Nie da się pokonać potwora zagrożeń związanych z aplikacjami mobilnymi za pomocą jednej srebrnej kuli. Jednak identyfikacja i ograniczanie ryzyka na szerokiej powierzchni ataków mobilnych jest możliwe - i konieczne! Wymaga to warstwowego podejścia typu "obrona w głąb" oraz świadomości, że nie istnieje żadne skuteczne rozwiązanie, które obejmowałoby całe spektrum bezpieczeństwa mobilnego. Aby zminimalizować ryzyko, bezpieczeństwo mobilne wymaga zrównoważonego połączenia wielu środków zaradczych i technologii.
Najlepszym podejściem do minimalizacji ryzyka związanego z aplikacjami mobilnymi i wyciekiem danych jest kompleksowe testowanie bezpieczeństwa aplikacji mobilnych w celu zidentyfikowania luk w zabezpieczeniach, prywatności i zgodności z przepisami przy użyciu analizy statycznej, dynamicznej i behawioralnej - a następnie naprawienie tych wad. Jednakże, jeśli chodzi o aplikacje ze sklepów Apple® App Store® i Google Play™, przedsiębiorstwa nie mają bezpośredniej kontroli nad zewnętrznymi twórcami aplikacji lub ich wewnętrznymi programami testowania aplikacji. W takich przypadkach, zespoły ds. mobilności i bezpieczeństwa potrzebują wiarygodnego źródła informacji o dogłębnych testach bezpieczeństwa aplikacji firm trzecich (i wszelkich aktualizacjach), aby móc podejmować decyzje dotyczące certyfikacji i białych/czarnych list o najniższym ryzyku.
Zarządzanie mobilnością przedsiębiorstwa (EMM) i zarządzanie urządzeniami mobilnymi (MDM), konteneryzacja, testowanie i certyfikacja bezpieczeństwa aplikacji mobilnych oraz weryfikacja aplikacji mobilnych innych firm lub usługi reputacji aplikacji mobilnych (MARS) odgrywają ważną rolę w solidnej i skutecznej strategii bezpieczeństwa aplikacji mobilnych. Połączenie wielu warstw zabezpieczeń aplikacji mobilnych gwarantuje, że bezpieczeństwo jest sumą większą niż wszystkie jego części.
Bezpieczeństwo mobilne a bezpieczeństwo tradycyjne
Wyciągając wnioski z czasów komputerów PC, producenci mobilnych systemów operacyjnych stworzyli systemy z natury bardziej bezpieczne niż tradycyjne systemy desktopowe. Jednak fragmentaryczna mieszanka aplikacji mobilnych pochodzących z różnych źródeł, ciągła łączność z siecią i wiele wbudowanych czujników przekształcają urządzenia mobilne w potencjalne urządzenia do szpiegowania firm. Ilość i szybkość aplikacji mobilnych wydawanych każdego dnia oznacza, że ich jakość i bezpieczeństwo są bardzo zróżnicowane. Trendy Bring-Your-own-device (BYOD) i bring-your-own-app (BYOA) również osłabiają tradycyjną granicę bezpieczeństwa, utrudniają wgląd w urządzenia mobilne niosące ze sobą potencjalne ryzyko i usuwają wszelkie pozory kontroli nad urządzeniami.
Przyjrzyjmy się pokrótce, jak wygląda powierzchnia ataku na urządzenia mobilne, dlaczego żadna technologia nie rozwiązuje problemu bezpieczeństwa mobilnego oraz jakie pytania należy sobie zadać podczas opracowywania strategii ochrony bezpieczeństwa mobilnego.
Powierzchnia ataku mobilnego: Cztery wymiary
Ogólnie rzecz biorąc, mobilna powierzchnia ataku obejmuje cztery potencjalne punkty podatności na ataki: samo urządzenie, aplikacje zainstalowane na urządzeniu, sieci, z którymi łączy się urządzenie, oraz usługi backendowe wykorzystywane przez aplikacje.
Różne rozwiązania bezpieczeństwa mobilnego dostępne na rynku mogą chronić dane na urządzeniu, dane aplikacji lub dane przesyłane przez sieć - ale nie wszystkie trzy jednocześnie lub z wystarczającą jakością i skutecznością. Żadne pojedyncze rozwiązanie nie obejmuje wszystkich czterech wymiarów mobilnej powierzchni ataku.
Zarządzanie mobilnością w przedsiębiorstwie
Rozwiązania do zarządzania mobilnością w przedsiębiorstwie (EMM) łączą w sobie zarządzanie urządzeniami mobilnymi (MDM), zarządzanie aplikacjami mobilnymi (MAM) oraz, opcjonalnie, technologię kontenerów i wrappingu.
