[spb_text_block animation=”none” animation_delay=”0″ simplified_controls=”yes” custom_css_percentage=”no” padding_vertical=”0″ padding_horizontal=”0″ margin_vertical=”0″ custom_css=”margin-top: 0px;margin-bottom: 0px;” border_size=”0″ border_styling_global=”default” width=”1/1″ el_position=”first last”]
Az ügyfelek általában túlbecsülik a mobil alkalmazások üzleti használatának kockázatait, míg a fejlesztők inkább alulbecslik azokat. A tanácsadó feladata pedig, hogy mindkettővel találkozzon félúton. Ahhoz, hogy ez sikerüljön, tudnia kell, melyek azok az iparági sztenderdek, legjobb gyakorlatok, és a felhasználók által generált problémák, amelyek hatással lehetnek a biztonságos működésre.
[/spb_text_block] [spb_image image=”17750″ image_size=”full” frame=”noframe” caption_pos=”hover” remove_rounded=”yes” fullwidth=”no” overflow_mode=”none” link_target=”_self” lightbox=”no” intro_animation=”none” animation_delay=”200″ width=”1/1″ el_position=”first last”] [spb_text_block animation=”none” animation_delay=”0″ simplified_controls=”yes” custom_css_percentage=”no” padding_vertical=”0″ padding_horizontal=”0″ margin_vertical=”0″ custom_css=”margin-top: 0px;margin-bottom: 0px;” border_size=”0″ border_styling_global=”default” width=”1/1″ el_position=”first last”]
Egy vállalati mobil alkalmazást sokféle módon lehet biztonságossá tenni, és legtöbbször ezen módszerek valamilyen kombinációja vezet az igazán biztonságos eredményre.
A stabil IT-biztonsági irányelvekhez való igazodás, vagy még inkább, egy mobil biztonsági keretrendszerbe való illeszkedés mindenképpen jó kezdet. Ezután következik a mobil alkalmazásokra vonatkozó konkrét kockázatok felmérése, valamint azon megoldások megtalálása, amelyekkel a mobil munkafolyamat minden elemének biztonsága kontroll alatt tartható.
A megelőzés és a védelem egyaránt fontos: ennek a koncepciónak az alapjairól már volt szó egy korábbi SCOLVO blogposztban. Ezúttal pedig bemutatjuk azokat a főbb ellenőrző pontokat, amelyeken a mobil megoldásnak át kell tudni haladnia ahhoz, hogy biztonságosnak minősítsük.
1. Ellenőrző pont: A kód biztonságos
Az abszolút minimum, ami elvárható egy mobil alkalmazás-fejlesztőtől, hogy biztonságos kódokat használjon. A fejlesztés során számos lépéssel biztosítható, hogy semmilyen ártalmas kód ne kerülhessen be a rendszerbe a folyamat egyetlen pontján sem, akár kódvisszafejtés, akár hamisítás, akár más úton.
Ha a kód titkosítva van, akkor aligha lesz elérhető a rosszakarók számára. Az auditok, szemlék, penetrációs vizsgálatok, és biztonsági szakértő jóváhagyásától függő verzió-megjelenések tovább fokozhatják a védelmet és segítik a sebezhetőségek miharabbi felfedezését.
Ha egy kód publikus, a hibái támadási felületté válhatnak és az applikáció maga módosítható lesz. Ezzel a vállalkozás azt kockáztatja, hogy felhasználói esetleg a módosított verziót töltik le, és maguk is támadási célponttá válnak.
2. Ellenőrző pont: Az adat biztonságos
A vállalati alkalmazások esetében az adat, amely gyakran érzékeny, és jelentős üzleti értékkel bír, a felhasználók készülékein van tárolva. A fejlesztőknek különleges titkosítási algoritmusokat kell használniuk (a SCOLVO például az elliptikus görbe-módszerre esküszik), hogy megvédjék ezeket az adatokat az illetéktelen használattól.
Az is fontos, hogy a titkosításra használt algoritmus naprakész legyen, hiszen csak így tud maximális biztonságot adni: a jó fejlesztő csapatok állandóan figyelik a legújabb trendeket és legjobb gyakorlatokat minden iparágban, hogy ki tudják választani a leghatékonyabb biztonsági megoldásokat.
