Gartner: 明年75%的移動應用將無法通過最基本的安全測試
責編:admin |2014-09-25 20:05:52據國外媒體報道,市場研究公司Gartner預計,明年75%的移動應用將無法通過最基本的安全測試。
Gartner近日表示,到2015年,大多數移動應用——無論是屬于Android、iOS還是Windows Phone生態系統——將仍然不具備基本的、可被企業接受的安全協議。
當越來越多的員工選擇“自帶設備辦公”(BYOD)時,這為企業帶來了一個嚴重的問題。員工是否應該下載那些應用呢?這些應用沒有部署基本的安全協議,但可以訪問企業的服務器或執行某些業務功能。Gartner表示,如果出現這樣的情況,不僅可能讓企業的安全規定受到侵犯,也可能讓企業敏感的數據和網絡變得更易于受到攻擊。
Gartner首席研究分析師迪奧尼西奧?蘇墨勒(Dionisio Zumerle )在一份研究報告中表示:那些采用移動計算和BYOD策略的企業正面臨安全威脅,除非他們同時采用移動應用安全測試和風險保障的方法和技術。大多數企業都缺乏移動應用安全方面的經驗,即使開展了應用安全測試,也通常由開發商完成——后者更關心的是應用的功能,而不是它們的安全性。”
蘇墨勒指出,現有的靜態應用安全測試(SAST)和動態應用安全測試(DAST)供應商將需要對他們的測試方法進行修改和調整,以滿足移動通信技術的需求。過去10年來,SAST和DAST這兩種測試方法一直在使用,但移動應用是一個新的挑戰,原因是其多樣性和對不斷發展的移動操作系統的依賴性。
他認為,除了SAST和DAST這兩種測試方法,面向移動設備、基于行為分析的新型測試方法正在涌現。這些測試方法可以監控圖形用戶界面,并運行后臺應用以檢測惡意或危險行為。例如,如果一款音樂播放器應用,可以訪問用戶的聯系人列表或地理位置,則它可能是危險的。
不過,這些措施不一定足夠——企業用戶還應該確保其與移動設備通信的服務器處于不斷測試和被保護的狀態。
蘇墨勒指出:“今天,90%以上的企業實施其移動BYOD策略時采用了第三方商業應用,而這應該成為當前應用安全測試大展手腳的領域。應用程序商店充斥了各種應用,大部分證明其有效性并不是吹噓的,但企業和個人在使用時應該注意它們的安全性,應該下載并使用那些已成功應用安全測試的應用,而這些測試應由專業的應用安全測試服務提供商實施。”
Gartner預測,到2017年,“終端漏洞”將集中于智能手機和平板電腦上,“目前移動設備提供的安全功能并不足以讓漏洞保持在最低程度。”此外,該研究公司建議,為了更好地保護數據,企業應使用應用套件—— 如軟件開發工具包(SDK)等。
Gartner還預測,到2017年,75%的移動安全漏洞將是移動應用錯誤配置的結果,如誤用個人云存儲同步企業數據