Initiatieven en programma’s voor applicatiebeveiliging worden steeds beter om de gegevens van een organisatie te bereiken en deze te beschermen tegen bedreigingen, maar dat is slechts één stukje van de beveiligingspuzzel. Met beperkte hoeveelheden tijd, middelen en mensen die beschikbaar zijn om de beveiliging aan te pakken, moesten organisaties prioriteit geven aan wat wordt beschermd.
“Een organisatie kan bijvoorbeeld 100 verschillende applicaties ontwikkelen. Aangezien het niet altijd kosteneffectief of tijdbesparend is om voor elke applicatie een op maat gemaakt beveiligingsplan te bedenken, krijgen alleen de applicaties die als kritiek worden beschouwd de hoogste prioriteit, misschien vijf of zes, en de overige 95 of zo worden gedeprioriteerd in termen van beveiliging ”, aldus Chad McDonald, chief information officer en chief information security officer bij digitale.ai, een leverancier van softwareoplossingen. “Dat betekent niet dat die 95 applicaties geen bescherming nodig hebben, het betekent alleen dat het risico wat lager is”, merkte hij op.
McDonald legde uit dat dit gebrek aan middelen en gedwongen prioritering resulteert in slechte eindpuntbeveiliging. Beveiliging van eindpunten wordt een nog groter probleem met mobiele apparaten, omdat deze apparaten vaak zijn verbonden met zeer kwetsbare gegevens, waaronder bankgegevens, creditcards en in sommige gevallen zelfs medische dossiers en apparatuur. Volgens een recent rapport is een meerderheid van alle financiële applicaties kwetsbaar voor elementaire reverse engineering-aanvallen omdat ze geen eenvoudige binaire codebeveiliging hebben die valideert of een applicatie al dan niet in een veilige omgeving draait.
“Er is een hele reeks informatie die nu op je mobiele apparaat staat of via een applicatie toegankelijk is via je mobiele apparaat”, zegt McDonald. “We hebben nog niet echt gezien dat beveiligingscontroles tot op dat moment breed werden verlaagd.”
Het is moeilijk om de beveiliging van mobiele endpoints aan te pakken als er een aantal verschillende programmeertalen worden gebruikt om een applicatie te maken, en besturingssystemen voortdurend evolueren en worden aangepast, wat de zaken ingewikkelder maakt en een negatieve invloed heeft op de applicatiebeveiliging.
Maar mobiele eindpuntbeveiliging is niet iets dat echt kan worden genegeerd of alleen kan worden toegepast op de meer bedrijfskritische applicaties. McDonald legde uit dat zelfs die “minder belangrijke applicaties” nog steeds andere delen van de organisatie kunnen raken en aanzienlijke schade kunnen aanrichten.
“De slechteriken hoeven maar één keer gelijk te hebben. Ze hoeven maar in één app te komen’, zei hij. “Je ziet zelden dat een aanvaller rechtstreeks binnenkomt via het systeem dat hij probeert aan te vallen. Vaker vallen ze een systeem aan dat kwetsbaar is, krijgen ze een bepaald niveau van controle binnen de perimeter en draaien ze dan naar iets belangrijkers.”
In een mobiele app zou dat zich vertalen in een hacker die een van die minder kritieke applicaties exploiteert, manieren zoekt om in een relevanter systeem te springen of privileges van een gebruiker naar een beheerder te verheffen, en operaties onderbreekt of de server afsluit.
Wat ontwikkelaars kunnen doen?
Ontwikkelaars hebben echt een manier nodig om hun beveiligingsmogelijkheden over hun hele portfolio uit te breiden en telemetrie in hun applicaties in te bouwen.
Volgens McDonald is er de laatste tijd veel aandacht voor het monitoren van applicatieprestaties, maar het merendeel van die inspanningen is gericht op het genereren van marketinggegevens en het kijken naar welk deel van de applicatie de gebruiker de meeste tijd doorbrengt of het beste presteert, en hoe lang het duurt voordat de applicatie is geladen. Ontwikkelaars hebben echt beveiligingsspecifieke telemetriegegevens nodig, zoals hoe een applicatie wordt aangevallen en welk deel van de code gevaar loopt, met de mogelijkheid om die informatie terug te voeren naar de organisatie, zodat ze weloverwogen beslissingen kunnen nemen over het vergrendelen van accounts of het bijwerken van code.
“Mijn aanbeveling aan ontwikkelaars is om echt met de zaklamp in de donkere hoeken van de applicatie te schijnen”, zegt McDonald. “Begrijp hoe uw applicaties daadwerkelijk worden gebruikt vanuit een beveiligingsperspectief naast die prestatie- en marketinggegevens.”
Het helpt ook om de gebruikers te informeren over applicatiebeveiliging. De meeste gebruikers denken niet echt na over of begrijpen de verschillende lagen van applicatiebeveiliging niet. “Er is een veronderstelling dat Apple of je Android-handapparaat, of Google in het geval van Android, achter je staat en alle noodzakelijke beveiligingsmaatregelen biedt die je nodig hebt voor de bescherming van de applicatie”, zei McDonald.
