再议移动安全:为什么应用安全首当其冲
- 分类:新闻
如今,企业移动管理(emm)已在移动化中占据了一席之地,但是这也仅仅是移动安全的起步阶段而已。
不管用户是谁,在当前移动场景下,移动安全技术必须具备安全性和可靠性、支持应用级的可视化和可控制性、保护设备不受漏洞威胁,而这些都是emm所不具备的能力。原因如下:
随着大量移动设备涌入办公场所,企业it部门需要及时管控这些设备,因此以移动设备管理(mdm)为核心的emm就应运而生。企业需要提前配置这些设备以方便管理,还要提供企业允许使用的移动应用。但即便emm在企业中大行其道,其主要作用还只是一个严重依赖设备和用户的管理平台。如今移动化世界要求人们转变焦点——人们要更加关注byod、应用、易用性及其特定领域中的相关安全挑战等。我们无法轻易地观察到设备底层操作系统的运作方式,所以无法全然信任设备。因此,无论是何种设备或应用,我们必须将管理措施分层管理。
而随着移动化的飞速发展,围绕着byod和移动应用出现了四大趋势,它们重塑了行业对移动和移动安全需求的看法。就像iphone,当初它是byod推广的催化剂。现在正引爆的下一轮革命,凸显了真正的移动安全尊龙凯时注册的解决方案的需求,这个方案不同于emm,后者出现的移动背景不同,因此也不具备这种专门的功能。
byod——不仅仅是为了员工
大约在10年前,移动化意味着根据需要给员工购买、设置和分配黑莓等手机。时至今日,移动化已演变成员工自带设备(byod)办公,以及企业内应用的爆发性增长。预计到2019年,仅北美地区的移动市场就会增长到896亿美元。移动化优先的企业行为正在迅速扩散,不仅表现为允许员工byod,还有越来越多的员工通过移动设备上的应用与ag尊龙app的合作伙伴和客户交流。这意味着我们不再拥有设备的控制权,所以传统的it模式和mdm方案在处理移动安全问题时,过时了。
移动应用的崛起势不可当,因此我们需要抛开所谓的“保护设备安全”的观点,将焦点转移到“保护应用安全”上来。这样一来,无论使用的是什么设备,都不会影响用户体验。为了实现这一目标,我们必须建立一个被证明可信的模型,而非假定的信任模型。无论移动化和应用如何增长,我们都要在移动化和安全浪潮中,通过零信任模型,保证用户的安全。
人人都是app开发者
随着行业对移动化关注度越来越高,企业的首席信息官们(cios)面临着巨大的压力,一方面要为业务生产线和ag尊龙app的合作伙伴提供安全的应用程序,另一方面还要确保应用能在第一时间推向市场。结果,大量的移动应用开发平台(madp)和能够加快应用开发速度的快速移动应用开发(rmad)工具涌入市场,如今有近90种工具可供选择,这使得懂或者不懂技术的人员都可以很容易地创建应用程序了。既然任何人都可以创建移动应用,就必然导致这些移动应用的“开发人员”的安全意识水平参差不齐。
安全意识缺失,使用外包开发工作室,再加上应用推向市场的时间压力,使得人们更加关注应用的实用性,而忽略了其安全性,这直接导致了应用的安全性降低。据波耐蒙研究所发现,只有41%的受访者表示企业拥有足够的移动安全专业知识;而大多数受访者(55%)表示他们没有测试过应用,或者不确定测试与否。另据gartner的数据,2015年有75%的移动应用程序没有通过基本的安全测试。
为了解决这个问题,我们必须采用基于应用级的安全尊龙凯时注册的解决方案,并为所有的移动应用提供统一的安全框架。这种尊龙凯时注册的解决方案不仅可以保护移动设备,还能保证有缺陷的应用不会为攻击者大开方便之门。只有这样,企业首席信息安全官(cisos)和cio们才会对手机应用的完整性和安全性有信心。
app漏大爆炸
我们从成千上万款企业生产力相关的移动应用中,快速挑出少数几个关键业务应用,如电子邮件、日程表和浏览器,发现它们本身潜藏着可能会导致更大攻击面的漏洞,从而引发敏感数据泄露。随着员工成为it部门的一员(这里指通过byod随时随地办公),并将不安全的应用安装到自己的设备上,企业的敏感信息不断地遭到泄露,企业的it部门更加夜不能寐。据logmein最近的一项调查显示,70%的企业存在“员工自带应用办公”(byoa)的场景,同时即便防护措施已经就位,仍有64%的受访者会自行下载其他的安全方案。
实际工作中,我们需要对所有的移动接入点实现更细粒度的查看,可emm无法满足这个诉求。黑客们在苹果和谷歌的应用商店上传了大量的用户应用,其内含的后门程序会感染设备,这已经是不争的事实。他们还能将恶意软件伪装成一个不存在的新闻应用,引诱用户下载安装。我们如何防范这种情况呢?企业需要在emm方案之外,寻找一种为移动用户交付安全的生产力的方式,而且这种方式不依赖于设备,不再需要若干小时、若干天,甚至周或者月,而是数分钟内即可实现。
手机应用漏洞渐多
大家都知道移动应用本身易受攻击,黑客有大把机会开展各种攻击行为。攻击者喜欢的目标是那种长期在线,却难以被监控、检测和下发警告的应用——移动场景顺理成章地成为发动攻击的完美途径。比如研究人员和黑客不断研究并披露设备层之下的重大漏洞,就能证明移动应用极易受到攻击。比如安卓的stagefright漏洞就(因影响之广、危害之大)被称为移动界的“心脏滴血”。
此外,还要考虑到应用不断的更新和使用等情况。对移动应用程序开发人员来说,应用上市时间的压力很大,因此他们经常使用外包框架开发甚至更新整个应用。虽然外包框架在开发过程中保证了速度,但也意味着开发人员很容易在不知情的情况下引入安全风险,尤其是涉及到第三方组件时更是如此。想象一下,如果openssl这个广受信任的网络加密代码库出了问题,新开发的移动编程库将会是什么样子。
从根本上讲,每个企业移动化的步伐都是独一无二的,这让企业必须个性化思考关于安全的问题。企业需要在一个对设备、应用和用户的管控力逐渐削弱的场景中建立信任和安全。只有真正理解人们通过移动设备进行办公和和沟通的方式,同时了解威胁的存在,才能达成上述目标。我们知道,攻击者紧跟移动用户和移动应用普及的步伐,随时准备着发现应用的新的安全漏洞,这意味着移动设备将成为下一个攻击目标,威胁企业数据和用户隐私。
将零信任模型应用于手机,并在应用层实施正确的安全管控措施,能在提高企业业务生产力水平的同时保证安全性。但底线一定是:设备不再是关键因素,应用才是!
文章来源:securityweek
原文地址:http://www.securityweek.com/rethinking-mobile-security-why-apps-come-first
原文标题:rethinking mobile security - why apps come first
2017/09.26 来源:指掌易科技