Оценки безопасности мобильных приложений: лучшие практики для запуска и поддержки безопасного приложения — Information Security Squad

Оценки безопасности мобильных приложений: лучшие практики для запуска и поддержки безопасного приложения

Рассматриваете ли вы оценку безопасности мобильного приложения?

Узнайте о 5 лучших способах компрометации приложений и основных видах тестирования и передовых методах.

Если вам интересно, является ли ваше мобильное приложение безопасным и защищенным, возможно, пришло время подумать об оценке безопасности.

Согласно отчету Nielsen Total Audience за первый квартал 2018 года, средний потребитель в США тратит в среднем три часа и 48 минут в день на цифровые носители, а потребители тратят 62% этого времени на приложения и использование Интернета через смартфоны.

Поскольку многим приложениям требуется доступ к пользовательским данным, создатели приложений должны обеспечить оптимальную безопасность для своей платформы.

Взлом данных с помощью мобильных приложений становится все более популярной целью среди киберпреступников, а средняя стоимость взлома данных составляет 3,86 млн. долларов.

Утечки данных через незащищенные сети Wi-Fi, слабая криптография или другие уязвимости могут сделать ваше приложение главной целью для коварных исполнителей угроз.

Узнайте о пяти лучших способах взлома приложений и о лучших мерах по тестированию безопасности для защиты вашего мобильного приложения.

Что такое безопасность приложений и почему это важно?

Безопасность приложений — это процесс тестирования и проверки приложения на предмет защиты мобильных приложений, веб-приложений или API от потенциальных атак.

Организациям часто не хватает опыта и пропускной способности для адекватного мониторинга своих приложений и адаптации своего протокола безопасности для смягчения возникающих угроз.

Кроме того, изменяющиеся законы о соблюдении требуют от предприятий соблюдения строгих требований по защите (аналогично тому, как диктует соблюдение GDPR).

Каждое предприятие уникально и нуждается в экспертном руководстве для разработки стратегии безопасности, обеспечивающей соответствие требованиям, предотвращение атак и защиту пользовательских данных.

Безопасность приложений необходима, потому что предприятия могут работать над развитием и улучшением бизнеса с гарантией того, что приложения защищены от потенциальной опасности.

Безопасность приложений повышает операционную эффективность, отвечает требованиям соответствия, снижает риски и повышает доверие между бизнесом и пользователями.

Нарушения общественной безопасности и нарушения нормативных требований серьезно подрывают репутацию предприятия и заставляют потенциальных пользователей опасаться доверять бизнес-услугам.

Внедрение эффективной безопасности приложений — стоящее вложение.

Безопасность мобильных приложений: 5 главных угроз безопасности для мобильных устройств

Резкий рост количества смартфонов на рабочем месте и в повседневных ситуациях сделал их главной целью для хакеров.

Ни одно вычислительное устройство не является на 100% безопасным, и субъекты угроз продолжают искать новые способы использования уязвимостей на мобильных устройствах.

По словам Николаса Фирна, в 2017 году число атак на мобильные приложения возросло на 63%, поэтому крайне важно быть в курсе самых серьезных угроз безопасности для мобильных устройств.

1. Незащищенный Wi-Fi

Неподтвержденные серверы и незащищенные сети Wi-Fi в кофейнях или книжных магазинах — это рай для хакеров, не говоря уже об одной из самых серьезных угроз безопасности для мобильных устройств.

По словам репортера CNBC Дженнифер Шлезингер, хакеры пытаются скомпрометировать предприятия с помощью мобильных уязвимостей из-за роста числа смартфонов на рабочем месте.

Несмотря на предупреждения пользователей смартфонов о потенциально опасных и непроверенных серверах, пользователи продолжат подключаться к опасным сетям.

Инициаторы угроз могут использовать эти незащищенные сети для доступа к конфиденциальным данным непосредственно с телефонов или приложений.

2. Приложения с вредоносным кодом

Пользователи смартфонов загрузили 197 миллиардов мобильных приложений в 2017 году.

Однако пользователи могут загружать приложения со сторонних веб-сайтов вне Google Play Store или Apple App Store.

Хакеры могут использовать незащищенные приложения для использования конфиденциальных данных от мобильных пользователей.

Например, вредоносное вредоносное мобильное приложение под названием «Gooligan» заразило 1,3 миллиона пользователей Android, и субъекты угроз смогли украсть пользовательские данные.

Хакеры могут создавать приложения-копии и размещать их в сторонних магазинах приложений, а затем, как и фишинговые схемы, использовать вредоносное программное обеспечение для кражи данных.

Вы можете предотвратить угрозы безопасности мобильных устройств, загружая приложения только из официальных магазинов приложений.

3. Уязвимости операционной системы

Производители смартфонов должны постоянно обновлять операционное программное обеспечение для обеспечения технологических улучшений, новых функций и повышения общей производительности системы.

