Более 75% мобильного ПО в 2015 году не пройдут базовые тесты на ИБ
Согласно прогнозу Gartner, в 2015 году более 75% мобильных приложений не смогут пройти даже базовые тесты на безопасность. Корпоративные работники продолжат скачивать из магазинов приложений соответствующее ПО, которое может затрагивать корпоративные сервисы и даже выполнять определенные бизнес-функции, однако эти приложения обладают очень слабой защитой в области информационной безопасности (ИБ), либо не обладают ею вовсе.
Компании, где дали «добро» на использование мобильных вычислений и придерживаются стратегии BYOD, уязвимы с точки зрения ИБ. Главный аналитик Gartner Дионисио Цумерле (Dionision Zumerle) убежден, что руководству этих компаний необходимо разрабатывать и принимать новые методы и технологии для тестирования мобильных приложений на предмет их безопасности и рисков для компании. При этом г-н Цумерле замечает, что большинство фирм не имеют никакого опыта в информационной безопасности мобильных приложений. Даже когда в компаниях осуществляется ИБ-тестирование, за него, в основном, отвечают обычные разработчики и программисты, которые сосредоточены на функциональности приложений, их юзабилити, но никак не на ИБ.
Вендоры, работающие на рынке инструментального ПО для статического и динамического поиска уязвимостей (SAST/DAST), планируют модификацию методов и технологий для мобильных приложений. Несмотря на то, что технологии SAST/DAST используются последние 6-8 лет и оцениваются специалистами как достаточно зрелые, мобильное ИБ-тестирование представляет собой совершенно новое поле деятельности даже для этих технологий и их разработчиков. В дополнение к SAST и DAST на рынке тестирования мобильных приложений сегодня начинает проявлять себя новый тип тестирования, базирующийся на анализе поведения ПО. Специальные программы наблюдают за уже работающими приложениями и определяют подозрительное или вредоносное ПО, которое обычно работает в фоновом режиме.
Тестирования лишь клиентской части (код и графический интерфейс GUI) мобильного приложения сегодня недостаточно. Обязательным условием является тестирование серверной части. Мобильные клиенты взаимодействуют с серверами, в результате чего получают доступ к корпоративным приложениям и базам данных. Ошибки, допущенные в процессе построения стратегии защиты этой связки на стороне серверной части, увеличивают риск возможной потери данных сотен тысяч пользователей, информация о которых хранится в корпоративных БД. Именно поэтому программный код и пользовательский интерфейс серверных приложений также должны проверяться с помощью SAST/DAST технологий.
«Сегодня более 90% корпоративных предприятий для реализации своих BYOD-стратегий используют коммерческие приложения от сторонних компаний. Именно здесь должны быть приложены основные усилия по ИБ-тестированию. Магазины приложений переполнены приложениями, которые лишь рекламируют свои преимущества. Тем не менее, и компаниям, и физическим лицам не стоит их использовать без предварительной оценки уровня их безопасности. Пользователи должны устанавливать лишь те приложения, которые успешно прошли соответствующие тесты безопасности с помощью профессионального ПО», - продолжает Цумерле.
В Gartner убеждены, что к 2017 году в центре внимания будут планшеты и смартфоны, ведь уже сегодня на три мобильные атаки приходится одна атака на традиционный десктоп. Тех функций безопасности, что реализованы сегодня в мобильных устройствах, не хватит для того, чтобы свести уровень нарушений к минимуму.
В 2017 году, по мнению специалистов Gartner, 75% угроз безопасности на мобильных устройствах будут результатом неправильной конфигурации приложений, а вовсе не следствием серьезных технических атак на мобильных пользователей. Классический пример – злоупотребление личными облачными сервисами с помощью приложений, установленных на смартфоны и планшеты. Когда эти приложения используются для передачи корпоративных данных, существует высокий риск утечек данных, которые часто остаются незамеченными.