谈企业移动安全 你不能避开谈移动APP

简介:

如今,企业移动管理(EMM)在移动环境中已经有了自己的地位,但是,在涉及移动安全时,EMM仅仅是一个起点。

不管用户是谁,移动安全技术都应提供安全和信任,并且支持应用级的监视和控制,防止当前移动环境中的漏洞,而这些功能都是EMM无法独立实施的。为什么呢?

谈企业移动安全 你不能避开谈移动APP

企业移动管理(EMM)的核心是移动设备管理(MDM)。由于移动设备大量地进入工作场所,IT不得不利用这种机制来跟上其步伐。虽然企业中EMM方案有了广泛应用,但是EMM主要是作为一种严重依赖管理设备和用户的管理平台。当今的移动世界要求企业必须重视BYOD、APP和日益增加的安全挑战。如果企业无法深入地监视操作系统中正在发生什么,也就不能完全相信设备。

随着移动设备和应用的快速发展,围绕着BYOD和移动应用的诸多势力开始粉墨登场,并将重新塑造我们对移动和移动安全需求的认识。移动应用的不断增长,正在进一步强化企业对真正移动安全方案的需求,但EMM无法满足新形势下的安全需求。

BYOD不仅针对雇员

大约十年前,移动性意味着企业购买并根据需要给雇员派发一块黑莓手机。而如今,在企业中,BYOD和app呈激增态势。BYOD不仅涉及雇员,越来越多的合伙人和客户开始通过设备上的移动应用与企业交互。这意味着,企业无法控制这些设备,对移动安全来说,传统的IT和MDM方法已经过时。

移动应用的发展已经不可逆转,所以,企业不仅需要保障设备的安全,而且,不管是什么设备类型,在不影响用户体验的情况下保障应用的安全。为此,企业必须采用一种已经被证明的而非假想的模式。企业对移动设备和应用必须采用零信任的模式,将安全性整合到要部署的任何应用中。

任何人都可能成为app的开发者

随着企业日益重视移动设备和应用,企业的CIO在满足终端用户的需求时面临着不少压力,这是因为他们既要向业务人员和合作伙伴提供安全的应用,又要向直接使用app的客户快速提供应用。结果,可使应用程序的开发更容易的大量的移动应用开发平台和移动应用开发工具纷至沓来,无论是技术人员还是非技术人员都可以创建移动app。但移动app开发者的安全知识却不能保持同步和一致。

构建移动app的安全知识发生的这种变化,再加上企业要求快速将应用推向市场的迫切需求,导致了app的可用性战胜了安全性,造成了大量不安全的应用。

为解决这个问题,我们必须利用工作在app层的安全方案,并且在所有移动app中提供一种一致的安全框架。这种方案不仅要保护app,还要确保不健全的app不会成为攻击者的前门。只有这样,企业的CISO和CIO才可能对移动应用的完整性有信心。

app激增

企业正快速地将大量的业务应用(如电子邮件、日程、浏览器)迁移到大量的所谓生产率应用(productivity app),而其潜在的固有漏洞给企业的敏感数据带来更大的攻击面。敏感信息正日益面临被暴露的风险,这是因为“雇员日益成为拥有其自己的IT部门”的员工,将不安全的应用下载并在其设备上运行。调查发现,许多企业都存在某种形式的BYOA(自带应用),还有许多雇员在已经存在一个可用的应用时,还要下载其自己的应用。

从本质上说,企业都要求对所有移动应用进行更精细的控制,但EMM无法提供此功能。即使对于从苹果和谷歌下载的app来说,问题也是如此。攻击者还能够将恶意软件伪装成一个新闻网站app,以此吸引目标。所以,公司需要的不仅仅是EMM,更应找到一个对所有移动客户交付安全产品的方法,当然,这种产品应当与设备类型无关。

移动app漏洞的出现

黑客们都知道移动应用固有的不安全性,因而他们就有机会发动更高级的攻击。攻击者们喜欢一直连网却缺乏监视、检测的目标,这就使得移动设备和应用成为攻击的好途径。只要我们看看研究人员和黑客们已经发现和正在发现的重大漏洞,就会感到问题的严重性。

企业往往要求开发者们快速将应用推向市场,开发者就不断地更新,或在开发移动应用期间,利用一些外包的或外部的框架。这确实可以提高开发速度,但也意味着开发者可能在不知不觉中就引入了一些安全风险,尤其是在使用第三方的组件时,问题就更为严重。例如,如果被广泛用于Web的可信加密库OpenSSL存在漏洞,还有哪个更新的“移动编程库(MPL)”能够担当重任?

