黑客最討厭的5個移動應用安全技術

責任編輯:editor004

作者:孫姍姍

2016-03-15 09:41:50

摘自:INFOQ

越來越多的企業(yè)正在為員工和客戶開發(fā)移動端的企業(yè)應用程序,這一趨勢引起了生產(chǎn)商和黑客的共同關注。下面列出了五種方法,首席信息安全員可以使用這些方法來保護自己企業(yè)應用的安全:鎖定應用程序權(quán)限。

企業(yè)進程和實踐操作的數(shù)字化是行業(yè)發(fā)展的趨勢。越來越多的企業(yè)正在為員工和客戶開發(fā)移動端的企業(yè)應用程序,這一趨勢引起了生產(chǎn)商和黑客的共同關注。

Gartner的研究主管Dionisio Zumerle表示,“移動環(huán)境是在不斷發(fā)展的,會不斷出現(xiàn)新的安全漏洞和威脅。應用程序開發(fā)人員缺乏移動環(huán)境的專業(yè)知識,并且傾向于使用傳統(tǒng)的應用程序開發(fā)流程,將重點放在了功能上,就忽視了安全問題。”

為什么轉(zhuǎn)移到移動設備之后一切會變得不同呢?首先,這些設備以及設備中存放的敏感數(shù)據(jù)都更加容易丟失或被盜;第二,利用移動設備漏洞創(chuàng)造的新型攻擊不斷涌現(xiàn)。相鄰設備上安裝的惡意軟件都可以用來提取本設備中的敏感數(shù)據(jù)。電子竊聽技術可以截獲程序和企業(yè)之間通過無線傳輸?shù)臄?shù)據(jù)。黑客也可以重新打包應用,在其中添加惡意代碼,然后重新上傳到應用商店,這種攻擊手段已經(jīng)被廣泛用于與銀行有關的應用程序中。

下面列出了五種方法,首席信息安全員可以使用這些方法來保護自己企業(yè)應用的安全:

鎖定應用程序權(quán)限。移動應用程序在與設備的硬件進行交互的時候都需要獲取用戶權(quán)限。允許程序連接到設備的攝像頭或是麥克風固然方便,但也增加了安全風險。為了企業(yè)利益,信息安全員們需要嚴格控制每個應用程序執(zhí)行其功能所需的權(quán)限。不要僅僅依賴于客戶端審查。用戶身份檢查和應用程序完整性檢查不應該只是由客戶端執(zhí)行。黑客可以很容易地避開這些檢查來訪問存儲在應用程序中的敏感數(shù)據(jù)。這些檢查應該由服務器執(zhí)行。如果有些信息真的很敏感,應該進行更加全面的文本檢查,比如說嘗試登陸的地理位置。

查看第三方的專業(yè)水平和測試頻率。信息安全員們需要評估第三方處理移動應用程序安全問題的能力。有些企業(yè)會用內(nèi)部資源來支持編碼安全控件,但是這些企業(yè)可能會采用早期的攻擊性強的技術。

對于大多數(shù)企業(yè)來說,內(nèi)部創(chuàng)建的安全性是難以維護和發(fā)展的。信息安全員們應該考慮使用外部方式來構(gòu)建安全代碼。有時候可能需要聘請顧問或是云服務提供商。不管是單獨完成,或是尋求外部支持,都需要在開發(fā)之前使用一個第三方工具測試應用程序的安全性。

加固應用程序。逆向工程現(xiàn)在是一種常見技術,用于找出系統(tǒng)細節(jié)以及用惡意代碼重新封裝應用。要想阻止這種做法,你可以使用第三方工具來混淆軟件代碼,這樣會讓攻擊者很難了解應用程序的具體操作。執(zhí)行定期安全檢查。需要持續(xù)關注安全問題,做法就是定期執(zhí)行平臺健康檢查,來不斷識別薄弱點。比如說,你可以檢查內(nèi)置應用程序沙盒是否遭到破壞,這樣就可以知道是否有iOS設備已經(jīng)越獄,是否有安卓設備已經(jīng)root。不過要記住保護用戶隱私,可以考慮侵入性健康檢查,在應用程序外圍對程序的整體運行情況進行檢查。

Gartner客戶可以閱讀另一篇相關報告,即《避免移動程序開發(fā)中的安全陷阱》。Zumerle先生會在2016年3月14日-15日在倫敦舉行的2016年度Gartner身份&訪問管理峰會上做出進一步分析。你可以在Twitter上使用#GartnerIAM標簽對事件的相關更新進行進一步了解。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號