BYOD时代，如何在企业中保护移动消息传递？

二十年前，AIM改变了我们的沟通方式。它比电话谈话更私密。如果你在一个小隔间工作，那就特别好，当你需要立即回答时，对话的实时性比电子邮件更有优势，它在当时的便利性是无与伦比的。

AOL在2017年正式关闭了AIM，但其基本原则仍然通过移动消息应用推动电子通信。您无需知道某人的电话号码或电子邮件地址，仅通过社交媒体建立联系就足够了。因为它们是基于云的，所以我们可以通过任何设备，在任何地方使用社交通信软件，无论是否经过IT批准。

但是，随着我们对工作场所移动消息传递依赖性的增加，安全风险也随之增加。IT安全部门不了解您的消息使用可能会导致各种网络威胁甚至会违反诸如GDPR等法规条文。

谁在使用移动消息应用程序？

根据移动生态系统论坛的“ Mobile Messaging 2016 ”报告，66％的员工使用聊天应用程序与企业进行通信。当您计算短信应用时，这个数字会上升到74％。与医疗服务提供者和金融机构的联系似乎是最常见的消费者对企业通信，超过一半的移动用户选择Facebook、Messenger作为他们的首选应用程序。

如果消费者使用这些应用程序与组织联系，您可以假设您的员工可能在您的网络上在做同样的事情。如果他们与其他业务运营进行通信以供个人使用，他们可能会通过这些相同的移动应用程序传达企业信息。

不幸的是，这是冒险的行为。根据Infinite Convergence的研究，44％的员工在工作日使用不安全的消息应用程序。事实上，工作人员喜欢这些应用程序的便利性，以至于他们说服自己是安全的。23％的金融行业受访者表示他们认为这些应用程序代表最安全的通信形式，33％的合法行业人士表示社交通信软件是敏感通信的首选方式。问题不仅如此，近一半的用户通过不安全的应用程序进行通信，而且这些应用程序并未考虑到安全性。

你怎么能认识到风险？

尽管移动消息传递作为业务通信工具迅速兴起，但组织在为应用程序创建安全策略方面进展缓慢。正如“ 计算机周刊”报道的那样，即使消息应用程序已经超过其他形式的通信，如电子邮件和语音呼叫，62％的公司在过去六个月内没有改变有关员工消息服务使用的政策。此外，绝大多数人在自己的设备上使用这些应用程序用于商业目的，使安全监控更加困难。

与此同时，我们发现使用移动消息传递作为传播恶意软件的方式有所增加。例如，趋势科技报告有黑产人员正在使用Facebook Messenger传播FacexWorm恶意软件，该恶意软件旨在窃取密码，卡巴斯基实验室报告了Telegram消息应用程序中的一个漏洞，该漏洞允许攻击者传播恶意软件并接管设备加密货币的类型。

最重要的是持续的GDPR问题。与欧盟（EU）公民开展业务的企业必须确保他们使用的社交通信软件符合GDPR标准。因此，根据GDPR规定，欧盟的许多组织都禁止使用流行的商业消息应用程序。

为什么要采用端到端加密

严酷的现实是，无论有多少政策和法规禁止，员工都将继续使用移动消息应用程序作为商业通信的工具。一种可能的解决方案是实现端到端加密，以仅在发送方和预期接收方之间保护消息。

但是，加密技术并非万无一失。如果攻击者确实设法安装了键盘记录器恶意软件，他仍然可以从一端或另一端获取输入文本。此外，如果应用程序在多个设备上进行使用，则会削弱数据安全性。SC杂志的报道显示，在一对一的聊天中，加密工作正常，但在群聊中会中断。

此外，加密并不能解决人的不良行为问题。当恶意软件和社交工程攻击通过社交通信软件传播时，我们在使用电子邮件和社交媒体时犯了同样的错误。个别加密方法偶尔会被破解，请务必定期更新经组织批准的端到端加密技术。

首席信息安全官（CISO）和其他安全管理人员需要考虑直接或通过自带设备（BYOD）安全策略来解决移动消息应用程序中发现的风险安全策略。从而让员工更好的了解网络安全和数据隐私的风险，以及可用于降低这些风险的选项，这会使应用程序的使用更加安全。