移动设备和应用在企业中的演变步伐将极大地改变企业考虑安全的方式。企业需要在一个自己越来越不容易控制的由设备、app、用户所构成的环境中建立信任和安全。在此过程中,要有效地控制风险就要真正地理解人在移动设备上的工作方式及其与移动设备和应用的交互方式。攻击者总是跟踪那些 广泛使用的并且有安全缺陷的移动应用,这意味着下一种威胁公司数据和用户私密的就是移动设备和应用。

对移动设备和应用实施零信任模式并在app层上实施适当的安全控制既能提升效率又可以促进安全。但是最根本的问题是,这种模式不再是关于设备的,而应是关于app的。


作者:赵长林

来源:51CTO

相关文章
|
5月前
|
存储 缓存 搜索推荐
想要快速地拥有Sitecore DXP平台!这九个开发大坑一定要避开!
随着互联网技术的深入的发展,人们对于个性化的渴望已经达到了新的阈值,这也让以数字洞察力、个性化体验为名的Sitecore DXP平台成为了品牌们竞相追捧的新宠。而在这样的需要背景下,一众新手企业纷纷投身市场,想要分一杯羹。但是经验不足的新人入场,难免会带来不少麻烦,甚至引发了人们对于Sitecore性能的质疑。
|
负载均衡 安全 搜索推荐
缺了这项功能,网站营销难上加难
缺了这项功能,网站营销难上加难
189 2
缺了这项功能,网站营销难上加难
|
安全 网络安全 数据安全/隐私保护
面对未来网络安全 如何做到一劳永逸?
面对未来网络安全 如何做到一劳永逸?
面对未来网络安全 如何做到一劳永逸?
|
数据采集 人工智能 运维
用自动化优先与人机协同破解企业内卷,RPA成为重要杀器
内卷化无处不在的当下,企业如何用RPA破解内卷迷局? 用自动化优先与人机协同应对企业内卷,RPA成为重要杀器 自动化优先,人机协同,简单原则,三个方式化解企业内卷化
154 0
用自动化优先与人机协同破解企业内卷,RPA成为重要杀器
|
搜索推荐 物联网 新制造
打破智能家居4大魔咒, 全场景定制化智慧成套方案成绝密武器
2018AWE期间,东方卫视专题,直播了海尔的全场景定制化智慧成套方案,这引起了我的兴趣。专题片以“智慧定制美好生活”为题,介绍了海尔为智能家居领域所做的探索与努力,也由此引出海尔在物联网时代平台品牌战略成果:创成智慧家庭第一平台品牌。
122 0
打破智能家居4大魔咒, 全场景定制化智慧成套方案成绝密武器
|
SEO
网站运营中最为基本的因素是哪些?要注意什么?
网站运营是一个贯穿网站始末的过程中,对于运营站长而言,运营的开始并非是从网站正式上线,开始使用为起点,而是从最初网站策划就已经开始。网站前期的策划,定位,布局对于网站后期运营起到决定性的作用,其中任何一个环节出现错误,后期采用再完美的运营手段都无法补救,注定运营以失败结束。 在网站运营时,除了上述<span style="color: rgba(38, 38, 38, 1)"><a rel="dofollow" href="https://www.fgba.net/" title="富贵论坛"><span style="color: rgba(38, 38, 38, 1)">富贵论坛</sp
137 0
|
监控 安全 数据可视化
宜信如何做到既满足远程办公的短时便利性需求,又不丧失安全性
宜信如何做到既满足远程办公的短时便利性需求,又不丧失安全性
|
区块链 人工智能
区块链有望成遏制财务造假利器,“顺便”抢走500万财会工作机会
A股上市公司财务造假现象屡见不鲜。从今年年中的康美药业到最近爆出的欢瑞世纪,多家公司因财务造假,遭证监会重罚、造成股价暴跌。是否有技术手段可以从源头扼杀财务造假?区块链技术或是一条途径。
|
存储 安全 Android开发
安卓应用安全指南 六、困难问题
六、困难问题 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 在 Android 中,由于 Android 操作系统规范或 Android 操作系统提供的功能,难以确保应用实现的安全性。
1242 0

热门文章

最新文章