如何用移動應用評估來提高企業安全性？

移動應用市場正在高速發展，截至2017年3月，android使用者可使用280萬款應用，同時蘋果app store則提供220萬款應用。

面對如此海量的應用，對企業來說，确定哪些應用用于企業用途是十分困難的。即使是最有用的應用都可能會增加企業安全風險，是以，安全團隊需要将移動應用評估作為其工作的一部分。

應用評估可幫助安全團隊了解應用的功能以及它如何與移動裝置中的資料進行互動。根據評估的結果，安全團隊可确定應用是否适合在其業務環境中使用。

評估應用的運作方式可讓安全團隊主動識别潛在的風險。在這樣做時，他們能夠通過禁止不可接受的應用來防止資料丢失以及未經授權的修改或資料通路。盡管應用評估有諸多好處，但很多安全團隊沒有進行評估，僅僅是因為他們缺乏相關的技能。是以，企業在沒有監督的情況下允許移動應用使用，這可能給企業帶來巨大風險。

确定什麼是（不）可接受的

在進行應用評估時有兩種建議的方法。第一種方法是實作确定的“紅旗”行為，如果應用表現出這些行為，則不能被使用，并且沒有必要進行進一步評估，這些“紅旗”行為包括：

通路聯系人并将其從裝置複制

跟蹤使用者位置并發送出去

通路使用者的照片或照片流

發送或登入使用者賬戶憑證（以純文字形式）

第二種方法是對每個應用更徹底詳細的檢查。每個應用都進行單獨評估，以确定其一切活動。根據調查結果，對每個應用是否适合商業用途進行決策。

建議使用應用報告卡作為研究結果的分級機制，以及評估是否允許特定應用用于商業環境。報告卡應涵蓋：

權限

可執行的漏洞

本地資料存儲和保護，包括機密性和完整性

保護網絡通信

程序間通信

“紅旗”方法是評估應用更簡單的方法，這種方法在大多數時候都可行。然而，如果應用具有企業需要的功能，在發現紅旗行為時，建議對該應用進行全面應用評估，以了解潛在風險以及是否可以解決。

企業與byod

在面對企業持有或釋出的裝置時，可限制和控制使用者下載下傳的應用。ios手機比android裝置更容易被鎖定，鎖定手機的功能是安全團隊管理企業持有和受管裝置的另一種方法。在byod的情況下，這些工作變得更加困難。

在byod情況下，常見的政策是使用gmail賬戶。員工被要求為所有企業相關的通信設定gmail賬戶，但出于明顯的安全和控制原因，非常不建議采用這一政策。

在byod中，更安全更受控制的方法是使用容器應用。這種政策使員工可控制自己的手機，同時将業務資料隔離到安全容器。所有業務通信都是通過容器應用來完成，由于并非所有容器應用都相同，建議在強制員工使用特定應用之前，對容器應用進行應用評估。

面對每天引入的新應用，企業不能再對應用使用視而不見。安全團隊必須提高自己的技能，開始學習如何對移動應用進行評估。

對于真正認真對待移動安全的企業來說，結合移動應用安全評估與sans“有效移動安全的8大步驟”是很好的政策。這些步驟是按最簡單和最有益到部署最複雜的順序排列，無論裝置是企業持有還是byod，都可以遵循這些步驟。

這些步驟包括：

強制執行裝置密碼身份驗證

監控移動裝置接入和使用

修複移動裝置

阻止未經準許第三方應用商店

控制實體通路

評估應用安全性

為丢失或被盜裝置準确事件響應計劃

部署管理和營運支援

sans的《有效移動安全8大步驟》是由該社群驅動的項目，旨在提高移動安全性，它展現了專家的一緻想法。

本文轉自d1net（轉載）