Более 75% мобильного ПО в 2015 году не пройдут базовые тесты на ИБ

Логотип компании
18.09.2014Автор
Более 75% мобильного ПО в 2015 году не пройдут базовые тесты на ИБ
Согласно прогнозу Gartner на 2015 год, более 75% мобильных приложений не смогут пройти даже базовые тесты на безопасность.

Согласно прогнозу Gartner, в 2015 году более 75% мобильных приложений не смогут пройти даже базовые тесты на безопасность. Корпоративные работники продолжат скачивать из магазинов приложений соответствующее ПО, которое может затрагивать корпоративные сервисы и даже выполнять определенные бизнес-функции, однако эти приложения обладают очень слабой защитой в области информационной безопасности (ИБ), либо не обладают ею вовсе.

Компании, где дали «добро» на использование мобильных вычислений и придерживаются стратегии BYOD, уязвимы с точки зрения ИБ. Главный аналитик Gartner Дионисио Цумерле (Dionision Zumerle) убежден, что руководству этих компаний необходимо разрабатывать и принимать новые методы и технологии для тестирования мобильных приложений на предмет их безопасности и рисков для компании. При этом г-н Цумерле замечает, что большинство фирм не имеют никакого опыта в информационной безопасности мобильных приложений. Даже когда в компаниях осуществляется ИБ-тестирование, за него, в основном, отвечают обычные разработчики и программисты, которые сосредоточены на функциональности приложений, их юзабилити, но никак не на ИБ.

Вендоры, работающие на рынке инструментального ПО для статического и динамического поиска уязвимостей (SAST/DAST), планируют модификацию методов и технологий для мобильных приложений. Несмотря на то, что технологии SAST/DAST используются последние 6-8 лет и оцениваются специалистами как достаточно зрелые, мобильное ИБ-тестирование представляет собой совершенно новое поле деятельности даже для этих технологий и их разработчиков. В дополнение к SAST и DAST на рынке тестирования мобильных приложений сегодня начинает проявлять себя новый тип тестирования, базирующийся на анализе поведения ПО. Специальные программы наблюдают за уже работающими приложениями и определяют подозрительное или вредоносное ПО, которое обычно работает в фоновом режиме.

Тестирования лишь клиентской части (код и графический интерфейс GUI) мобильного приложения сегодня недостаточно. Обязательным условием является тестирование серверной части. Мобильные клиенты взаимодействуют с серверами, в результате чего получают доступ к корпоративным приложениям и базам данных. Ошибки, допущенные в процессе построения стратегии защиты этой связки на стороне серверной части, увеличивают риск возможной потери данных сотен тысяч пользователей, информация о которых хранится в корпоративных БД. Именно поэтому программный код и пользовательский интерфейс серверных приложений также должны проверяться с помощью SAST/DAST технологий.

«Сегодня более 90% корпоративных предприятий для реализации своих BYOD-стратегий используют коммерческие приложения от сторонних компаний. Именно здесь должны быть приложены основные усилия по ИБ-тестированию. Магазины приложений переполнены приложениями, которые лишь рекламируют свои преимущества. Тем не менее, и компаниям, и физическим лицам не стоит их использовать без предварительной оценки уровня их безопасности. Пользователи должны устанавливать лишь те приложения, которые успешно прошли соответствующие тесты безопасности с помощью профессионального ПО», - продолжает Цумерле.

В Gartner убеждены, что к 2017 году в центре внимания будут планшеты и смартфоны, ведь уже сегодня на три мобильные атаки приходится одна атака на традиционный десктоп. Тех функций безопасности, что реализованы сегодня в мобильных устройствах, не хватит для того, чтобы свести уровень нарушений к минимуму.

В 2017 году, по мнению специалистов Gartner, 75% угроз безопасности на мобильных устройствах будут результатом неправильной конфигурации приложений, а вовсе не следствием серьезных технических атак на мобильных пользователей. Классический пример – злоупотребление личными облачными сервисами с помощью приложений, установленных на смартфоны и планшеты. Когда эти приложения используются для передачи корпоративных данных, существует высокий риск утечек данных, которые часто остаются незамеченными. 

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
Когда дело касается цифровизации промышленности, легко увлечься разговорами о высоких технологиях, алгоритмах и искусственном интеллекте. Однако для крупных компаний, таких как «Росатом», этот процесс — не только про модернизацию, но и про баланс: между затратами и экономической целесообразностью, между технологиями будущего и реалиями текущего управления. Валентин Чубаров, руководитель проектного офиса «Инфраструктурная Iot-платформа», «Росатом Инфраструктурные решения» (РИР, входит в госкорпорацию «Росатом») делится тем, как удается внедрять инновации в масштабах всей страны, управляя инвестициями и обеспечивая безопасность критической инфраструктуры.

Похожие статьи