如何防止應用程序泄密?
黑客或攻擊者總能找到一些可以利用的媒介或要素。例如,員工越來越多地在工作場合使用移動設備,各種應用商店提供了五花八門的移動應用。由于這些應用的源頭不一,質量參差不齊,所以普通用戶很難判斷哪些是最新的,更難以判斷其是否有惡意目的。黑客深諳此道,因而可以設計一些看似善意的功能強大的應用,其中卻可能包含病毒、木馬或損害設備和公司網(wǎng)絡的其它惡意軟件,員工不知不覺成為“引狼入室”的罪魁禍首。
但這些專門設計的應用程序并非是將企業(yè)置于風險中的唯一罪犯。還有許多可能泄密的應用程序,在用戶自認為安全地輸入個人信息后,殊不知還有“他人”可以訪問此信息。通常一些移動版的游戲都與廣告商共享信息,但最近的一些報告卻表明,事情遠沒有如此簡單。為避免這些有可能泄露機密的應用程序和以應用程序為中心的其它威脅,公司應當依靠策略、技術、教育等綜合手段,不但保護雇員,更要從整體上保護企業(yè)。
泄密的應用程序及其危險性
總體上說,有兩類典型的可能泄密的應用程序。第一類應用程序是真正泄露信息,即將信息傳送到環(huán)境之外。而在另一類程序中,第三方實體會竊取用戶的登錄憑據(jù)(無論這些信息是否存在于設備自身)。這灰應用程序往往來自一些不可信的源,而非官方的應用商店(如Google Play)。
如果用戶禁不住誘惑從一個不可信的第三方下載了可能看似或冒充合法的應用,如一個墻紙應用。所有這些移動應用都有與之相關的訪問權限清單。如果用戶認真思考一下,就能得到一個理智的答案:墻紙應用不應當訪問用戶的登錄憑據(jù)、電子郵件信息或聯(lián)系人信息。
如今,最常見的安全方法是雙重認證,其中有用戶名和口令,還有另一種形式的驗證,如發(fā)送到手機的一個數(shù)字。最近出現(xiàn)了一種趨勢,黑客在用戶的智能手機或桌面上安裝一個特洛伊木馬,從而可以輕松獲取用戶的賬戶和資產(chǎn)信息。
如何避免問題和減輕風險?
不管是應對直接泄露信息的應用還是將用戶的登錄憑據(jù)置于風險中的應用,避免這種風險的首要一步就是僅從可信的官方應用商店下載和安裝應用,或者是公司允許的應用商店。對于那些將設備派發(fā)給雇員的企業(yè)來說,這還是較容易做到的,因為企業(yè)對于維持這些設備的標準配置本身擁有更多控制。但是如果員工使用的設備是自帶設備(BYOD),問題就麻煩一些。但首要的一步仍是向終端用戶清楚地闡明允許在這些設備上運行哪些應用,對于可能違反策略的情況還要制定相應的懲治措施。
下一步就是要為移動設備實施某種軟件信譽服務,如Appthority。這類服務與移動設備管理(MDM)和移動應用管理(MAM)平臺集成在一起,所以管理員可以獲得運行在終端用戶移動設備上的全部應用的清單,然后據(jù)此審查移動設備上的軟件信譽。管理員實際上就是根據(jù)可信的經(jīng)許可的基于云的應用清單,決定在雇員的移動設備上運行哪些應用,以此確保任何應用都不是未經(jīng)授權的或可能惡意的軟件。
移動設備是一個問題,但如果雇員不謹慎,也很容易將惡意軟件下載到桌面上。對于這種情況,安全專家往往建議企業(yè)采用白名單的方法。提供白名單工具的安全套件和方案實際上可以使管理員僅允許下載和安裝此清單上的應用。由此,管理員不再是允許下載任何軟件后再運行掃描工具,以檢查其是否惡意,而是僅允許安裝和執(zhí)行可信的善意應用。這是一種有效的方法。
除了使用白名單方案,還有一些產(chǎn)品或公司可以為桌面或其它平臺的軟件提供安全檢查。有些公司或產(chǎn)品可以驗證一款軟件是否用良好的安全方法進行編寫,是否將健全的安全方法融合到軟件的開發(fā)過程中。從開發(fā)過程的初始就確保軟件注重安全為軟件提供了另外一層保護。
改進內部開發(fā)過程
審查軟件的觀念和重視安全的開發(fā)方法也可以擴展到公司內部的應用和軟件開發(fā)過程中。多數(shù)公司都處于經(jīng)常或不斷地推出新應用,不斷地以很快的速度開發(fā)、整合、交付軟件。如今,云交付模式越來越普遍,企業(yè)很容易不進行正確檢查就發(fā)布軟件。在這種匆忙的軟件開發(fā)過程中,極有可能現(xiàn)出人為錯誤,并且極有可能在代碼中出現(xiàn)安全漏洞。
關鍵是在交付軟件之前發(fā)現(xiàn)這些漏洞,并且防止不必要的風險,而這些正是軟件審查公司的職責所在。公司們需要做的就是將其軟件提交給一個基于云的應用安全測試平臺,并且在將軟件交付生產(chǎn)之前獲知軟件的安全性,以確保軟件不會包含可能被利用的任何漏洞。但是,除了在整個開發(fā)過程中確保使安全性享有高級優(yōu)先權,企業(yè)還要重視良好的策略、過程和方法。
