75%的移动应用程序将失败基本的安全测试

Gartner表示,到2015年,超过75%的移动应用程序将失败基本的安全测试。企业员工从App Stores下载并使用可以访问企业资产或执行业务功能的移动应用程序,并且这些应用程序很少或没有安全保证。这些申请暴露于攻击和违反企业安全政策的行为。

“拥抱移动计算和BYOD策略的企业易受安全漏洞攻击,除非他们采用移动应用安全测试和风险保证的方法和技术,”Gartner的主要研究分析师狄俄罗斯Zumerle表示。“大多数企业在移动应用程序安全方面都是缺乏经验的。即使进行应用安全测试,也经常被大多关注应用程序功能的开发人员随便完成,而不是他们的安全性。”

Zumerle先生说,现有的静态应用安全测试(SAST)和动态应用安全测试(DAST)供应商将修改和调整这些技术以解决移动应用程序案例并满足移动应用程序安全测试挑战。虽然SAST和DAST已被用于过去六到八年并变得合理成熟,移动测试是一个新的空间,即使是这些技术。

除了SAST和DAST,还为移动应用的新类型的测试,行为分析进行了新型的。测试技术监视运行应用程序,以检测在背景中的应用程序展示的恶意和/或风险行为(例如,当音频播放器应用程序播放音乐时 - 同时,它还访问用户’S联系人列表或地理位置,并启动数据传输到某些外部IP地址)。

测试客户端层 - 在移动设备上运行的移动应用程序的代码和GUI是不够的。应测试服务器层。移动客户端与服务器通信以访问企业’■应用程序和数据库。未能保护服务器会导致丢失企业数十万用户数据的风险’数据库。因此,应使用SAST和DAST技术进行这些服务器端应用程序的代码和用户界面。

“如今,90%以上的企业使用第三方商业应用程序的移动BYOD策略,这是应该应用当前主要应用安全测试的努力,” said Mr Zumerle. “App Stores填充有主要证明其广告的应用程序的应用程序。尽管如此,企业和个人不应在不关注其安全的情况下使用它们。他们应该只下载并仅使用已成功通过专业应用程序安全测试供应商进行的安全测试的应用程序。”

Gartner预测到2017年,端点漏洞的重点将转向平板电脑和智能手机–对于每次攻击到桌面,移动设备已经存在三次攻击。移动设备所提供的安全功能不足以使违规行为最低。 Gartner建议企业通过可用和高效的解决方案,例如应用程序遏制(通过包装,软件开发套件或硬化),专注于移动设备上的数据保护。

到2017年,Gartner预测,75%的移动安全漏洞将是移动应用误导的结果,而不是对移动设备的深度技术攻击的结果。经典的错误配置示例是通过驻留在智能手机和平板电脑上的应用程序滥用个人云服务。当用于传达企业数据时,这些应用程序导致数据泄漏,组织仍然没有意识到绝大多数。

分享这个