Zarządzanie urządzeniami mobilnymi (MDM)
Na początek, MDM koncentruje się na zarządzaniu i konfiguracji urządzeń mobilnych w przedsiębiorstwie - nie są to technologie bezpieczeństwa same w sobie. Oczywiście zdolność MDM do egzekwowania polityki wspiera strategię bezpieczeństwa przedsiębiorstwa, ale MDM nie robi nic, aby bezpośrednio chronić dane aplikacji wewnętrznych lub firm trzecich na urządzeniu.
Funkcjonalność MDM może się różnić w zależności od dostawcy, ale ważne funkcje obejmują:
- Przesłanie bezpiecznych profili konfiguracyjnych do urządzeń z systemami Android i iOS
- Identyfikowanie i kwarantanna zagrożonych, nieaktualnych, niezgodnych lub zagrożonych urządzeń
- Egzekwowanie kodów PIN/paskowych na urządzeniach pracowników
- Ułatwianie zdalnego wymazywania utraconych lub skradzionych urządzeń
- Egzekwowanie białej/czarnej listy aplikacji
Niektórzy pracownicy uważają, że oprogramowanie MDM jest zbyt inwazyjne dla ich urządzeń osobistych, dlatego jego przyjęcie może być trudne w scenariuszach BYOD. Jednak w przypadku urządzeń zarządzanych przez firmę, MDM zapewnia dużą wydajność w konfigurowaniu i wdrażaniu bezpieczniejszych urządzeń mobilnych.
Technologia EMM wraz z MDM może pomóc przedsiębiorstwom w bezpieczniejszym wdrażaniu urządzeń mobilnych jako część strategii warstwowej. Jednak sam MDM nie zabezpiecza przedsiębiorstwa mobilnego.
Zarządzanie aplikacjami mobilnymi (MAM)
Jako kluczowy komponent EMM, zarządzanie aplikacjami mobilnymi (MAM) zapewnia podstawową funkcjonalność do wdrażania, zarządzania, inwentaryzacji i usuwania wewnętrznie opracowanych aplikacji (i powiązanych z nimi danych) oraz aplikacji mobilnych firm trzecich pobranych z komercyjnych sklepów z aplikacjami. MAM zapewnia scentralizowaną kontrolę nad przesyłaniem aplikacji mobilnych do urządzeń zarządzanych przez MDM i udostępnia wewnętrzny firmowy sklep z aplikacjami, z którego pracownicy mogą wybierać i pobierać aplikacje. Podczas gdy technologia MAM może egzekwować białą/czarną listę aplikacji, nie zawiera ona żadnych informacji na temat bezpieczeństwa aplikacji mobilnych, aby pomóc zespołom IT/bezpieczeństwa w identyfikacji ryzykownych aplikacji lub aplikacji, które są lub nie są bezpieczne dla użytku korporacyjnego.
Niektórzy producenci rozszerzyli technologię MAM, aby dodać funkcje bezpieczeństwa do aplikacji mobilnych. Zazwyczaj odbywa się to poprzez wstrzyknięcie SDK do kodu aplikacji (tj. konteneryzacja aplikacji mobilnej) lub "zawinięcie" kodu binarnego aplikacji w celu dodania nowych dynamicznych bibliotek (tj. zawinięcie aplikacji mobilnej). Konteneryzacja i pakowanie nie rozwiązują podstawowego problemu nieprawidłowo zakodowanych aplikacji, które posiadają luki w zabezpieczeniach, prywatności i zgodności z przepisami wewnątrz samej aplikacji - jest to raczej bandaż niż lekarstwo, szczególnie jeśli chodzi o aplikacje innych firm. Nawet jeśli byłoby możliwe niezawodne konteneryzowanie każdej aplikacji (co nie jest możliwe), podejście to nadal się załamuje, ponieważ większość, jeśli nie wszyscy dostawcy aplikacji innych firm odmawiają tworzenia wielu wersji swoich produktów dla wielu kontenerów. A nawet jeśli aplikacja jest skonteneryzowana, nadal nie gwarantuje to, że jest ona wolna od wszystkich luk w zabezpieczeniach, zgodności i prywatności. Aby mieć pewność, aplikacja mobilna musi przejść testy bezpieczeństwa aplikacji mobilnych.
Najlepszym sposobem na upewnienie się, że aplikacje używane przez Twoją organizację są bezpieczne, jest poddanie ich testom bezpieczeństwa aplikacji mobilnych. W ten sposób uzyskasz empiryczny dowód na to, że dana aplikacja jest bezpieczna. Jednak niektóre przedsiębiorstwa nadal dostrzegają wartość w wykorzystaniu technologii konteneryzacji aplikacji mobilnych i pakowania aplikacji mobilnych dla kluczowych aplikacji biznesowych, jako części warstwowego podejścia do bezpieczeństwa.
