По данным компании Gartner, сейчас свыше 90% предприятий в рамках стратегии BYOD используют коммерческие приложения третьих фирм для мобильных устройств своих сотрудников. В то же время, согласно прогнозу аналитиков компании, в течение 2015 г. более 75% имеющихся в мире мобильных приложений не выдержат базовых тестов на безопасность.
Сотрудники предприятий скачивают мобильные приложения из интернет-магазинов и используют, в частности, и те, что имеют доступ к данным предприятия или выполняют определенные бизнес-функции, тогда как эти приложения не прошли проверку на безопасность. В результате они могут подвергаться атакам и нарушать политики безопасности предприятия.
Мнение: организациям, принимающим стратегию BYOD, необходимо освоить и применять методы и технологии тестирования и оценки рисков применения мобильных приложений, чего большинство из них, как утверждают в Gartner, не делают. Если даже тестирование приложений и проводится, то зачастую самими разработчиками, которых больше заботит функциональность приложения, а не его уязвимость.
Вендорам следует модифицировать и настроить имеющиеся технологии статического тестирования (static application security testing, SAST) и динамического тестирования (dynamic application security testing, DAST) под нужды и потребности проверки безопасности используемых на предприятии мобильных приложений. Хотя тесты SAST и DAST за последние 6-8 лет достаточно отработаны, тестирование мобильных приложений даже для этих технологий – это новая страница.
В добавок к SAST и DAST для мобильных приложений появляется новый тип тестирования, суть которого – поведенческий анализ. Эта технология мониторит работающее приложение и выявляет опасное и/или рискованное поведение, продемонстрированное в бэкграунде приложения.
Тестирования клиентского уровня (кода и графического интерфейса пользователя) приложения, запускаемого на мобильном устройстве, недостаточно. Необходимо также тестировать слой сервера, поскольку мобильные клиенты контактируют с серверами для получения доступа к корпоративным приложениям и базам данных. Незащищенный доступ к серверу связан с риском потери данных о сотнях и тысячах пользователей из корпоративных баз данных. Так что необходимо также тестирование с помощью технологий SAST и DAST пользовательских интерфейсов и кода доступа к приложениям, хранящимся на серверах.
В интернет-магазинах масса разрекламированных и действительно полезных приложений. Тем не менее и организации, и частные пользователи должны уделить внимание их безопасности: скачивать рекомендуется лишь те из них, которые успешно прошли тесты, выполненные специализированными в области безопасности фирмами.
По прогнозу Gartner, к 2017 г. фокус атак киберпреступников окончательно переместится на планшеты и смартфоны, а на них уже сейчас взломы происходят в три раза чаще, чем на десктопах. Степень защиты современных мобильных устройств не способна свести взломы к минимуму. Gartner рекомендует предприятиям сфокусироваться на защите данных на мобильных устройствах с помощью таких эффективных решений, как сдерживание общего количества приложений.
Аналитики Gartner прогнозируют, что в 2017 г. 75% всех нарушений безопасности мобильных устройств явятся в большей степени результатом неправильной конфигурации мобильных приложений, а не результатом активных атак на мобильные устройства. Классический же пример неправильного конфигурирования заключается в неправильном применении персонального облачного сервиса на приложения, хранящиеся на смартфонах и планшетах. При передаче корпоративных данных использование таких приложений ведет к утечкам данных, о которых большая часть организаций даже и не догадывается.