Gartner cho rằng trong những năm tới, 75% các ứng dụng di động sẽ không vượt qua được bài kiểm tra bảo mật cơ bản.
Công ty nghiên cứu nói rằng trong năm 2015, phần lớn các ứng dụng di động – từ Android, iOS hay các hệ sinh thái Windows Phone sẽ không có các giao thức bảo mật chấp nhận nghiệp vụ cơ bản phù hợp. Điều này đặt ra một vấn đề nghiêm trọng đối với các tổ chức cho phép mang theo các thiết bị di động (BYOD) đang phổ biến. Các nhân viên tải về các ứng dụng có thể truy cập vào tài sản doanh nghiệp hoặc thực hiện các chức năng kinh doanh, nhưng không có các tiêu chuẩn cơ bản phù hợp, không chỉ là vi phạm chính sách bảo mật doanh nghiệp mà dữ liệu nhạy cảm và hệ thống mạng của doanh nghiệp có thể dễ bị tổn thương.
Dionisio Zumerle, nhà phân tích nghiên cứu chính của Gartner nhận xét: "Các doanh nghiệp chấp nhận điện toán di động và chính sách mang thiết bị riêng rất dễ bị tấn công bảo mật, trừ khi họ áp dụng các phương pháp và công nghệ kiểm tra ứng dụng bảo mật di động và đảm bảo rủi ro. Hầu hết các doanh nghiệp không có kinh nghiệm trong bảo mật ứng dụng di động. Ngay cả khi việc kiểm tra an ninh ứng dụng có thực hiện, nó thường được thực hiện tình cờ bởi nhà phát triển, chủ yếu là liên quan đến các chức năng của các ứng dụng, không liên quan đến việc bảo mật của doanh nghiệp. "
Công ty nghiên cứu Gartner (Ảnh minh họa từ Internet)
Zumerle nói rằng các nhà cung cấp dịch vụ kiểm tra bảo mật ứng dụng tĩnh (SAST) và kiểm tra bảo mật ứng dụng động (DAST) hiện tại sẽ cần phải sửa đổi và điều chỉnh các bài kiểm tra của họ để giải quyết các công nghệ di động. Cả hai kỹ thuật SAST và DAST đã được sử dụng trong nhiều thập kỷ qua, nhưng các ứng dụng điện thoại di động do sự đa dạng và phụ thuộc vào sự phát triển liên tục các hệ điều hành di động là một thách thức mới. Gartner tin rằng ngoài SAST và DAST, các kỹ thuật kiểm thử mới dựa trên phân tích hành vi đang nổi lên cho các thiết bị di động. Các bài kiểm tra giám sát các giao diện ứng dụng và các ứng dụng chạy nền để phát hiện hành vi nguy hiểm hoặc rủi ro. Ví dụ, một chương trình nghe nhạc đồng thời cũng truy cập vào danh sách liên lạc hoặc định vị thì có thể là ứng dụng nghi ngờ.
Tuy nhiên, điều này chưa đủ đủ, người dùng doanh nghiệp cũng nên chắc chắn rằng các máy chủ giao tiếp với các thiết bị di động liên tục được kiểm tra và bảo vệ.
Chính sách cho phép mang theo thiết bị di động có thể là lỗ hổng (Ảnh minh họa từ Internet)
"Hiện nay, hơn 90% các doanh nghiệp sử dụng ứng dụng thương mại của bên thứ ba cho các chiến lược BYOD di động của họ, và đây là việc kiểm tra an ninh ứng dụng chính hiện nay nên được áp dụng," Zumerle lưu ý.
"Cửa hàng ứng dụng có nhiều ứng dụng chủ yếu chứng minh sự hữu ích của chúng bằng quảng cáo. Tuy nhiên, các doanh nghiệp và cá nhân không nên sử dụng chúng mà không chú ý đến an ninh của chúng. Họ nên tải về và chỉ sử dụng những ứng dụng đã vượt qua các bài kiểm tra an ninh thành công được thực hiện bởi các nhà cung cấp kiểm tra an ninh ứng dụng chuyên môn. "
Gartner dự đoán rằng vào năm 2017, vi phạm thiết bị đầu cuối sẽ tập trung vào điện thoại thông minh và máy tính bảng, và "các tính năng bảo mật trên các thiết bị di động cung cấp ngày hôm nay sẽ không đủ để giữ cho hành vi vi phạm đến mức tối thiểu." Ngoài ra, công ty nghiên cứu khuyến cáo rằng các doanh nghiệp sử dụng các ứng dụng ngăn chặn, chẳng hạn như bộ dụng cụ đóng gói và phát triển phần mềm để bảo vệ dữ liệu tốt hơn.
Qua năm 2017, Gartner dự đoán rằng 75% việc tấn công bảo mật di động sