Mnogi IT odjeli pod snažnim su pritiskom da razviju i provedu niz inicijativa za mobilnost. Te inicijative često obuhvaćaju niz IT disciplina. Ulaže se napor u razvoj internih aplikacija, omogućavanje pristupa novim i naslijeđenim sustavima s mobilnih uređaja poput iPhonea i iPada, potreba za upravljati i podržavati korisničke uređaje kao dio BYOD programa, te potrebu za razvojem rješenja usmjerenih prema korisnicima, poput mobilnih web stranica i izvornih aplikacije.
Uz tolike pritiske koji u isto vrijeme pogađaju IT organizacije, dolazi do kompromisa zbog kratkih rokova i proračuna. Prema sigurnosnom stručnjaku Jeffu Williamsu, to nastojanje da se rješenja izađu što je prije moguće može rezultirati rješenjima koja imaju velike sigurnosne nedostatke.
U intervjuu s GovInfoSecurity, Williams raspravlja o razvoju mobilnih aplikacija. Mnoge organizacije vide potencijalno povećanje produktivnosti koje im mobilne aplikacije mogu ponuditi. U žurbi s proizvodnjom tih aplikacija, mnoge od njih ne prolaze stroga sigurnosna testiranja koja su im potrebna.
Iako rješenja za upravljanje mobilnim uređajima mogu pomoći u zaštiti uređaja, Williams napominje da interne aplikacije tvrtke mogu biti jednostavni vektori za napad ako se uređaj izgubi ili je ugrožen te da rješenja za upravljanje uređajem u takvim slučajevima mogu ponuditi malo zaštite slučajevi ..
Većina mobilnih aplikacija ima poslužiteljsku stranu, a zatim nekoliko različitih klijenata, a klijenti bi mogli biti HTML5, iPhone, Android, Blackberry ili što već. Dopustite mi da vam pokušam naslikati sliku. Zamislite neku vrstu mjehurića koji se proteže od podatkovnog centra vaše tvrtke preko čitave hrpe mreža -možda neki Wi-Fi i preko mreža na daljinu i tako dalje-i završi unutar vašeg mobitela uređaj. Kad proširujete svoje poduzeće i svoje podatke kroz ovaj oblačić, sada je vaš posao zaštititi mjehurić.
Evo nekih od načina na koje postoji izloženost. Kad napadač ukrade vaš telefon ili na vaš uređaj instalira zlonamjernu aplikaciju, morate se zapitati mogu li oni nekako ući u taj mjehurić. Želite biti sigurni da su vaši podaci zaštićeni dok su na uređaju; želite biti sigurni da su vaši podaci zaštićeni kada se prenose između vašeg podatkovnog centra i uređaja; a zatim morate biti sigurni da je vaša aplikacija očvrsnula. Mora biti robustan kod.
Williams također napominje da neki sigurnosni izazovi nisu zapravo novi problemi.
Nažalost, vidimo mnoge iste vrste pogrešaka koje smo vidjeli u kodu web aplikacija od prije desetak godina. Mnoge su organizacije toliko zauzete hrvanjem s BYOD -om i MBM -om. Pokušavaju biti prvi na tržištu pa se nose s bilo kakvim poslovnim pritiscima... kako bi svoju aplikaciju unijeli u aplikaciju pohranjuju jako brzo i ne daju razvojnim resursima potrebna sredstva za izgradnju sigurnog koda mobilni.
Baveći se sigurnosnim problemima aplikacija, Williams nudi neke zdravorazumske savjete, poput pohranjivanja što manje podataka o tvrtki unutar iPhonea ili iPad aplikaciju na uređaju što je više moguće i šifrira sve podatke na uređaju (funkcionalnost koju Apple pruža razvija kroz različite iOS -ove Apis).
Što se tiče vaših aplikacija, prva stvar je da bi zaista trebale smanjiti osjetljive podatke koje ćete dopustiti pohranjivanju na telefonu. To su podaci koji će uzrokovati izloženost. Najbolje što možete učiniti je ne staviti ga na telefon. Možda ga možete zadržati u memoriji ili zadržati u oblaku, ali ne dopustite da se pohrani na telefonu. Ako morate pohraniti šifrirane podatke, onda mislim da bi organizacije trebale svojim programerima pružiti šifrirani spremnik - neku vrstu rješenja koje pobrinut će se da svi podaci koji padnu na telefon završe šifrirani, pa čak i ako se telefon izgubi, ukrade ili ugrozi, ti podaci su i dalje zaštićen.
On također zagovara učvršćivanje i praćenje pozadinskih poslužitelja koji zapravo isporučuju sadržaj i podatke mobilnim aplikacijama tvrtke.
Iako Williams to ne spominje izričito u intervjuu, što je vrijedno pročitati u njegovu cjelina, važno je imati na umu da interne aplikacije za iOS ne prolaze istu vrstu pregleda i postupka odobravanja koji Apple provodi za aplikacije koje se prodaju putem iOS App Store -a. To znači da ako programeri pogriješe ili ostave ranjivosti u svom kodu i aplikacije se ne stavljaju kroz temeljit postupak sigurnosne provjere tvrtka možda neće shvatiti da postoji rizik dok i ona to ne učini kasno.
Izvor: GovInfoSecurity
