Cómo determinar las clasificaciones de riesgo para aplicaciones móviles de terceros

6

Habiendo implementado teléfonos móviles y tabletas corporativos, tenemos MDM implementado que nos permite implementar aplicaciones de forma centralizada para todos nuestros usuarios, y podemos realizar borrado remoto en caso de pérdida de un dispositivo, etc., sin embargo, para que el dispositivo se pueda De cualquier uso real para los usuarios, también necesitan poder instalar aplicaciones a su propia discreción. Si bien podemos controlar qué aplicaciones se instalan con el software MDM, no tenemos una manera real de identificar qué aplicaciones, si las hay, presentan un riesgo potencial alto para nuestros datos corporativos.

Para la mayoría de las aplicaciones es muy difícil de determinar:

  • Si los datos se almacenan de forma remota "en la nube" en un servidor administrado por el proveedor de la aplicación, o si todos los datos se almacenan en el propio dispositivo;

  • Si los datos enviados / recibidos se transmiten de forma segura entre el dispositivo y las ubicaciones remotas mediante una implementación segura conocida de SSL;

  • Las ubicaciones geográficas y las compañías de alojamiento donde se almacenan o procesan los datos de forma remota, junto con las reputaciones conocidas de seguridad de datos, listas locales, aplicación activa, etc.

  • Si la aplicación realmente ha sido publicada por la compañía, dice que ha sido;

  • ¿En qué compañía se ha escrito el código fuente y cuál es su reputación para el desarrollo y las pruebas seguras?

  • ¿Alguna compañía de seguridad de terceros ya ha analizado la aplicación y le ha otorgado una calificación o revisión particular?

La superficie de ataque se convierte en una gran incógnita cuando permitimos que los usuarios usen aplicaciones móviles y los publicadores de aplicaciones rara vez divulgan este tipo de información.

Para dar un ejemplo, hemos identificado una aplicación de escaneo de tarjetas de visita que almacena sus datos en servidores de Medio Oriente, que se encuentran fuera de la UE, haciendo uso de ellos en ciertas circunstancias ilegal bajo la ley de protección de datos británica, y si se usa para En los contactos comerciales, las autoridades de esa región podrían utilizar la inteligencia competitiva en la que se aplican leyes diferentes.

Aunque a menudo no es legal utilizar un software de ingeniería inversa, no puedo creer que alguien realmente tenga tiempo para hacer esto con cada aplicación que se presente, por lo que debe haber un enfoque realista que no se base únicamente en conjeturas.

¿Alguien sabe de algún servicio o aplicación alojados que ofrezca algún tipo de verificación de aplicaciones para verificar aplicaciones de terceros o una base de datos con este tipo de información? Si bien deseamos adoptar la tecnología y usar las grandes aplicaciones disponibles para fines comerciales genuinos, debemos asegurarnos de que lo estamos haciendo dentro de los límites de la ley, el cumplimiento contractual, etc. ¿Cómo abordan este problema otros profesionales de la seguridad de la información? p>     

pregunta richhallstoke 30.01.2015 - 13:39
fuente

1 respuesta

2

En mi departamento, estoy involucrado en la seguridad de dispositivos móviles, y he investigado un producto que hace exactamente lo que estás buscando.

El producto con el que estoy familiarizado es FireEye Mobile Threat Prevention. enlace

He experimentado algunas de las capacidades de este sistema de prevención de amenazas. Tiene la capacidad de escanear aplicaciones instaladas en sus dispositivos administrados por MDM y le dará a las aplicaciones un "puntaje de amenaza de FireEye".

Esta puntuación es el resultado de analizar cómo funciona la aplicación en el dispositivo móvil, qué tan seguro es el cifrado del dispositivo móvil, etc. Realmente hace un buen trabajo al describir qué vulnerabilidades están presentes en cualquier aplicación en su entorno.

Esto no solo se aplica a las aplicaciones que se han analizado e indexado, sino que también analizará las nuevas aplicaciones que podrían ser específicas para su organización y le otorgará una clasificación de amenaza.

Probamos este producto en una aplicación que estábamos considerando implementar, y el informe nos dio un informe de 5 páginas sobre la siguiente información sobre la aplicación:

  1. Código de la aplicación (la información detallada sobre las debilidades estaba presente en el código de la aplicación)
  2. Sistema (Información sobre cómo la aplicación interactúa con el sistema operativo del teléfono)
  3. Teléfono (Información relacionada con las funciones del teléfono a las que la aplicación necesita acceder)
  4. Ubicación (Información sobre los servicios de ubicación que utiliza la aplicación)
  5. Configuración (configuración en el teléfono que la aplicación puede cambiar)
  6. Internet (la configuración de Internet o las llamadas que hace la aplicación)
  7. Datos personales (datos personales que la aplicación puede contener)
  8. Sistema de archivos (Cambios en el sistema de archivos del teléfono que realiza esta aplicación)
respondido por el Maumee River 30.01.2015 - 14:37
fuente

Lea otras preguntas en las etiquetas