Ixia產品管理副總裁Scott Register先生對增強現實技術可能給企業帶來的風險和企業如何采取措施減少此類風險發表了自己的看法。
增強現實技術(Augmented Reality,以下簡稱AR) 已不是什么新鮮事了,但最近隨著Pokémon GO游戲持續火爆,我們不得不承認,一場技術進步和文化變遷的共同產物--AR時代已經來臨。
事實上,現在的移動設備已經具有足夠的計算處理能力和連接能力支持AR,盡管這里存在著潛在的隱私泄露風險。而我們每個人也都已習慣于設備的實時在線、實時定位,這些也逐漸成為了我們日常生活的一部分。
然而由于越來越多AR應用不斷涌現,AR將對企業的網絡和安全造成重大影響。而那些未做好充分準備的企業,必將面臨真正的安全風險。您可以試想一下,如果某位員工只要將他的AR設備指向辦公室的某一臺打印機,他便可以立刻看清楚打印機從墨盒更換到清除卡紙的每一個步驟;再比方說,變電站的維護工程師利用平板電腦就可以了解某些關鍵設備的維修信息。以上這兩種場景均屬于AR技術的應用,從中我們也可以看到AR蘊藏的巨大商業潛力。
但同時我們也不難看出AR技術本身存在的風險,實現所有這些神奇功能的流量將會經過您的網絡,而這期間也將會暴露您的諸多細節信息:IP地址、位置、設備類型、用戶許可等等。如果黑客可以竊取這些流量,事實上黑客們已經能夠竊取到Pokémon GO游戲者的流量--那么他們又將泄露用戶的哪些信息呢?
有鑒于此,美國五角大樓和以色列國防軍已全面禁止其員工下載 Pokémon GO游戲,因為該應用可能會對它們的安全造成影響。那么AR將給企業帶來哪些真正的風險呢?又該如何避免這些風險呢?
數據中都包含什么?
為了了解這一點,讓我們先來看看AR應用所產生的網絡流量類型,以及它會泄露哪些信息。 Ixia的應用和威脅情報研究人員最近對Pokémon GO應用和任天堂服務器(該應用的開發商)之間的通訊進行了分析,并獲得了一些有關安全問題的重要發現。
Pokémon GO正如其他AR應用一樣,采用了設備的位置數據,根據用戶周圍環境向其提供適當信息。所以我們不難想象,黑客在將用戶的位置數據與其他個人信息相結合后(不要忘記最初的 Pokémon GO用戶協議允許任天堂公司訪問用戶信息,包括Google個人頁面,瀏覽歷史和之前的搜索),就能夠輕松描繪出該用戶行為的詳細畫面。所以此類信息在犯罪分子眼中是極具價值的。
同時, Pokémon GO應用與服務器之間的通訊是通過HTTPS完成的,但是該應用的早期版本不支持證書鎖定(certificate pinning), 極易被“中間人”利用并攔截數據。
因此,我們不難看出AR應用暴露的用戶特定數據,就像它們的正常功能部分一樣,一旦應用安全存在任何漏洞,黑客邊有可能趁虛而入竊取和操縱數據。而問題的關鍵是,AR的本質就是為用戶提供個性化個人情境,即:現實增強版。這意味著,AR應用必須接入一些個性化數據才能提供服務--包括:位置信息、購物記錄、財務信息或任何其他信息。您難道希望這些信息流出您的企業內網嗎?
惡意軟件
接下來還有惡意軟件的問題。就在 Pokémon GO發布后第四天,網絡罪犯團伙就創建了一個假的Pokémon GO版本,并嵌入惡意軟件,這樣就可以給犯罪份子提供了一個非常方便的手段,可以將惡意軟件植入到其他的新的AR應用中。AR應用中的惡意軟件幾乎難以勝數,例如用于捕捉用戶登錄信息的鍵盤記錄器;設備被感染之后能夠渾然不覺地進行數據竊取和通訊的移動遠程訪問木馬(mRAT);再或者是通過設備向網絡下載惡意軟件的代理程序。
誰來管控?
因此,各企業現在必須考慮如何針對網絡中的AR應用進行最佳管理和控制,以便在下一次AR熱潮到來之前搶占先機,并且提前部署安全防護措施。
您需要考慮三個重要因素,首當其沖是您的移動設備管理(MDM) 解決方案,因為類似 Pokémon GO 這樣的AR應用大多都集中于智能手機應用市場。其次,員工培訓和安全意識也非常重要,人為錯誤和疏忽往往是網絡犯罪份子瞄準的關鍵薄弱點。
第三個關鍵因素則是您網絡中應用流量的可視性,為了防止敏感數據泄露或惡意數據入侵,您必須在任何時候都能全面、實時地監測您的網絡流量。許多已有的工具和解決方案都能幫助您獲得此等可視性;而您真正需要的是智能過濾和分發功能,涵蓋整個7層應用流和加密流量,并以線速運行、零丟包率等。如果缺少這種端到端的可視性,“增強現實”很可能就會為您的企業帶來“增強的風險”。
