verrou est une tâche facile pour un attaquant expérimenté, et même crypté de données peut être accédé. Cela peut inclure non seulement des données que se trouvant dans le dispositif, mais aussi des mots de passe qui résident dans des endroits comme l'iPhone, trousseau, qui pourrait accorder l'accès à des services corporatifs tels que le courrier électronique et de réseau privé virtuel (VPN). Selon une récente étude Ponemon Institute, le coût moyen d'une violation de données portant sur un appareil mobile perdu ou volé aux États-Unis était de 258 $ par dossier, et le coût moyen d'une violation de données en 2010 était 7,20 millions $ par incident.
Code malveillant
Attaques de logiciels malveillants sont ne sont plus limités à Mobile PCs. logiciels malveillants menaces sont à la hausse et continueront à mettre l'accent sur les systèmes d'exploitation mobiles les plus répandus. Jusqu'à récemment, Symbian a été le plus commun, couvrant la majorité des smartphones en Europe et en Asie. Mais comme le système d'exploitation Android de Google a commencé à dominer le marché, les développeurs de logiciels malveillants ont tourné dans cette direction. Selon une étude de Juniper Networks, malware pour Android a augmenté de 400 % entre 2010 et 2011.
Attaques de dispositif
Attaques ciblées à l'appareil lui-même sont semblables aux attaques de PC du passé. Attaques basées sur un navigateur, les exploitations de débordement de tampon et les autres attaques sont possibles. Le service de messages courts (SMS) et du service de messagerie multimédia (MMS) offerte sur les appareils mobiles permettre des moyens supplémentaires aux pirates. DISPOSITIF attaques sont généralement constituées de soit prendre le contrôle des données périphérique et de l'accès, ou de tenter un déni de service (DoS).
Interception de la communication
Wi-Fi-permis Smartphone est sensible aux mêmes attaques qui affectent les autres périphériques Wi-Fi-capable. La technologie de pirater des réseaux sans fil est facilement disponible, et une grande partie de celui-ci est accessible en ligne, rendant le piratage Wi-Fi et des attaques man-in-the-middle (engagement) facile à effectuer. Transmission de données cellulaire peut également être rattrapée et décryptée. Les pirates peuvent exploiter les faiblesses de ces données cellulaires et de Wi-Fi 
et les protocoles de données cellulaire à écouter sur la transmission de données, ou à détourner des sessions des utilisateurs pour les services en ligne, y compris le courrier électronique web. Pour les entreprises dont les travailleurs qui utilisent des services gratuits de hot spot Wi-Fi, les enjeux sont élevés. Perdre une connexion réseau sociale personnelle peut être incommode, personnes en ouvrant une session sur les systèmes d'entreprise peut donner les pirates accès à une base de données entreprise entière.
Menaces d'initiés
Périphériques mobiles peuvent également servir pour faciliter les menaces d'employés et d'autres initiés. Initiés malveillants peuvent utiliser un smartphone à une utilisation malveillante ou détourner des données en téléchargement de grandes quantités d'information d'entreprise pour carte mémoire flash de l'appareil secure digital (SD) ou en utilisant le dispositif de transmission de données via les services de courriel à des comptes externes, contourner les technologies de surveillance même robustes tels que data loss prevention (DLP). Le téléchargement d'applications peut conduire à des menaces non intentionnels, qui sont d'intérêt égal. « Il y a eu une explosion dans des applications mobiles, » Ron Ross du National Institute of Standards et Technology (NIST) fait remarquer. « La plupart des gens téléchargement ces applications sur leurs appareils mobiles, et ils n'ont pas un indice qui a développé l'application, bien comment il est, [ou si] il est un vecteur de la menace par le biais de cette application droit vers le réseau d'entreprise. »

Selon un récent rapport de McAfee, attaques sur les smartphones et autres appareils mobiles a augmenté de 46 % en 2010. Alors que la plupart des attaques n'est rien de nouveau, ils continueront à progresser comme données d'entreprise sont accessible par un pool apparemment sans fin des dispositifs. La majorité des utilisateurs de la puce-dispositif est pas au courant des menaces à la sécurité mobile et les appareils eux-mêmes ont tendance à l'absence d'outils de base qui sont disponibles pour d'autres plateformes, telles que des pare-feu anti-virus, anti-spam et de point de terminaison.