移動(dòng)應(yīng)用市場(chǎng)正在高速發(fā)展,截至2017年3月,Android用戶可使用280萬(wàn)款應(yīng)用,同時(shí)蘋果App Store則提供220萬(wàn)款應(yīng)用。
面對(duì)如此海量的應(yīng)用,對(duì)企業(yè)來(lái)說(shuō),確定哪些應(yīng)用用于企業(yè)用途是十分困難的。即使是最有用的應(yīng)用都可能會(huì)增加企業(yè)安全風(fēng)險(xiǎn),因此,安全團(tuán)隊(duì)需要將移動(dòng)應(yīng)用評(píng)估作為其工作的一部分。
應(yīng)用評(píng)估可幫助安全團(tuán)隊(duì)了解應(yīng)用的功能以及它如何與移動(dòng)設(shè)備中的數(shù)據(jù)進(jìn)行交互。根據(jù)評(píng)估的結(jié)果,安全團(tuán)隊(duì)可確定應(yīng)用是否適合在其業(yè)務(wù)環(huán)境中使用。
評(píng)估應(yīng)用的運(yùn)作方式可讓安全團(tuán)隊(duì)主動(dòng)識(shí)別潛在的風(fēng)險(xiǎn)。在這樣做時(shí),他們能夠通過(guò)禁止不可接受的應(yīng)用來(lái)防止數(shù)據(jù)丟失以及未經(jīng)授權(quán)的修改或數(shù)據(jù)訪問(wèn)。盡管應(yīng)用評(píng)估有諸多好處,但很多安全團(tuán)隊(duì)沒(méi)有進(jìn)行評(píng)估,僅僅是因?yàn)樗麄內(nèi)狈ο嚓P(guān)的技能。因此,企業(yè)在沒(méi)有監(jiān)督的情況下允許移動(dòng)應(yīng)用使用,這可能給企業(yè)帶來(lái)巨大風(fēng)險(xiǎn)。
確定什么是(不)可接受的
在進(jìn)行應(yīng)用評(píng)估時(shí)有兩種建議的方法。第一種方法是實(shí)現(xiàn)確定的“紅旗”行為,如果應(yīng)用表現(xiàn)出這些行為,則不能被使用,并且沒(méi)有必要進(jìn)行進(jìn)一步評(píng)估,這些“紅旗”行為包括:
訪問(wèn)聯(lián)系人并將其從設(shè)備復(fù)制
跟蹤用戶位置并發(fā)送出去
訪問(wèn)用戶的照片或照片流
發(fā)送或登錄用戶賬戶憑證(以純文本形式)
第二種方法是對(duì)每個(gè)應(yīng)用更徹底詳細(xì)的檢查。每個(gè)應(yīng)用都進(jìn)行單獨(dú)評(píng)估,以確定其一切活動(dòng)。根據(jù)調(diào)查結(jié)果,對(duì)每個(gè)應(yīng)用是否適合商業(yè)用途進(jìn)行決策。
建議使用應(yīng)用報(bào)告卡作為研究結(jié)果的分級(jí)機(jī)制,以及評(píng)估是否允許特定應(yīng)用用于商業(yè)環(huán)境。報(bào)告卡應(yīng)涵蓋:
權(quán)限
可執(zhí)行的漏洞
本地?cái)?shù)據(jù)存儲(chǔ)和保護(hù),包括機(jī)密性和完整性
保護(hù)網(wǎng)絡(luò)通信
進(jìn)程間通信
“紅旗”方法是評(píng)估應(yīng)用更簡(jiǎn)單的方法,這種方法在大多數(shù)時(shí)候都可行。然而,如果應(yīng)用具有企業(yè)需要的功能,在發(fā)現(xiàn)紅旗行為時(shí),建議對(duì)該應(yīng)用進(jìn)行全面應(yīng)用評(píng)估,以了解潛在風(fēng)險(xiǎn)以及是否可以解決。
企業(yè)與BYOD
在面對(duì)企業(yè)持有或發(fā)布的設(shè)備時(shí),可限制和控制用戶下載的應(yīng)用。iOS手機(jī)比Android設(shè)備更容易被鎖定,鎖定手機(jī)的功能是安全團(tuán)隊(duì)管理企業(yè)持有和受管設(shè)備的另一種方法。在BYOD的情況下,這些工作變得更加困難。
在BYOD情況下,常見(jiàn)的策略是使用Gmail賬戶。員工被要求為所有企業(yè)相關(guān)的通信設(shè)置Gmail賬戶,但出于明顯的安全和控制原因,非常不建議采用這一策略。
在BYOD中,更安全更受控制的方法是使用容器應(yīng)用。這種策略使員工可控制自己的手機(jī),同時(shí)將業(yè)務(wù)數(shù)據(jù)隔離到安全容器。所有業(yè)務(wù)通信都是通過(guò)容器應(yīng)用來(lái)完成,由于并非所有容器應(yīng)用都相同,建議在強(qiáng)制員工使用特定應(yīng)用之前,對(duì)容器應(yīng)用進(jìn)行應(yīng)用評(píng)估。
面對(duì)每天引入的新應(yīng)用,企業(yè)不能再對(duì)應(yīng)用使用視而不見(jiàn)。安全團(tuán)隊(duì)必須提高自己的技能,開(kāi)始學(xué)習(xí)如何對(duì)移動(dòng)應(yīng)用進(jìn)行評(píng)估。
對(duì)于真正認(rèn)真對(duì)待移動(dòng)安全的企業(yè)來(lái)說(shuō),結(jié)合移動(dòng)應(yīng)用安全評(píng)估與SANS“有效移動(dòng)安全的8大步驟”是很好的策略。這些步驟是按最簡(jiǎn)單和最有益到部署最復(fù)雜的順序排列,無(wú)論設(shè)備是企業(yè)持有還是BYOD,都可以遵循這些步驟。
這些步驟包括:
強(qiáng)制執(zhí)行設(shè)備密碼身份驗(yàn)證
監(jiān)控移動(dòng)設(shè)備接入和使用
修復(fù)移動(dòng)設(shè)備
阻止未經(jīng)批準(zhǔn)第三方應(yīng)用商店
控制物理訪問(wèn)
評(píng)估應(yīng)用安全性
為丟失或被盜設(shè)備準(zhǔn)確事件響應(yīng)計(jì)劃
部署管理和運(yùn)營(yíng)支持
SANS的《有效移動(dòng)安全8大步驟》是由該社區(qū)驅(qū)動(dòng)的項(xiàng)目,旨在提高移動(dòng)安全性,它體現(xiàn)了專家的一致想法。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:如何用移動(dòng)應(yīng)用評(píng)估來(lái)提高企業(yè)安全性?
本文網(wǎng)址:http://www.ezxoed.cn/html/solutions/14019320847.html