Konteneryzacja aplikacji mobilnych
Konteneryzacja aplikacji mobilnych izoluje grupę aplikacji mobilnych na samym urządzeniu mobilnym w postaci chronionej warstwy kodu i usług runtime. Konteneryzacja aplikacji mobilnych wymaga jednak, aby twórcy aplikacji dołączyli do swojego kodu pakiet SDK w celu integracji z rozwiązaniem kontenerowym. Sprzedawcy kontenerów aplikacji mobilnych zazwyczaj dostarczają podstawowe aplikacje kontenerowe dla poczty elektronicznej, kalendarza, kontaktów, notatek, dokumentów i wiadomości. Niektórzy producenci nawiązali współpracę z pewnymi zewnętrznymi dostawcami aplikacji w celu integracji z ich kontenerem, jak również poprzez SDK. Kontenery aplikacji mobilnych zazwyczaj chronią przed wyciekiem danych, wymuszają bezpieczną łączność VPN, blokują funkcje wytnij/kopiuj/wklej i zapobiegają przechowywaniu plików poza aplikacją. Konteneryzacja aplikacji mobilnych może zapewnić dodatkową warstwę bezpieczeństwa dla aplikacji, którymi zarządza przedsiębiorstwo - niezależnie od tego, czy są one tworzone wewnętrznie, czy przez wybrane strony trzecie.
Zawijanie aplikacji mobilnych
Pakowanie aplikacji mobilnych to kolejne podejście do zabezpieczania aplikacji mobilnych, które chroni je indywidualnie i nie wymaga od twórcy aplikacji integracji SDK. Zamiast tego, binarna wersja aplikacji mobilnej jest "opakowywana" - zazwyczaj poprzez dekompilację, wstrzyknięcie kodu i ponowną kompilację z dodatkowymi bibliotekami dynamicznymi - w celu zmiany pewnych wywołań wykonywanych przez aplikację docelową. Zawijanie aplikacji mobilnych zapewnia różne zabezpieczenia, takie jak blokowanie funkcji wytnij/kopiuj/wklej w ramach wrażliwej aplikacji korporacyjnej.
Ograniczone wsparcie producentów aplikacji mobilnych dla konteneryzacji i zawijania
Kontenery mobilne i zawijanie aplikacji mają podstawowe ograniczenia. Głównym wyzwaniem związanym ze strategią kontenerową jest to, że nie wszystkie aplikacje mobilne innych firm wymagane przez pracowników do użytku służbowego mogą lub będą integrowane z kontenerami dostarczanymi przez dostawców innych firm. Ponadto, nie wszystkie aplikacje innych firm są "opakowalne" z powodu różnych bibliotek kodowania i funkcjonalności aplikacji.
Wiele z najlepszych aplikacji biznesowych w produktywności biurowej, zarządzania relacjami z klientami (CRM), planowania zasobów przedsiębiorstwa (ERP), zarządzania finansami, opieki zdrowotnej i innych gatunków nie oferuje wersji kontenerowych i nie powiedzie się, gdy wrapper jest stosowany do nich. Przedsiębiorstwa są więc zdane na wdrażanie niekonteneryzowanych wersji tych aplikacji i akceptowanie związanego z tym wzrostu ryzyka lub odmawianie wdrożenia aplikacji w celu zminimalizowania ryzyka, ale wtedy frustrują pracowników i hamują produktywność firmy.
Jednakże, dodając weryfikację aplikacji mobilnych innych firm do standardowych aplikacji nieobjętych konteneryzacją, organizacja może przetestować wszystkie aplikacje, aby upewnić się, że spełniają one korporacyjne zasady bezpieczeństwa, prywatności i zgodności, a następnie niezawodnie wdrożyć je w celu uzyskania maksymalnych korzyści biznesowych. W końcu lepiej jest mieć wgląd w stan bezpieczeństwa tych aplikacji, niż pozostawać w niewiedzy.
Zarządzanie ryzykiem związanym z aplikacjami mobilnymi innych firm
Wiele organizacji, które wdrażają EMM jako część swojej strategii bezpieczeństwa mobilnego, zdaje sobie sprawę, że aplikacje innych firm wspierają cele biznesowe, ale brakuje również wglądu w ich bezpieczeństwo. Z tego powodu wiele przedsiębiorstw zwraca się do NowSecure z prośbą o udostępnienie rozwiązania do weryfikacji aplikacji innych firm. Mimo że organizacje te mogą stosować konteneryzację i/lub pakowanie dla zestawu podstawowych aplikacji mobilnych, nadal obawiają się zagrożeń bezpieczeństwa związanych z aplikacjami firm trzecich, takimi jak Business Intelligence, aplikacje biurowe, ERP, CRM, aplikacje do zarządzania podróżami i wydatkami oraz inne.
