Ponemon Institute：50%的企业在移动应用安全方面的花销为零

上周Ponemon Institute发布了一个最新的研究报告，他们对超过400家大型组织在开发移动应用时的安全工作进行了调查，其中包括了一些我们非常信任的企业，例如财富500强中的一些银行业、零售业、健康行业和事业单位。

调查的结果让人深感忧虑。40%的企业在将企业应用送到员工手中之前，不会对应用安全进行检查和扫描，从而导致企业的数据有被盗取的可能。另外还有33%的企业从来不对自己所使用的应用进行检查。

更让人震惊的是，有50%的企业在移动应用安全方面的花销居然为零。要知道，这些应用的用户经常会将自己的个人或是企业敏感数据上传到应用服务器中。

而且一些企业自己也没有做好自我保护工作。员工在自己的设备上大量使用脆弱的企业应用，而同时他们还会下载个人应用，这也加大了企业数据被入侵的危险性。Ponemon的调查发现，大约有67%的企业允许员工在工作设备上下载未经验证的个人应用。员工还可以使用这些设备访问企业的各种关键数据。

这种安全方面的疏忽，给黑客们提供了一个温床，让他们可以透过员工的移动设备来获取企业数据，尤其是那些提取了Root权限的安卓设备以及经过越狱的iOS设备。黑客可以通过这些设备轻松盗取敏感文件、个人数据，甚至可以远程打开设备的摄像头和麦克风，从而监听企业的重要会议。

许多安全产品提供商，例如Citrix、Arxan、Appthority和IBM都相继推出了相应的解决方案，试图扫灭移动设备上的恶意软件。但是这个问题依旧没有彻底解决，企业究竟要如何开始对移动设备的安全进行投资呢?

在去年一年中，共有超过1160万部移动设备被恶意软件所感染。而由于数据被盗给企业所带来的伤害，据统计超过了1100万美元，这其中还并未包括未来的客户流失所造成的进一步损失。

2014年，Ponemon Institute的另一份报告指出，数据入侵共计会给企业造成500万美元的损失。这些损失也在督促着企业开始对计算机、服务器和传统IT的安全性进行大规模投资。然而根据今年的报告来看，企业们却忽视了移动设备的安全。也许造成这一现象的原因，是由于我们还没有经历过严重的移动设备数据被盗事件。然而，随着移动设备数量的增多，以及移动数据的不断膨胀，黑客很可能在短期内将目光盯向移动设备。如果那一天真的来临，移动设备数据侵入将会给企业带来巨大的财政损失以及品牌声誉方面的损失。与其被迫采取行动，为什么不能防患于未然呢?

本文作者Subbu Sthanu 是IBM公司移动安全和应用安全部门总监。在加入IBM之前，Subbu曾先后供职多家著名安全软件供应商，例如Novell、NetIQ、Trustwave和BeyondTrust等。

（via VB，译|快鲤鱼）