这些移动安全措施对于您的应用程序的成功绝对必不可少。

我们中的许多人都听说过80/20规则，也被称为“帕累托原则”。应用于移动应用程序安全性的想法是，防范具有最大潜在影响的威胁可以降低80％的风险并提供最大的收益。

一个防御纵深战略能够最好地保护您的企业免受安全，隐私，以及来自移动应用程序的漏洞而产生合规性的威胁。一旦安全的基本层面到位，一些人就会采用专门的解决方案来解决边缘问题。只要知道这些额外的举措通常会有收益递减。更糟糕的是，被最新的移动安全流行语或炒作分散注意力的企业最终可能会忽视可以消除大部分移动风险的基本阻止和攻击。

考虑到这一点，我们建议将大部分移动安全工作集中在三个主动措施上，使您的组织领先于风险，而不是争先恐后地响应事件或警报。它们包括选择合适的企业移动设备和操作系统来支持; 部署移动设备管理; 在用户安装之前测试和审核每个移动应用和更新。

三巨头

1.选择更安全的移动设备和操作系统。

当您评估要支持的设备时，例如在公司拥有的，个人启用的（COPE）或选择您自己的设备（CYOD）移动性计划中，首先要选择推出安全更新的制造商和移动操作系统。他们被释放后不久 这意味着要么是带有iOS的Apple iPhone，要么是运行Android的Google Pixel。这一决定为您所做的其他事情奠定了基础。

其代理商支持自带设备（BYOD）移动性的安全管理人员不会对设备发表意见，但仍可通过接下来的两个步骤获得可靠的保护。

2.使用移动设备管理（MDM）配置设备。

MDM工具有时也称为企业移动管理（EMM）工具，它们管理员工移动设备并设置和实施策略。一些领先的解决方案包括BlackBerry / Good，Citrix XenMobile，IBM MaaS360，Microsoft Intune，MobileIron和VMWare Airwatch等。

虽然功能可能因供应商而异，但重要的MDM功能包括配置设备以遵守公司策略，隔离受损或不合规设备，强制执行应用白名单和黑名单，强制设备PIN /密码，维护库存以及远程擦除丢失或被盗设备。

虽然MDM使管理员能够安全地配置设备并设置设备级策略（例如要求密码和加密），但它不提供对移动应用程序风险的可见性。这就是为什么组织必须采取下一个预防措施，应用程序审查。

3.执行移动应用程序审核以选择安全应用程序。

一些组织在其MDM系统中存储了超过50,000个应用程序。但他们如何知道哪些应用是安全的，哪些应用具有高风险漏洞或隐私暴露，以及他们的数据遍及哪些国家/地区？输入移动应用程序审核，通常作为第三方云订阅服务提供。

此类移动应用程序审查服务通过向EMM系统提供有关应用程序白名单或黑名单的数据，帮助管理人员执行策略。移动应用程序审核侧重于测试和识别有风险的移动应用程序，防止风险和数据丢失，例如敏感数据泄露，中间人攻击，证书验证失败，远程代码执行以及绕过应用程序商店的更多侧载应用程序保护。

拥有合适工具的熟练安全分析师可以每周评估一到两个移动应用程序。这相当于每年50-100个最关键任务的应用程序，超过99％的已安装应用程序未经检测，因为安全漏洞。并且不要忘记测试每个版本的必要性。当添加单个软件开发工具包（SDK）引入了远程执行代码漏洞时，我们已经看到具有高安全性分数的应用程序实例直线下降。

保持这种规模是压倒性的。根据AppAnnie的“移动状态2019”报告，2018年全球下载了惊人的1940亿个应用程序。与此同时，AppBot报告称App Store上的顶级应用程序更新的中间天数为免费应用程序18个，付费应用程序55个，这意味着大约一半的应用程序的周期时间更快。测试此卷的唯一方法是自动化。降低风险

除非他们部署第三方移动应用程序审查服务或自动移动应用安全测试，否则代理商对安全性，合规性和隐私问题中潜在的巨大风险视而不见。在部署应用程序之前主动审查和测试应用程序是真正降低风险的唯一方法。利基需要

一旦采取了基本保护措施，一些机构可能会选择其他技术来满足边缘情况。例如，那些有国际旅行的工作人员可能希望考虑探索移动威胁检测（MTD）来监控SMS网络钓鱼和不安全的Wi-Fi热点。

但这些举措本身并不能有效防范大多数威胁。它类似于在您的前门安装物联网安全摄像头，但保持解锁状态。当然，镜头可以帮助捕获入侵者，但不是在他或她盗窃你的家之前。

这与移动应用程序安全性大致相同，以及为什么我们强调实施主动安全措施的重要性，而不是事后对威胁做出响应。

相关文章