企业进程和实践操作的数字化是行业发展的趋势。越来越多的企业正在为员工和客户开发移动端的企业应用程序,这一趋势引起了生产商和黑客的共同关注。
Gartner 的研究主管 Dionisio Zumerle 表示,“移动环境是在不断发展的,会不断出现新的安全漏洞和威胁。应用程序开发人员缺乏移动环境的专业知识,并且倾向于使用传统的应用程序开发流程,将重点放在了功能上,就忽视了安全问题。”
为什么转移到移动设备之后一切会变得不同呢?首先,这些设备以及设备中存放的敏感数据都更加容易丢失或被盗;第二,利用移动设备漏洞创造的新型攻击不断涌现。相邻设备上安装的恶意软件都可以用来提取本设备中的敏感数据。电子窃听技术可以截获程序和企业之间通过无线传输的数据。黑客也可以重新打包应用,在其中添加恶意代码,然后重新上传到应用商店,这种攻击手段已经被广泛用于与银行有关的应用程序中。
下面列出了五种方法,首席信息安全员可以使用这些方法来保护自己企业应用的安全:
- 锁定应用程序权限。移动应用程序在与设备的硬件进行交互的时候都需要获取用户权限。允许程序连接到设备的摄像头或是麦克风固然方便,但也增加了安全风险。为了企业利益,信息安全员们需要严格控制每个应用程序执行其功能所需的权限。
- 不要仅仅依赖于客户端审查。用户身份检查和应用程序完整性检查不应该只是由客户端执行。黑客可以很容易地避开这些检查来访问存储在应用程序中的敏感数据。这些检查应该由服务器执行。如果有些信息真的很敏感,应该进行更加全面的文本检查,比如说尝试登陆的地理位置。
- 查看第三方的专业水平和测试频率。信息安全员们需要评估第三方处理移动应用程序安全问题的能力。有些企业会用内部资源来支持编码安全控件,但是这些企业可能会采用早期的攻击性强的技术。
对于大多数企业来说,内部创建的安全性是难以维护和发展的。信息安全员们应该考虑使用外部方式来构建安全代码。有时候可能需要聘请顾问或是云服务提供商。不管是单独完成,或是寻求外部支持,都需要在开发之前使用一个第三方工具测试应用程序的安全性。
4. 加固应用程序。逆向工程现在是一种常见技术,用于找出系统细节以及用恶意代码重新封装应用。要想阻止这种做法,你可以使用第三方工具来混淆软件代码,这样会让攻击者很难了解应用程序的具体操作。
5. 执行定期安全检查。需要持续关注安全问题,做法就是定期执行平台健康检查,来不断识别薄弱点。比如说,你可以检查内置应用程序沙盒是否遭到破坏,这样就可以知道是否有 iOS 设备已经越狱,是否有安卓设备已经 root。不过要记住保护用户隐私,可以考虑侵入性健康检查,在应用程序外围对程序的整体运行情况进行检查。
Gartner 客户可以阅读另一篇相关报告,即《避免移动程序开发中的安全陷阱》。Zumerle 先生会在2016 年3 月14 日-15 日在伦敦举行的 2016 年度 Gartner 身份 & 访问管理峰会上做出进一步分析。你可以在 Twitter 上使用#GartnerIAM 标签对事件的相关更新进行进一步了解。
查看英文原文: Five Mobile App Security Techniques Hackers Don’t Want You to Use
感谢魏星对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ , @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群(已满),InfoQ 读者交流群(#2))。
评论