Come determinare le valutazioni del rischio per le app mobili di terze parti

6

Dopo aver implementato telefoni e tablet aziendali, disponiamo di MDM che ci consente di distribuire centralmente le app a tutti i nostri utenti e di eseguire la cancellazione remota in caso di perdita di un dispositivo, ecc. di qualsiasi utilizzo reale per gli utenti devono anche essere in grado di installare app a loro discrezione. Mentre siamo in grado di monitorare quali app vengono installate utilizzando il software MDM, non abbiamo alcun modo reale di identificare quali app presentano, se presenti, un potenziale alto rischio per i nostri dati aziendali.

Per la maggior parte delle app è molto difficile accertare:

  • Indica se i dati sono archiviati in remoto "nel cloud" su un server amministrato dal fornitore dell'app o se tutti i dati sono memorizzati sul dispositivo stesso;

  • Se i dati inviati / ricevuti vengono trasmessi in modo sicuro tra il dispositivo e qualsiasi posizione remota utilizzando un'implementazione sicura nota di SSL;

  • Le località geografiche e le società di hosting in cui i dati vengono archiviati o elaborati in remoto, insieme a qualsiasi reputazione nota di sicurezza dei dati, leglistation locale, applicazione attiva ecc.

  • Se l'app è stata effettivamente pubblicata dalla società che afferma di essere stata;

  • Di quale azienda è stato scritto il codice sorgente e qual è la sua reputazione per lo sviluppo e il testing sicuro?

  • Se alcune società di sicurezza di terze parti hanno già analizzato l'app e le hanno assegnato una valutazione o una recensione particolare?

La superficie di attacco diventa molto sconosciuta quando consentiamo agli utenti di utilizzare app mobili e gli editori di app divulgano molto raramente questo tipo di informazioni.

Per fare un esempio, abbiamo identificato un'app per la scansione di biglietti da visita che memorizza i suoi dati su server in Medio Oriente, al di fuori dell'UE, facendone uso in determinate circostanze illegali secondo la legge britannica sulla protezione dei dati e se usato per contatti commerciali, potrebbe essere utilizzato per l'intelligence competitiva dalle autorità di quella regione in cui si applicano leggi diverse.

Anche se spesso non è un software di reverse engineering, non posso credere che qualcuno abbia davvero il tempo di farlo per ogni app che incontra, quindi deve esserci un approccio realistico che non si basa esclusivamente su supposizioni.

Qualcuno sa di servizi o app in hosting che forniscono qualsiasi tipo di controllo di sicurezza delle app per app di terze parti o un database ricercabile con questo tipo di informazioni? Mentre desideriamo abbracciare la tecnologia e utilizzare le fantastiche app là fuori per scopi aziendali autentici, dobbiamo assicurarci di farlo nei limiti della legge, della conformità contrattuale, ecc. In che modo altri professionisti della sicurezza delle informazioni affrontano questo problema?

    
posta richhallstoke 30.01.2015 - 13:39
fonte

1 risposta

2

Nel mio dipartimento, sono coinvolto nella sicurezza dei dispositivi mobili e ho esaminato un prodotto che fa esattamente ciò che stai cercando.

Il prodotto che conosco è FireEye Mobile Threat Prevention. link

Ho sperimentato alcune delle funzionalità di questo sistema di prevenzione delle minacce. Ha la capacità di scansionare le app installate sui dispositivi gestiti MDM e darà alle app un "punteggio di minaccia FireEye".

Questo punteggio è il risultato dell'analisi del modo in cui l'applicazione funziona sul dispositivo mobile, della sicurezza della crittografia del dispositivo mobile, ecc. Fa davvero un buon lavoro nel descrivere quali vulnerabilità sono presenti su qualsiasi app nel proprio ambiente.

Questo non è applicabile solo per le app che sono state scansionate e indicizzate, analizzerà nuove app che potrebbero essere specifiche per la tua organizzazione e ti fornirà una valutazione delle minacce.

Abbiamo testato questo prodotto su un'app che stavamo considerando di implementare e il rapporto ci ha fornito un rapporto di 5 pagine sulle seguenti informazioni sull'app:

  1. Codice applicazione (informazioni dettagliate sui punti deboli erano presenti nel codice dell'applicazione)
  2. Sistema (informazioni su come l'app interagisce con il sistema operativo del telefono)
  3. Telefono (informazioni relative alle funzioni del telefono a cui l'app deve accedere)
  4. Posizione (informazioni sui servizi di localizzazione utilizzati dall'app)
  5. Impostazioni (Impostazioni sul telefono che l'app può cambiare)
  6. Internet (impostazioni Internet o chiamate effettuate dall'app)
  7. Dati personali (dati personali che l'app potrebbe contenere)
  8. File System (modifiche al sistema di file del telefono che questa app effettua)
risposta data 30.01.2015 - 14:37
fonte

Leggi altre domande sui tag