企業進程和實踐操作的數字化是行業發展的趨勢。越來越多的企業正在為員工和客戶開發移動端的企業應用程序,這一趨勢引起了生產商和黑客的共同關注。
Gartner的研究主管Dionisio Zumerle表示,“移動環境是在不斷發展的,會不斷出現新的安全漏洞和威脅。應用程序開發人員缺乏移動環境的專業知識,并且傾向于使用傳統的應用程序開發流程,將重點放在了功能上,就忽視了安全問題。”
為什么轉移到移動設備之后一切會變得不同呢?首先,這些設備以及設備中存放的敏感數據都更加容易丟失或被盜;第二,利用移動設備漏洞創造的新型攻擊不斷涌現。相鄰設備上安裝的惡意軟件都可以用來提取本設備中的敏感數據。電子竊聽技術可以截獲程序和企業之間通過無線傳輸的數據。黑客也可以重新打包應用,在其中添加惡意代碼,然后重新上傳到應用商店,這種攻擊手段已經被廣泛用于與銀行有關的應用程序中。
下面列出了五種方法,首席信息安全員可以使用這些方法來保護自己企業應用的安全:
鎖定應用程序權限。移動應用程序在與設備的硬件進行交互的時候都需要獲取用戶權限。允許程序連接到設備的攝像頭或是麥克風固然方便,但也增加了安全風險。為了企業利益,信息安全員們需要嚴格控制每個應用程序執行其功能所需的權限。不要僅僅依賴于客戶端審查。用戶身份檢查和應用程序完整性檢查不應該只是由客戶端執行。黑客可以很容易地避開這些檢查來訪問存儲在應用程序中的敏感數據。這些檢查應該由服務器執行。如果有些信息真的很敏感,應該進行更加全面的文本檢查,比如說嘗試登陸的地理位置。查看第三方的專業水平和測試頻率。信息安全員們需要評估第三方處理移動應用程序安全問題的能力。有些企業會用內部資源來支持編碼安全控件,但是這些企業可能會采用早期的攻擊性強的技術。
對于大多數企業來說,內部創建的安全性是難以維護和發展的。信息安全員們應該考慮使用外部方式來構建安全代碼。有時候可能需要聘請顧問或是云服務提供商。不管是單獨完成,或是尋求外部支持,都需要在開發之前使用一個第三方工具測試應用程序的安全性。
加固應用程序。逆向工程現在是一種常見技術,用于找出系統細節以及用惡意代碼重新封裝應用。要想阻止這種做法,你可以使用第三方工具來混淆軟件代碼,這樣會讓攻擊者很難了解應用程序的具體操作。執行定期安全檢查。需要持續關注安全問題,做法就是定期執行平臺健康檢查,來不斷識別薄弱點。比如說,你可以檢查內置應用程序沙盒是否遭到破壞,這樣就可以知道是否有iOS設備已經越獄,是否有安卓設備已經root。不過要記住保護用戶隱私,可以考慮侵入性健康檢查,在應用程序外圍對程序的整體運行情況進行檢查。Gartner客戶可以閱讀另一篇相關報告,即《避免移動程序開發中的安全陷阱》。Zumerle先生會在2016年3月14日-15日在倫敦舉行的2016年度Gartner身份&訪問管理峰會上做出進一步分析。你可以在Twitter上使用#GartnerIAM標簽對事件的相關更新進行進一步了解。
京公網安備 11010502049343號