移動應用市場正在高速發展,截至2017年3月,Android用戶可使用280萬款應用,同時蘋果App Store則提供220萬款應用。
面對如此海量的應用,對企業來說,確定哪些應用用于企業用途是十分困難的。即使是最有用的應用都可能會增加企業安全風險,因此,安全團隊需要將移動應用評估作為其工作的一部分。
應用評估可幫助安全團隊了解應用的功能以及它如何與移動設備中的數據進行交互。根據評估的結果,安全團隊可確定應用是否適合在其業務環境中使用。
評估應用的運作方式可讓安全團隊主動識別潛在的風險。在這樣做時,他們能夠通過禁止不可接受的應用來防止數據丟失以及未經授權的修改或數據訪問。盡管應用評估有諸多好處,但很多安全團隊沒有進行評估,僅僅是因為他們缺乏相關的技能。因此,企業在沒有監督的情況下允許移動應用使用,這可能給企業帶來巨大風險。
確定什么是(不)可接受的
在進行應用評估時有兩種建議的方法。第一種方法是實現確定的“紅旗”行為,如果應用表現出這些行為,則不能被使用,并且沒有必要進行進一步評估,這些“紅旗”行為包括:
訪問聯系人并將其從設備復制
跟蹤用戶位置并發送出去
訪問用戶的照片或照片流
發送或登錄用戶賬戶憑證(以純文本形式)
第二種方法是對每個應用更徹底詳細的檢查。每個應用都進行單獨評估,以確定其一切活動。根據調查結果,對每個應用是否適合商業用途進行決策。
建議使用應用報告卡作為研究結果的分級機制,以及評估是否允許特定應用用于商業環境。報告卡應涵蓋:
權限
可執行的漏洞
本地數據存儲和保護,包括機密性和完整性
保護網絡通信
進程間通信
“紅旗”方法是評估應用更簡單的方法,這種方法在大多數時候都可行。然而,如果應用具有企業需要的功能,在發現紅旗行為時,建議對該應用進行全面應用評估,以了解潛在風險以及是否可以解決。
企業與BYOD
在面對企業持有或發布的設備時,可限制和控制用戶下載的應用。iOS手機比Android設備更容易被鎖定,鎖定手機的功能是安全團隊管理企業持有和受管設備的另一種方法。在BYOD的情況下,這些工作變得更加困難。
在BYOD情況下,常見的策略是使用Gmail賬戶。員工被要求為所有企業相關的通信設置Gmail賬戶,但出于明顯的安全和控制原因,非常不建議采用這一策略。
在BYOD中,更安全更受控制的方法是使用容器應用。這種策略使員工可控制自己的手機,同時將業務數據隔離到安全容器。所有業務通信都是通過容器應用來完成,由于并非所有容器應用都相同,建議在強制員工使用特定應用之前,對容器應用進行應用評估。
面對每天引入的新應用,企業不能再對應用使用視而不見。安全團隊必須提高自己的技能,開始學習如何對移動應用進行評估。
對于真正認真對待移動安全的企業來說,結合移動應用安全評估與SANS“有效移動安全的8大步驟”是很好的策略。這些步驟是按最簡單和最有益到部署最復雜的順序排列,無論設備是企業持有還是BYOD,都可以遵循這些步驟。
這些步驟包括:
強制執行設備密碼身份驗證
監控移動設備接入和使用
修復移動設備
阻止未經批準第三方應用商店
控制物理訪問
評估應用安全性
為丟失或被盜設備準確事件響應計劃
部署管理和運營支持
SANS的《有效移動安全8大步驟》是由該社區驅動的項目,旨在提高移動安全性,它體現了專家的一致想法。
京公網安備 11010502049343號