많은 IT 부서는 다양한 모빌리티 이니셔티브를 개발하고 구현해야 한다는 강한 압박을 받고 있습니다. 이러한 이니셔티브는 종종 다양한 IT 분야에 걸쳐 있습니다. 내부 앱을 개발하고 iPhone 및 iPad와 같은 모바일 장치에서 새 시스템 및 기존 시스템에 대한 액세스를 제공하려는 노력이 있습니다. BYOD 프로그램의 일부로 사용자 장치를 관리 및 지원하며 모바일 지향 사이트 및 네이티브와 같은 고객 대면 솔루션 개발 필요성 앱.
IT 조직에 동시에 많은 압력이 가해지면서 촉박한 마감일과 예산으로 인해 타협이 이루어지고 있습니다. 보안 전문가인 Jeff Williams에 따르면 가능한 한 빨리 솔루션을 출시하려는 노력은 솔루션에 주요 보안 결함이 있는 솔루션을 초래할 수 있습니다.
와의 인터뷰에서 정부정보보안, Williams는 모바일 앱 개발에 대한 논의에 중점을 둡니다. 많은 조직에서 모바일 앱이 제공할 수 있는 잠재적인 생산성 향상을 보고 있습니다. 이러한 앱을 생산하기 위해 서두르면서 많은 앱이 필요한 엄격한 보안 테스트를 받지 못하고 있습니다.
모바일 관리 솔루션이 장치를 보호하는 데 도움이 될 수 있지만 Williams는 회사의 내부 앱이 손쉬운 매개체가 될 수 있다고 말합니다. 장치가 분실되거나 손상되고 해당 장치 관리 솔루션이 이러한 공격에 대한 보호 기능이 거의 제공되지 않는 경우 공격에 대한 케이스..
대부분의 모바일 앱에는 서버 측과 여러 다른 클라이언트가 있으며 클라이언트는 HTML5, iPhone, Android, Blackberry 등이 될 수 있습니다. 내가 당신을 위해 그림을 그리도록 노력하겠습니다. 회사의 데이터 센터에서 네트워크 전체로 확장되는 일종의 거품을 상상해 보십시오. – 아마도 일부 Wi-Fi 및 장거리 네트워크 등을 통해 – 그리고 모바일 내부에 끝납니다. 장치. 이 거품을 통해 기업과 데이터를 확장할 때 이제 거품을 보호하는 것이 귀하의 임무입니다.
여기에 노출이 있는 몇 가지 방법이 있습니다. 공격자가 휴대전화를 훔치거나 기기에 악성 앱을 설치하면 어떻게든 공격자가 그 거품 안에 들어갈 수 있는지 자문해야 합니다. 데이터가 기기에 있을 때 데이터가 보호되는지 확인하고 싶습니다. 데이터 센터와 장치 간에 데이터를 전송할 때 데이터가 보호되는지 확인하고 싶습니다. 그런 다음 애플리케이션 자체가 강화되었는지 확인해야 합니다. 견고한 코드여야 합니다.
Williams는 또한 보안 문제 중 일부가 실제로 새로운 문제가 아니라는 점에 주목합니다.
불행히도 우리는 10년 전 웹 애플리케이션 코드에서 보았던 것과 같은 종류의 실수를 많이 보고 있습니다. 많은 조직이 BYOD 및 MBM과 씨름하느라 너무 바쁩니다. 그리고 그들은 가장 먼저 시장에 내놓기 위해 노력하고 있습니다. 그래서 그들은 어떤 비즈니스 압력에도 대처하고 있습니다… 매우 빠르게 저장하고 보안 코드를 빌드하는 데 필요한 리소스를 개발에 제공하지 않습니다. 이동하는.
응용 프로그램 보안 문제를 해결하기 위해 Williams는 iPhone에 회사 데이터를 적게 저장하거나 기기의 iPad 앱을 최대한 활용하고 기기의 모든 데이터를 암호화(Apple이 다양한 iOS를 통해 개발하기 위해 제공하는 기능 아피스).
이제 애플리케이션의 경우 가장 먼저 휴대전화에 저장할 수 있는 민감한 데이터를 최소화해야 합니다. 노출의 원인이 되는 데이터입니다. 당신이 할 수있는 가장 좋은 것은 전화에 넣지 않는 것입니다. 메모리에 보관하거나 클라우드에 보관할 수 있지만 전화에 저장하는 것은 허용하지 않습니다. 암호화된 데이터를 저장해야 한다면 조직에서 개발자에게 암호화된 컨테이너를 제공해야 한다고 생각합니다. 휴대전화에 저장되는 모든 데이터가 암호화되어 휴대전화가 분실, 도난 또는 손상되더라도 해당 데이터는 그대로 유지됩니다. 보호.
그는 또한 회사의 모바일 앱에 콘텐츠와 데이터를 실제로 전달하는 백엔드 서버를 강화하고 모니터링하는 사례를 제시합니다.
Williams는 인터뷰에서 그것을 명시적으로 언급하지 않았지만, 그 인터뷰에서 읽을 가치가 있습니다. 전체, 내부 iOS 앱은 iOS App Store를 통해 판매되는 앱에 대해 Apple이 구현하는 것과 같은 종류의 검사 및 승인 프로세스를 거치지 않는다는 점을 기억하는 것이 중요합니다. 즉, 개발자가 실수를 하거나 코드에 취약점을 남기고 앱이 철저한 보안 검증 과정을 통해 기업은 위험이 닥칠 때까지 위험이 있다는 것을 인지하지 못할 수 있습니다. 늦은.
원천: 정부정보보안
