移动威胁防御(MTD)

什么是移动威胁防御?

移动威胁防御(MTD)是企业利用各种工具和流程保护安卓和 iOS 设备免受高级威胁的总称。根据 Gartner 的说法,MTD 解决方案还能检测和修复威胁并防止攻击。它们是统一端点管理(UEM)和移动设备管理(MDM)等解决方案的附加防御层。
移动威胁防御

为什么需要移动威胁防御

在某种程度上,移动设备一直是网络犯罪分子的目标。一部智能手机可能包含从个人照片和详细信息到银行和医疗信息的所有内容。我们对这些设备的依赖程度越高,它们就越像口袋里的宝库。

每年都会发生 4200 万起移动恶意软件攻击事件。然而,在大多数情况下,移动安全事件主要涉及个人--直到现在。

不幸的是,威胁行为者已将重点从个人转移到企业和组织。

在网络犯罪中,有一个不变的规律,那就是威胁行为者在瞄准潜在受害者时,总会选择阻力最小的途径。随着越来越多的人在家工作,越来越多的组织放宽了移动安全政策,智能手机和平板电脑越来越多地出现在这条道路上。不幸的是,智能手机的许多功能使其从生产力的角度来看非常有利,同时也使移动设备成为攻击者的目标

  • 与台式机相比,界面更简单,屏幕更小,因此上下文数据更少
  • 用户界面/用户体验设计强调行动而非审视
  • 鼓励分散注意力的用户环境,不鼓励仔细检查权限请求或通知

MDM、移动应用管理 (MAM) 和UEM 工具只能部分解决这一问题。独立的解决方案通常无法检测或应对专门针对 Android 和 iOS 设备的攻击。MTD 可解决这一问题。

它还可以在实现零信任网络访问(ZTNA)扩展检测响应(XDR)以及统一端点安全(UES )方面发挥作用。 

移动威胁防御的优势

采用 MTD 的好处包括

  • 更容易采用自带设备(BYOD)政策。
  • 在不增加 SecOps 开销的情况下,监控设备、网络和应用层的移动威胁。
  • 保护组织的整个移动机队并提高其可见性。
  • 减轻网络钓鱼攻击等常见威胁。

MTD 的其他优势

  • 移动设备更易符合法规要求
  • 通过监控从操作系统更新到系统参数和设备配置的所有内容,识别安全漏洞和潜在的恶意活动
  • 与 MDM/UEM/MAM 解决方案集成,可根据现有策略发出威胁警报并进行补救

移动威胁防御如何运作

根据 Gartner 的说法,由于移动恶意软件必须规避或以其他方式禁用内置设备控制,因此 MTD 的重点是识别入侵迹象和标记异常行为。这通常是通过将从支持设备收集的数据与外部威胁情报相结合来实现的。协调后的数据将在现场、云端或设备本身进行分析。

MTD 工具可以检测配置和应用程序漏洞以及恶意应用程序和网络攻击。如果与用户和实体行为分析(UEBA)搭配使用,MTD 甚至可以扩展到识别不安全或异常的最终用户行为。大多数 MTD 产品支持 Android 和 iOS,并可与其他移动安全解决方案轻松集成。

Gartner 确定了 MTD 的四种主要部署方案:

  • UEM 一体化。MTD 注册和部署可通过UEM 解决方案实现,该解决方案还可管理补救工作。
  • 独立(设备上)。 MTD 客户端部署在未托管或未注册的设备上。
  • 独立(基于代理)。 MTD 客户端通常部署在企业内部,通过分析引擎分流所有网络流量,以评估是否存在入侵迹象。
  • SDK/Embedded. MTD 保护的是应用程序,而不是安装该程序的设备,它会扫描任何可能导致应用程序不安全的活动。

移动威胁防御最佳实践

请记住,MTD 是改善安全状况和加强现有移动设备安全的一种手段,这意味着企业在采用 MTD 之前,必须对设备的使用、部署和保护情况有充分的基本了解。

通常情况下,这是通过UEM 或企业移动管理 (EMM) 解决方案实现的。企业还应制定具体的部署模式,以及有关密码、身份验证、可接受使用、越狱和侧载的政策。补丁和漏洞管理也是必须的,并强烈建议实施治理、风险和合规性(GRC)计划。

