移动应用市场正在高速发展,截至2017年3月,Android用户可使用280万款应用,同时苹果App Store则提供220万款应用。
面对如此海量的应用,对企业来说,确定哪些应用用于企业用途是十分困难的。即使是最有用的应用都可能会增加企业安全风险,因此,安全团队需要将移动应用评估作为其工作的一部分。
应用评估可帮助安全团队了解应用的功能以及它如何与移动设备中的数据进行交互。根据评估的结果,安全团队可确定应用是否适合在其业务环境中使用。
评估应用的运作方式可让安全团队主动识别潜在的风险。在这样做时,他们能够通过禁止不可接受的应用来防止数据丢失以及未经授权的修改或数据访问。尽管应用评估有诸多好处,但很多安全团队没有进行评估,仅仅是因为他们缺乏相关的技能。因此,企业在没有监督的情况下允许移动应用使用,这可能给企业带来巨大风险。
确定什么是(不)可接受的
在进行应用评估时有两种建议的方法。第一种方法是实现确定的“红旗”行为,如果应用表现出这些行为,则不能被使用,并且没有必要进行进一步评估,这些“红旗”行为包括:
访问联系人并将其从设备复制
跟踪用户位置并发送出去
访问用户的照片或照片流
发送或登录用户账户凭证(以纯文本形式)
第二种方法是对每个应用更彻底详细的检查。每个应用都进行单独评估,以确定其一切活动。根据调查结果,对每个应用是否适合商业用途进行决策。
建议使用应用报告卡作为研究结果的分级机制,以及评估是否允许特定应用用于商业环境。报告卡应涵盖:
权限
可执行的漏洞
本地数据存储和保护,包括机密性和完整性
保护网络通信
进程间通信
“红旗”方法是评估应用更简单的方法,这种方法在大多数时候都可行。然而,如果应用具有企业需要的功能,在发现红旗行为时,建议对该应用进行全面应用评估,以了解潜在风险以及是否可以解决。
企业与BYOD
在面对企业持有或发布的设备时,可限制和控制用户下载的应用。iOS手机比Android设备更容易被锁定,锁定手机的功能是安全团队管理企业持有和受管设备的另一种方法。在BYOD的情况下,这些工作变得更加困难。
在BYOD情况下,常见的策略是使用Gmail账户。员工被要求为所有企业相关的通信设置Gmail账户,但出于明显的安全和控制原因,非常不建议采用这一策略。
在BYOD中,更安全更受控制的方法是使用容器应用。这种策略使员工可控制自己的手机,同时将业务数据隔离到安全容器。所有业务通信都是通过容器应用来完成,由于并非所有容器应用都相同,建议在强制员工使用特定应用之前,对容器应用进行应用评估。
面对每天引入的新应用,企业不能再对应用使用视而不见。安全团队必须提高自己的技能,开始学习如何对移动应用进行评估。
对于真正认真对待移动安全的企业来说,结合移动应用安全评估与SANS“有效移动安全的8大步骤”是很好的策略。这些步骤是按最简单和最有益到部署最复杂的顺序排列,无论设备是企业持有还是BYOD,都可以遵循这些步骤。
这些步骤包括:
强制执行设备密码身份验证
监控移动设备接入和使用
修复移动设备
阻止未经批准第三方应用商店
控制物理访问
评估应用安全性
为丢失或被盗设备准确事件响应计划
部署管理和运营支持
SANS的《有效移动安全8大步骤》是由该社区驱动的项目,旨在提高移动安全性,它体现了专家的一致想法。
本文转自d1net(转载)