Gartner: 明年75%的移动应用将无法通过最基本的安全测试

  据国外媒体报道,市场研究公司Gartner预计,明年75%的移动应用将无法通过最基本的安全测试。

  Gartner近日表示,到2015年,大多数移动应用——无论是属于Android、iOS还是Windows Phone生态系统——将仍然不具备基本的、可被企业接受的安全协议。

  当越来越多的员工选择“自带设备办公”(BYOD)时,这为企业带来了一个严重的问题。员工是否应该下载那些应用呢?这些应用没有部署基本的安全协议,但可以访问企业的服务器或执行某些业务功能。Gartner表示,如果出现这样的情况,不仅可能让企业的安全规定受到侵犯,也可能让企业敏感的数据和网络变得更易于受到攻击。

  Gartner首席研究分析师迪奥尼西奥?苏墨勒(Dionisio Zumerle )在一份研究报告中表示:那些采用移动计算和BYOD策略的企业正面临安全威胁,除非他们同时采用移动应用安全测试和风险保障的方法和技术。大多数企业都缺乏移动应用安全方面的经验,即使开展了应用安全测试,也通常由开发商完成——后者更关心的是应用的功能,而不是它们的安全性。”

  苏墨勒指出,现有的静态应用安全测试(SAST)和动态应用安全测试(DAST)供应商将需要对他们的测试方法进行修改和调整,以满足移动通信技术的需求。过去10年来,SAST和DAST这两种测试方法一直在使用,但移动应用是一个新的挑战,原因是其多样性和对不断发展的移动操作系统的依赖性。

  他认为,除了SAST和DAST这两种测试方法,面向移动设备、基于行为分析的新型测试方法正在涌现。这些测试方法可以监控图形用户界面,并运行后台应用以检测恶意或危险行为。例如,如果一款音乐播放器应用,可以访问用户的联系人列表或地理位置,则它可能是危险的。

  不过,这些措施不一定足够——企业用户还应该确保其与移动设备通信的服务器处于不断测试和被保护的状态。

  苏墨勒指出:“今天,90%以上的企业实施其移动BYOD策略时采用了第三方商业应用,而这应该成为当前应用安全测试大展手脚的领域。应用程序商店充斥了各种应用,大部分证明其有效性并不是吹嘘的,但企业和个人在使用时应该注意它们的安全性,应该下载并使用那些已成功应用安全测试的应用,而这些测试应由专业的应用安全测试服务提供商实施。”

  Gartner预测,到2017年,“终端漏洞”将集中于智能手机和平板电脑上,“目前移动设备提供的安全功能并不足以让漏洞保持在最低程度。”此外,该研究公司建议,为了更好地保护数据,企业应使用应用套件—— 如软件开发工具包(SDK)等。

  Gartner还预测,到2017年,75%的移动安全漏洞将是移动应用错误配置的结果,如误用个人云存储同步企业数据

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:ISC2014:重新定义下一代防火墙