Aspekt MAM technologii EMM umożliwia przedsiębiorstwom inwentaryzację aplikacji mobilnych firm trzecich już wdrożonych na urządzeniach mobilnych, ale nie dostarcza szczegółowych informacji na temat bezpieczeństwa aplikacji niezarządzanych (takich jak te znajdujące się w publicznych sklepach z aplikacjami). Przedsiębiorstwa potrzebują głębszego wglądu w bezpieczeństwo tych aplikacji innych firm (i ich kolejnych aktualizacji). W końcu wybrały NowSecure INTEL™ do opartej na chmurze weryfikacji aplikacji mobilnych i usług reputacji aplikacji mobilnych (MARS) w celu szybszego podejmowania bardziej świadomych decyzji dotyczących certyfikacji, wybierania i wpisywania na czarną listę aplikacji Apple App Store i Google Play.
Wiele organizacji z trudem nadąża za prośbami pracowników o korzystanie z aplikacji innych firm w pracy. Każdego dnia w oficjalnych sklepach z aplikacjami publikowanych jest ponad 1400 aplikacji dla systemu iOS i 5600 dla systemu Android oraz ich uaktualnień. Żaden zespół ds. IT, bezpieczeństwa czy mobilności nie jest w stanie dotrzymać im kroku bez pomocy. Jedynym rozwiązaniem jest ciągłe, zautomatyzowane podejście do testowania bezpieczeństwa i ryzyka związanego z tymi aplikacjami. A nie wszystkie informacje o bezpieczeństwie takich aplikacji firm trzecich są sobie równe.
Firma NowSecure INTEL przetestowała pod względem bezpieczeństwa miliony najpopularniejszych aplikacji z Apple App Store i Google Play i stale monitoruje oba sklepy pod kątem nowych wersji. NowSecure INTEL przeprowadza zautomatyzowaną statyczną, dynamiczną i behawioralną analizę aplikacji iOS i Android z punktu widzenia atakującego na prawdziwych urządzeniach iOS i Android. Dodatkowo, NowSecure INTEL oferuje możliwości MARS poprzez monitorowanie aplikacji mobilnych innych firm we wszystkich wersjach w czasie.
Wraz z solidnymi, szczegółowymi wynikami, NowSecure INTEL przypisuje każdej testowanej aplikacji pojedynczy wynik NowSecure Security Score (NSS) oparty na Common Vulnerability Scoring System (CVSS). Pojedynczy wynik, z możliwością pogłębiania w razie potrzeby, daje zespołom ds. bezpieczeństwa i mobilności praktyczny wgląd, którego potrzebują, aby podejmować lepsze i szybsze decyzje dotyczące białych list/blacklist i certyfikacji.
Klienci NowSecure INTEL uważają, że niezwykła dokładność, głębokość i zakres testów wyróżniają to rozwiązanie spośród innych dostępnych na rynku rozwiązań. Dzięki tak głębokiemu i dokładnemu wglądowi, jest to najlepsze rozwiązanie, aby uczynić ich rozwiązania EMM bardziej inteligentnymi i skutecznymi.
Rekomendacje dotyczące warstwowego podejścia do bezpieczeństwa aplikacji mobilnych
Nie ma jednego rozwiązania, które rozwiązałoby cały problem bezpieczeństwa mobilnego w ogóle, a w szczególności wyzwania związane z bezpieczeństwem aplikacji mobilnych. O ile rozwiązania EMM przeniknęły na rynek i oferują doskonałe możliwości w zakresie bezpieczeństwa urządzeń mobilnych, o tyle w kwestii bezpieczeństwa aplikacji mobilnych pozostawiają one nieco do życzenia. Rozwiązania do zarządzania aplikacjami mobilnymi, takie jak konteneryzacja aplikacji mobilnych i pakowanie aplikacji mobilnych mogą pomóc, ale mają też swoje ograniczenia.
Ostatecznie, najlepsze podejście łączy w sobie następujące elementy:
- Wdrożenie EMM z MDM w celu egzekwowania polityki na urządzeniach i MAM w celu inwentaryzacji używanych aplikacji mobilnych
- Poddanie wewnętrznie opracowanych/zarządzanych aplikacji pełnym testom aplikacji mobilnych pod kątem bezpieczeństwa, zgodności i prywatności
- W razie potrzeby, wdrażanie konteneryzacji aplikacji mobilnych i/lub pakowania dla głównych, zarządzanych aplikacji
- Korzystanie z zaufanego, dokładnego rozwiązania do weryfikacji aplikacji mobilnych lub MARS, dzięki czemu można podejmować szybkie i mądre decyzje dotyczące ryzyka związanego z aplikacjami innych firm.
