Готовы к новостям в области мобильной безопасности, о которых ИТ-специалисты не хотят слышать, но должны? Когда фирма Positive Technologies, занимающаяся безопасностью, начала проводить пентестирование различных мобильных приложений, дыр в системе безопасности было огромное количество.
Мы сейчас углубимся в детали, но вот итог: «Уязвимости с высокой степенью риска были обнаружены в 38 процентах мобильных приложений для iOS и в 43 процентах приложений для Android», и «большинство случаев вызваны недостатками в механизмах безопасности — 74». процентов и 57 процентов для приложений iOS и Android соответственно и 42 процента для серверных компонентов — поскольку такие уязвимости закрадываются на этапе проектирования, их исправление требует значительных изменений в коде».
Вот самая пугающая строка, и она пугает, потому что это означает, что не существует простого исправления корпоративных ИТ: «Риски не обязательно возникают из-за какой-то одной конкретной уязвимости на стороне клиента или сервера. Во многих случаях они являются продуктом нескольких, казалось бы, небольших недостатков. в различных частях мобильного приложения. В совокупности эти упущения могут привести к серьезным последствиям».
Как я уже говорил, корпоративные ИТ-специалисты — и, конечно же, корпоративные директора по информационной безопасности и директорам по безопасности — просто больше не могут доверять приложениям из Apple App Store или Android из Google Play. Это большой кошмар, так как именно туда сотрудники загружают приложения, будь то личные (BYOD) или корпоративные.
Дыры в безопасности могут быть преднамеренными вредоносными программами, непреднамеренными вредоносными программами (независимый разработчик использует существующий код для общей функции, не подозревая, что он содержит вредоносные программы), непреднамеренными дырами в безопасности или даже идеальным кодом, который сам по себе чист, но случайно создает проблемы при взаимодействии. с остальной мобильной средой. Это «взятая вместе» дыра, на которую ссылался Позитив.
Это означает, что предприятия должны нанимать и развертывать свои собственные группы тестирования на проникновение — штатные или нанятые по контракту — для тестирования каждого приложения, которое они собираются разрешить на корпоративном устройстве, даже на устройстве BYOD. Так что да, это вполне может означать также тестирование каждого пользовательского приложения, которое хочет загрузить какой-либо сотрудник. (Разве это не сделает вас ультрапопулярным?!)
Это становится хуже. Чтобы попытаться создать и поддерживать безопасную среду для вашего предприятия, вы не можете просто протестировать все эти приложения один раз. Каждый раз, когда они предлагают обновление, это приложение должно быть проверено заново, учитывая, что вы действительно не знаете, что меняет это обновление.
Некоторые ИТ-директора хотят исключить из этого списка своих основных поставщиков на том сомнительном основании, что они никогда не будут выпускать небезопасный код. Во-первых, наверняка будут. Чем крупнее поставщик, тем больше он становится мишенью для самых хитрых киберворов и кибертеррористов. Если вы не хотите ставить безопасность своей компании на смехотворную предпосылку о том, что системы вашего поставщика совершенны, вы просто не можете им доверять. (В лучшем случае доверяйте, но проверяйте, но даже принцип «доверяйте, но проверяйте» изначально раскрывает ваши системы.)
Было бы намного эффективнее и безопаснее, если бы Apple и Google вложили многомиллиардные инвестиции в безопасность и протестировали все свои собственные приложения, прежде чем публиковать их для загрузки? Конечно, будет, но пока на этом настаивают предприятия — и акционеры их поддержат — этого не будет. О, и Apple, и Google потратят много денег на защиту своих интересов — авторских прав и других вопросов политики — но на защиту предприятий? Не задерживайте свое тормозное дыхание.
«Вы не можете предсказать, унаследуете ли вы уязвимости или нет», — сказал в интервью Николай Анисеня, руководитель группы мобильного пентеста в Positive Technologies. «Если вы хотите снизить риск нападения на своих сотрудников, лучше обучить их безопасности мобильных приложений».
Проблема с обучением сотрудников безопасности приложений заключается в том, что сотрудники предполагают, что корпоративное приложение, утвержденное корпорацией (например, одобренный компанией брандмауэр), прошло корпоративное тестирование. И такое приложение, как брандмауэр, — это именно то приложение, которым будет манипулировать хороший кибервор. Если сотрудник замечает, что одобренный компанией брандмауэр становится агрессивным, этот сотрудник, как правило, предполагает, что это одобренное вмешательство.
Насколько плохи были положительные результаты? Достаточно плохо. Некоторые из наименее любимых фаворитов:
Межпроцессное взаимодействие обычно запрещено для приложений iOS. Однако бывают случаи, когда это необходимо. В iOS 8 Apple представила расширения приложений. С их помощью приложения могут делиться своими функциями с другими приложениями на том же устройстве. Например, приложения для социальных сетей могут обеспечить быстрый обмен контентом в браузере».
Авторское право © 2019 IDG Communications, Inc.