Alleen omdat een applicatie in de App Store, Google Play Store of beschikbaar is om te downloaden van een website, wil nog niet zeggen dat deze veilig of beveiligd is. Gebruikers moeten ervoor zorgen dat hun applicatie geldig en gecertificeerd is, omdat er kopieën van die applicaties in het wild kunnen zijn met snode functionaliteit ingebakken.
Bovendien hebben sommige gebruikers de neiging hun apparaat te jailbreaken of hun mobiele apparaat te routeren om een game te downloaden of toegang te krijgen tot andere inhoud, maar dat gaat voorbij aan alle ingebouwde beveiligingscontroles en opent een enorme kloof in de beveiligingsperimeter van het mobiele apparaat.
“Als je niet voorzichtig bent met wat je op je telefoon zet, zet je in wezen de sluizen open voor de slechteriken om te doen wat ze willen”, zei McDonald.
De essentiële app-bescherming van Digital.ai
Digital.ai is gericht op het integreren van beveiliging in de softwareontwikkelingspijplijn, zodat organisaties niet de applicaties hoeven te kiezen die belangrijker zijn om te beschermen. Naast de Premium App Protection-oplossing heeft het bedrijf onlangs Digital.ai Essential App Protection geïntroduceerd, dat een eerste verdedigingslinie biedt tegen aanvallen op de applicatielaag.
Digital.ai Essential App Protection beschermt applicaties tegen onveilige omgevingen en biedt bruikbare inzichten in hoe, wanneer en waar applicaties kwetsbaar zijn. “Wat je uiteindelijk krijgt, is beveiliging die in wezen wordt ondersteund in het normale softwareontwikkelingsproces. Deze aanpak leidt niet tot een onnodige belemmering van ontwikkelingsteams of beveiligingsteams bij het bouwen van software en het uitrollen ervan”, aldus McDonald. “Je hebt de mogelijkheid om verschillende applicaties te begrijpen die worden aangevallen, waar die aanval vandaan komt en welke delen van de applicatie mogelijk worden aangevallen. Dat stelt je in staat om constant te evolueren of te luisteren naar wat de dreiging of de slechteriken doen, en je beveiligingscontroles te ontwikkelen om aan die steeds veranderende zorg te voldoen.”
Digital.ai Essential App Protection biedt permanente bewaking van het aanvalsoppervlak van een organisatie, zodat ze kunnen begrijpen hoe aanvallen eruit zien, controles versterken of controles wijzigen om zich voortdurend tegen hackers te verdedigen. Deze gerichte aanpak stelt ontwikkelaars in staat om hun inspanningen echt te richten op waar de aanvallen plaatsvinden in plaats van de traditionele shotgun-aanpak te volgen.
“Wat vandaag onmogelijk is vanuit een beveiligingsperspectief, is morgen waarschijnlijk mogelijk met technologische vooruitgang en nieuwe en innovatieve manieren waarop de slechteriken leren hun aanvallen uit te breiden en geavanceerder te worden naarmate ze nieuwe tools aanvallen of gebruiken”, aldus McDonald.
De belangrijkste kenmerken van de Essential App Protection-oplossing zijn:
- Bruikbare dreigingsinzichten op gecompromitteerde apparaten en applicaties met vervolgreacties en beveiligingsupdates
- Runtime-zelfbescherming om app-instanties te detecteren en te voorkomen dat ze worden uitgevoerd in onveilige omgevingen
- Class-encryptie, zodat het voor aanvallers moeilijker is om gedecompileerde app-code te bekijken en te analyseren, toegang te krijgen tot informatie en kwetsbaarheden te misbruiken
- Integratie in CI/CD-pijplijnen
- Inzicht in hoe een applicatie wordt aangevallen
- Mogelijkheden voor weinig code, zodat gebruikers de broncode niet hoeven te configureren of aan te passen
- Compatibiliteit met iOS- en Android-applicaties
“Met een schaarste aan app-beveiligingsexpertise zijn organisaties vaak beperkt tot het beschermen van alleen hun meest kritieke apps. Niet meer. Met Digital.ai Essential App Protection en Digital.ai Premium App Protection hebben organisaties de oplossingen die ze nodig hebben om beveiliging rechtstreeks in hun DevOps-pijplijn in te bedden en al hun apps te beschermen, ongeacht het niveau van beveiligingsexpertise van de organisatie”, aldus Aviad Arviv, algemeen directeur beveiliging bij Digital.ai. “Digital.ai App Protection biedt organisaties de gemoedsrust dat ze hun IP en hun klanten beschermen.”
Meer informatie op digital.ai/essential-app-protection
Inhoud geleverd door SD Times en digital.ai
CreditSource link