Dyman Associates Risk Management: Tips til at teste din mobile app sikkerhed

Virksomheden er gået mobile og der er ingen vej tilbage. Og mens BYOD bevægelsen har modtaget masser af opmærksomhed, IT-afdelinger får et håndtag på sikkerhedsrisici i personlig ambulant hjælpemidler på arbejdspladsen. Den næste udfordring er "bringe din egen applikation" (BYOA), fordi mange offentlige app stores har alvorlig malware problemer.

Enterprise app stores kunne være svaret. Gartner er at forudsige at 25% af virksomhederne vil have deres egen app store i 2017. Dette vil gøre det muligt for virksomheder at skubbe ud apps mere effektivt, vil det være et stort løft for mobile device management, og det kan tilbyde en sikker, automatiseret proces, der vil arbejde lige så godt til apps udviklet in-house og kurateret programmer fra tredjeparter. Uanset hvor en app stammer fra, er det afgørende, at du kan stå inde for dets sikkerhed, før den er omdelt.

Groft sagt, er der tre typer af mobile apps:

Native applikationer--skrevet for en bestemt platform, native apps vil kun køre understøttede enheder. Det betyder en iOS app vil kun køre på iPhone, f.eks.

Webprogrammer--enhver mobilenhed kan få adgang til en webapp fordi de er bygget ved hjælp af standarder som HTML5 og effektivt til huse online. Den mobile app er ofte lidt mere end en genvej hen til WebApp.

Hybrid programmer--en Web-baseret brugergrænseflade kan have et lag af native applikation omkring det for at få bedst fra begge verdener.

Virksomheder i stigende grad vælger hybrid tilgang så de kan dække en bred vifte af platforme, men også udnytte hardware kapaciteter af forskellige mobile enheder. Gartner analytikere tyder på, at mere end 50% af indsatte apps vil være hybrid af 2016. [Se også: "Hvad enterprise mobile apps kan lære af mobile spil"]

Som du kan forestille dig, kræver hver type app specifikke test. I hvert enkelt tilfælde skal du overveje, hvordan at beskytte data, da det rejser på tværs af mobilnet. Der er altid en splittelse mellem det faktisk installeres til den mobile enhed, og den centrale behandling eller data opbevaring, der er installeret på en server. Der er en vifte af software derude designet til at hjælpe dine IT-afdelingen i test en app's sikkerhed.

For at dække alle baserne og sikre effektiv Penetrationstest er udført, din bedste mulighed er at engagere en tredjepartsorganisation med den rette ekspertise. De vil sætte din app på prøve, nærmer sig det som en reel hacker ville--uden hensyn til hvordan systemet er beregnet til at blive brugt, bare en vilje til at bryde den.

Tips til at teste sårbarheder

Der er mange potentielle svage steder i mobile apps. At vide, hvor de kan få dig ud til en god start.

  • Dataflow--kan du oprette et revisionsspor for data, hvad der foregår hvor, er data i transit beskyttet, og hvem der har adgang til det?
  • Datalagring--hvor gemmes data, og er det krypteret? Cloud løsninger kan være et svagt led for datasikkerhed.
  • Data lækage--er data utæt log-filer, eller ud gennem meddelelser?
  • Godkendelse--Når og hvor brugerne udfordret til at godkende, hvordan er de godkendt, og kan du spore adgangskode og id'er i systemet?
  • Server-side kontrol--ikke fokusere på klientsiden og antage, at back-end er sikker.
  • Indgangssteder--er alle potentielle klientsiden ruter i programmet bliver valideret?

Dette er kun toppen af isbjerget med hensyn til omfattende sikkerhed testning for mobile apps. Faktor i de ejendommelige krav af compliance i din branche, fordi det er meget vigtigt, at du opfylder de rigtige standarder for regulering og mandater. Størstedelen af interne IT-afdelinger er simpelthen ikke udstyret til at udføre den strenge tests, der har pligt til at overdrage en mobil app som sikkert. [Se også: "Hærdning Windows 8 Apps for the Windows Store"]

Det er også værd at vide, at du bare ikke kan teste en app og glemme alt om det. Hvis du ofte udvikler fora for alle de store mobile platforme, vil du finde at nye sikkerhedstrusler dukker op hele tiden, og det tager indsats for at holde dig ajour med situationen og træffe de nødvendige foranstaltninger til at holde dine programmer og systemer sikre.

Comment Stream