同样重要的是,组织的领导者要考虑其行业、安全要求以及移动设备通常访问和管理的数据的敏感性。

一旦奠定了这一基础,就应采用 MTD,而不是孤立地采用,而是将其作为整体安全战略的一部分。与现有安全解决方案的集成势在必行。最后,基于应用程序的部署通常是最佳选择,尤其是当企业计划采用 ZTNA 或 XDR 时。

MTD 与 MDM

MDM 为企业提供了在移动设备上定义、应用和执行安全策略的手段。它提供的防护主要是被动的。例如,典型的 MDM 工具无法检测用户设备上是否存在恶意应用程序。

另一方面,MTD 不提供策略执行或策略管理。相反,它能主动检测威胁和诊断漏洞。MTD 通常还包括修复功能。

MDM 和 MTD 并不是对立的解决方案,如果同时部署,效果会更好。

常见问题

什么是移动威胁防御?

MTD 是指一类新兴的安全解决方案,旨在保护 Android 和 iOS 免受高级威胁。MTD 超越了传统的 EMM、MDM 和 MAM,通过检测、预防和修复针对企业移动设备和应用程序的威胁,提供额外的安全保护。

您希望移动威胁防御解决方案具备哪些功能?

MTD 解决方案通常包括以下功能:

设备级检测

  • 操作系统版本和安全更新
  • 设备配置
  • 固件
  • 系统图书馆
  • 系统参数

应用程序级扫描

  • 灰色软件检测
  • 启发式/基于特征的恶意软件扫描
  • 代码仿真/模拟
  • 沙箱
  • 静态/动态应用程序安全扫描
  • 逆向工程

网络级监控

  • 分析流量中潜在的恶意和不安全行为
  • 识别无效证书
  • 检测剥离 TLS 和 "向下竞价 "攻击
  • 标记恶意 URL

MTD 的其他功能可能包括

  • 漏洞管理
  • 应用程序审核
  • 针对移动设备的网络钓鱼防护
  • 操作系统级攻击预防
  • 风险管理
  • 内容过滤
  • 安全运输执法
  • 预防蜂窝网络攻击(即 SS7 漏洞)

移动设备有哪些安全风险?

移动设备面临许多安全风险,其中许多风险因用户界面和用户体验而加剧。通过电子邮件和短信进行网络钓鱼是一个普遍存在的问题,Android 和 iOS 上数量惊人的移动应用程序要么泄露数据,要么存在多个安全漏洞。公共或不安全的 Wi-Fi 网络是另一个问题,设备被盗也是如此。

MTD 和 MDM 有什么区别?

MDM 和 MTD 相辅相成。前者定义、应用和执行安全策略,后者检测、识别和减轻威胁。

企业为什么要部署 MTD?

现有的移动安全工具无法充分保护企业免受移动威胁。智能手机和平板电脑也日益成为犯罪分子破坏企业的目标。MTD 解决方案可以保护企业的数据和网络免受基于移动的网络攻击。

CylancePROTECT MTD 移动电话

与其他任何端点一样,移动设备也可能被用作跳板,让攻击者不受限制地访问企业的数据和网络。基于策略的 MDM 解决方案虽然对安全态势至关重要,但却无法提供足够的保护。如果您的组织要保护其人员和资产,就需要更多的保护措施。

CylancePROTECT® Mobile利用Cylance AI 为您的组织提供保证设备安全所需的一切--阻止恶意软件感染、防止网络钓鱼攻击并提供完整性检查。无论您的移动员工身在何处,它都能确保他们的安全,而不会影响他们的工作能力。

了解更多

相关资源:

资源图标 数据丢失防护(DLP) 资源图标 端点安全 资源图标 端点防护平台(EPP) 资源图标 端点检测和响应 (EDR) 资源图标 扩展检测和响应 (XDR) 资源图标 身份和访问管理(IAM) 资源图标 托管检测和响应 资源图标 托管 XDR 资源图标 MITRE ATT&CK 框架 资源图标 移动威胁防御(MTD) 资源图标 用户和实体行为分析 (UEBA) 资源图标 零信任架构 资源图标 零信任网络接入(ZTNA) 资源图标 零信任安全 资源图标 安全信息与事件管理(SIEM) 资源图标 安全接入服务边缘 (SASE)
更多资源