A mobil eszközök és alkalmazások révén történő adatvesztés egy olyan fenyegetés, amit illik komolyan venni. A Lookout és a Ponemon Institute tanulmányából kiderül, a mobil adatokkal való visszaélés akár több mint húszmillió dolláros veszteséget is jelenthet egy cégnek, ami különösen nagy rizikó annak fényében, hogy a vállalatok kétharmadának már van ilyen visszaéléssel kapcsolatos tapasztalata.
3. Ellenőrző pont: A hozzáférés biztonságos
Mindannyian tudjuk, hogy a jelszavak milyen gyenge védelmet is jelenthetnek: rengeteg felhasználó nincs tisztában a veszélyekkel, amelyet bizonyos szokásaiból, vagy éppen magukból az eszközökből fakadnak. Ennek ellenére a nem professzionális jelszókezelés ellen titkosítási módszerekkel lehet védekezni, vagy ami még jobb, funkciótól függő hozzáférések kialakításával, amely egy további biztonsági réteget képez azáltal, hogy csak a felhasználó munkájához feltétlenül szükséges információt engedi látni. A különböző profilokat pedig egy Identity Access Management rendszerrel lehet kezelni.
A Gemalto Breach Level Indexe szerint az identitáslopás a leggyakoribb visszaélés, jelenleg 58 százalékát teszi ki az összesnek, és ez az arány egyre nő.
A jó hír viszont, hogy a kicsi, de kompetens csapatok is megóvhatják üzleti felhasználóikat a bukástól, ha a megfelelő eszközöket használják, és az érzékeny adatokat konfigurációs fájlokban titkosítják. Ezen kívül a biztonsági beállításokat alapértelmezésben maximális védelemre állítva is sok támadás kivédhető.
4. Ellenőrző pont: A kommunikáció biztonságos
A mobil app és a backend-rendszerek vagy harmadik fél által nyújtott szolgáltatások közötti kommunikációt szintén megfelelő titkosítással és hitelesítéssel kell biztosítani. Az általánosan alkalmazott protokoll egy egyszerű hitelesítés SSL/TLS titkosítással kombinálva, míg a fejlesztési környezetet tanúsítvány-kibocsátók bevonásával lehet biztonságosabbá tenni.
5. Ellenőrző pont: A külső szolgáltatások biztonságosak
Abban, hogy egy alkalmazás tudja kivédeni vagy legyőzni a rosszindulatú támadásokat, kulcsfontosságú szerepe van a külső partnereknek, legtöbbször a felhő-alapú infrastruktúra-szolgáltatóknak. Mivel ezek természetes célpontjai a visszaéléseknek, a fejlesztőknek tudniuk kell, hogy milyen biztonsági, illetve kockázatkezelési programot alkalmaznak. (A SCOLVO az Amazon Web Services-t választotta, amely Németország egyik vezető infrastruktúra-szolgáltatója, megfelel a legelismertebb tanúsítványok kritériumainak, és rendszeresen auditálják a működését.)
A fejlesztőknek azt is fel kell mérniük, hogy egy-egy ilyen szolgáltatóval való szerződés milyen kockázatokat rejt, attól függően, hogy milyen érzékenységű adatokhoz férnek hozzá, különösen mivel a velük kapcsolatba hozható visszaélések az utóbbi időben 22 százalékkal növekedtek, a PwC adatai szerint. Továbbá a hirdetések és az analitika is megfelelő terepet biztosít a rosszindulatú támadásoknak, mivel általában a szokásosnál nagyobb adatforgalommal járnak.
Megfelelő megoldás lehet a kockázatok csökkentésére az ilyen aktivitások mellőzése, és az alapfunkciókhoz való visszatérés, de nem mindig ez a legjobb út. Az alkalmazás működésének rendszeres ellenőrzése és az adatok más tárhelyekre való lementése révén a fejlesztők megvédhetik a szervezet a támadásoktól, vagy időben kijavíthatják a sebezhetőségeket.
[/spb_text_block]