Много ИТ отдели са под силен натиск да разработят и внедрят редица инициативи за мобилност. Тези инициативи често обхващат редица ИТ дисциплини. Има усилия да се разработят вътрешни приложения, да се осигури достъп до нови и наследени системи от мобилни устройства като iPhone и iPad, необходимостта от управление и поддръжка на потребителски устройства като част от програмите BYOD и необходимостта от разработване на решения, насочени към клиенти, като мобилни сайтове и местни приложения.
При толкова голям натиск, който едновременно засяга ИТ организациите, се правят компромиси поради строги срокове и бюджети. Според експерта по сигурността Джеф Уилямс, този стремеж за излизане на решенията възможно най -бързо може да доведе до решения, които имат големи недостатъци в сигурността.
В интервю с GovInfoSecurity, Уилямс фокусира дискусията около разработването на мобилни приложения. Много организации виждат потенциалното повишаване на производителността, което мобилните приложения могат да им предложат. В бързането да произвеждат тези приложения, много от тях не получават строгите тестове за сигурност, от които се нуждаят.
Докато решенията за управление на мобилни устройства могат да помогнат за защитените устройства, Уилямс отбелязва, че вътрешните приложения на компанията могат да бъдат лесни вектори за атака, ако дадено устройство е изгубено или компрометирано и че решенията за управление на устройства могат да предлагат малка защита при такива дела ..
Повечето мобилни приложения имат страна на сървъра и след това няколко различни клиента, като клиентите могат да бъдат HTML5, iPhone, Android, Blackberry или каквото и да е друго. Нека се опитам да нарисувам картина за вас. Представете си нещо като балон, който се простира от центъра за данни на вашата компания през цял куп мрежи -може би някои Wi-Fi и в мрежи за дълги разстояния и така нататък-и завършва във вашия мобилен телефон устройство. Когато разширявате предприятието и данните си през този балон, сега вашата работа е да защитите балона.
Ето някои от начините, по които има експозиция там. Когато нападателят открадне телефона ви или получи злонамерено приложение на устройството ви, трябва да се запитате дали те могат по някакъв начин да влязат в този балон. Искате да сте сигурни, че вашите данни са защитени, когато са на устройство; искате да сте сигурни, че вашите данни са защитени, когато се предават между вашия център за данни и устройството; и тогава трябва да се уверите, че самото ви приложение е втвърдено. Трябва да е здрав код.
Уилямс също отбелязва, че някои от предизвикателствата за сигурността не са наистина нови проблеми.
За съжаление виждаме много от същите видове грешки, които видяхме в кода на уеб приложението от десетилетие назад. Много организации са толкова заети в борбата с BYOD и MBM. Те се опитват да бъдат първите на пазара, така че се справят с какъвто и да е бизнес натиск... да вкарат приложението си в приложението съхраняват много бързо и всъщност не дават на развитието ресурсите, от които се нуждаят, за да създадат защитен код Подвижен.
Разглеждайки опасенията за сигурността на приложението, Уилямс предлага някои здрави съвети, като например съхраняване на малки данни на компанията в iPhone или iPad приложение на устройството възможно най -много и криптиране на всички данни на устройството (функционалност, която Apple предоставя за развитие чрез различни iOS API).
Сега за вашите приложения, първото нещо е, че те трябва наистина да сведат до минимум чувствителните данни, които ще позволите да се съхраняват на телефона. Това са данните, които ще предизвикат експозиция. Най -доброто, което можете да направите, е да не го поставяте на телефона. Може би можете да го запазите в паметта или да го държите в облака, но не позволявайте да се съхранява на телефона. Ако трябва да съхранявате криптирани данни, тогава мисля, че организациите трябва да предоставят на своите разработчици криптиран контейнер - някакво решение, което ще се увери, че всички данни, които попадат в телефона, в крайна сметка са криптирани, така че дори ако телефонът се загуби, открадне или компрометира, тези данни все още са защитени.
Той също така твърди, че втвърдява и наблюдава бекенд сървъри, които всъщност доставят съдържание и данни в мобилните приложения на компанията.
Въпреки че Уилямс не го споменава изрично в интервюто, което си заслужава да бъде прочетено в него изцяло, важно е да имате предвид, че вътрешните приложения за iOS не преминават през същия вид процес на проверка и одобрение, който Apple прилага за приложения, продавани чрез iOS App Store. Това означава, че ако разработчиците правят грешки или оставят уязвимости в кода си и приложенията не са поставени чрез задълбочен процес на проверка на сигурността, компанията може да не осъзнае, че съществува риск, докато не стане и тя късно.
Източник: GovInfoSecurity