מחלקות IT רבות נתונות ללחץ עז לפתח וליישם מגוון יוזמות ניידות. יוזמות אלה נוגעות לרוב למגוון תחומי IT. יש מאמץ לפתח אפליקציות פנימיות, לספק גישה למערכות חדשות ומדורגות ממכשירים ניידים כמו האייפון והאייפד, הצורך לנהל ולתמוך במכשירי משתמשים כחלק מתוכניות BYOD, והצורך לפתח פתרונות הפונים ללקוח כמו אתרים מוכווני ניידים ותוכנות מקוריות אפליקציות.
עם כל כך הרבה לחצים שפוגעים בו זמנית בארגוני IT, מתבצעים פשרות בגלל מועדים קצרים ותקציבים. לדברי מומחה האבטחה ג'ף וויליאמס, דחיפה להוציא פתרונות מהר ככל האפשר עלולה לגרום לפתרונות שיש בהם פגמי אבטחה גדולים.
בראיון עם GovInfoSecurity, וויליאמס ממקד את הדיון סביב פיתוח אפליקציות לנייד. ארגונים רבים רואים את רווחי הפריון הפוטנציאליים שאפליקציות הסלולר יכולות להציע להם. בחיפזון לייצר את האפליקציות האלה, רבות מהן אינן מקבלות את בדיקות האבטחה הקפדניות להן הן צריכות.
בעוד שפתרונות ניהול ניידים יכולים לסייע באבטחת מכשירים, וויליאמס מציין כי האפליקציות הפנימיות של חברה יכולות להיות וקטורים קלים להתקפה אם מכשיר אבד או נפגע ושהפתרונות לניהול התקנים עשויים להציע הגנה מועטה כזו מקרים ..
לרוב האפליקציות לנייד יש צד שרת ולאחר מכן מספר לקוחות שונים, והלקוחות יכולים להיות HTML5, אייפון, אנדרואיד, בלקברי או כל דבר אחר. תן לי לנסות לצייר לך תמונה. תארו לעצמכם מעין בועה הנמשכת ממרכז הנתונים של החברה שלכם על חבורה שלמה של רשתות -אולי קצת Wi-Fi וברשתות בינעירוניות וכן הלאה-ומסתיים בתוך הנייד שלך התקן. כאשר אתה מרחיב את הארגון שלך ואת הנתונים שלך דרך הבועה הזו, עכשיו תפקידך להגן על הבועה.
להלן כמה סוגים של דרכים שיש שם חשיפה. כאשר התוקף גונב את הטלפון שלך או מקבל אפליקציה זדונית למכשיר שלך, עליך לשאול את עצמך אם הם יכולים להיכנס לבועה הזו איכשהו. אתה רוצה לוודא שהנתונים שלך מוגנים כאשר הם נמצאים במכשיר; אתה רוצה לוודא שהנתונים שלך מוגנים כאשר הם מועברים בין מרכז הנתונים שלך לבין המכשיר; ואז עליך לוודא שהיישום עצמו מוקשה. זה חייב להיות קוד מחוספס.
וויליאמס גם מציין שחלק מאתגרי האבטחה אינם נושאים חדשים באמת.
לרוע המזל, אנו רואים הרבה מאותם טעויות שראינו בקוד יישומי אינטרנט מעשור אחורה. ארגונים רבים כל כך עסוקים בהיאבקות עם BYOD ו- MBM. והם מנסים להיות הראשונים לשווק ולכן הם מתמודדים עם כל הלחצים העסקיים... כדי להכניס את האפליקציה שלהם לאפליקציה לאחסן ממש מהר והם לא באמת נותנים לפיתוח את המשאבים שהם צריכים כדי לבנות עבורם קוד מאובטח נייד.
בהתייחסו לדאגות אבטחת יישומים, מציע וויליאמס כמה עצות של השכל הישר, כמו אחסון של מעט נתוני חברה בתוך אייפון או אפליקציית אייפד במכשיר ככל האפשר והצפנת כל הנתונים במכשיר (פונקציונליות שאפל מספקת לפתח באמצעות iOS שונות ממשקי API).
עכשיו ליישומים שלך, הדבר הראשון הוא שהם באמת צריכים למזער את הנתונים הרגישים שתאפשר לאחסן בטלפון. אלה הנתונים שיגרמו לחשיפות. הדבר הטוב ביותר שאתה יכול לעשות הוא לא לשים אותו בטלפון. אולי תוכל לשמור אותו בזיכרון או לשמור אותו בענן, אך אל תאפשר לאחסן אותו בטלפון. אם אתה צריך לאחסן נתונים מוצפנים, אז אני חושב שארגונים צריכים לספק למפתחים שלהם מיכל מוצפן - איזה שהוא פתרון יוודא שכל הנתונים שנוחתים בטלפון בסופו של דבר מוצפנים, כך שגם אם הטלפון הולך לאיבוד, נגנב או נפגע, הנתונים עדיין קיימים מוּגָן.
הוא גם יוצר מקום להקשות ולניטור שרתי backend שבעצם מספקים תוכן ונתונים לאפליקציות הסלולר של החברה.
למרות וויליאמס לא מזכיר זאת במפורש בראיון, שכדאי מאוד לקרוא בו שְׁלֵמוּת, חשוב לזכור כי אפליקציות iOS פנימיות אינן עוברות את אותו סוג של בדיקה ואישור שאפל מיישמת עבור אפליקציות הנמכרות דרך iOS App Store. זה אומר שאם מפתחים עושים טעויות או משאירים פגיעויות בקוד שלהם ואפליקציות לא מוצבות באמצעות תהליך בדיקת אבטחה יסודי, ייתכן שחברה לא תבין שיש סיכון עד שזה יהיה גם כן מאוחר.
מָקוֹר: GovInfoSecurity