Пользователю смартфона периодически рекомендуется обновлять операционные системы (например, пользователям iPhone в операционных системах iOS).

Разработчики программного обеспечения отслеживают возникающие уязвимости и настраивают операционные системы для устранения угроз.

Однако пользователи могут отказаться от обновления системы или, возможно, их устройство больше не совместимо с последним обновлением.

Наилучшей защитой от возникающих мобильных угроз является обновление операционной системы как можно скорее и обновление мобильного устройства, если операционная система больше не совместима с новыми обновлениями.

4. Утечки данных

Мобильные приложения обычно хранят данные на удаленных серверах.

Пользователи часто загружают приложения и сразу же заполняют подсказки, чтобы начать использовать приложение, но часто не проверяют это должным образом.

Рекламодатели могут добывать данные, чтобы узнать больше о целевой демографии, но киберпреступники могут также получить доступ к серверам и утечки конфиденциальных данных.

Непреднамеренные утечки данных могут быть вызваны кэшированием, небезопасным хранением и cookie-файлами браузера.

5. Проблемы криптографии

Мобильная криптография имеет решающее значение для безопасности и обеспечивает безопасную работу данных и приложений.

Программное обеспечение iOS должно проверить, что приложение имеет цифровую подпись из надежного источника, а затем расшифровать приложение, чтобы выполнить его.

Программное обеспечение Android просто проверяет, что приложение имеет цифровую подпись, и не обязательно проверяет надежность подписавшего.

Такой дизайн цифрового доверия повышает важность загрузки приложений из официального источника.

Чувствительные данные в состоянии покоя на мобильном устройстве обычно становятся жертвами непреднамеренного раскрытия из-за плохой или полной нехватки криптографических реализаций.

Разработчики, работающие в сжатые сроки или пытающиеся срезать углы, могут использовать алгоритмы шифрования с существующими уязвимостями или вообще не использовать какое-либо шифрование.

Субъекты угроз могут использовать эти уязвимости или грабить данные с взломанного мобильного устройства.

Что такое тестирование мобильных приложений?

Тестирование мобильных приложений снижает риски, тестирует потенциальные уязвимости и проверяет программное обеспечение, чтобы убедиться, что приложение безопасно и соответствует требованиям безопасности.

Эксперты по кибербезопасности используют различные тесты и стратегии для мониторинга уязвимостей, чтобы оценить безопасность мобильного приложения.

Тестирование безопасности мобильных приложений требует передовых знаний и ресурсов.

Эксперты по безопасности часто создают реалистичные кибератаки для выявления потенциальных рисков.

Они проверяют не только мобильное приложение, но и всю внутреннюю систему, поддерживающую инфраструктуру и API.

Это же касается телефонов Xiaomi https://Zeon18.ru/tig/smartphones/brand-xiaomi/

Тестирование проникновения мобильных приложений: найдите свои уязвимости

Тесты на проникновение являются важной процедурой безопасности для тестирования мобильных приложений.

Хотя сканирование уязвимостей направлено на тестирование известных уязвимостей, аналитики безопасности используют тесты на проникновение, чтобы найти любую потенциальную уязвимость, будь то плохие настройки безопасности, незашифрованные пароли или неизвестный недостаток.

Подражая привычкам субъектов угроз, аналитики могут предвидеть стратегии киберпреступников и создать протокол безопасности, который на шаг впереди плохих парней.

Профессионалы должны выполнять тесты на проникновение, по крайней мере, один или два раза в год, так как стратегии атак кибербезопасности постоянно развиваются.

Аналитики безопасности часто используют два типа тестов на проникновение: тесты black box и white box.

1. Тестирование white box (статическое тестирование безопасности приложений)

Тестирование white box, также известного как статическое тестирование безопасности приложений (SAST), направлено на тестирование безопасности мобильного приложения с точки зрения осведомленного злоумышленника.

Аналитики безопасности пытаются получить как можно больше информации о конкретном мобильном приложении и сети перед выполнением теста.

Специалисты по безопасности будут проводить атаки на основе их понимания.

Тестирование white box занимает меньше времени, чем тестирование black box , потому что оно использует предыдущие исследования безопасности для руководства смоделированными атаками; однако, это не так реалистично.

2. Тестирование black box

Тестирование black box имитирует, как неосведомленный злоумышленник попытается использовать уязвимости.

Специалисты по безопасности внедряют различные угрозы для анализа уровня безопасности мобильного приложения.

Хотя они имитируют более реалистичную атаку, чем атака white box, специалисты по кибербезопасности могут не иметь возможности протестировать некоторые уязвимости из-за недостатка информации о конкретном приложении.

Консультанты Secureworks® объединяют аспекты этих методов  при проведении мобильного тестирования.

Комбинируя подход информированного злоумышленника с методами тестирования черного ящика, консультанты могут эффективно тестировать компоненты мобильной среды за меньшее время, чем один только black box тест.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40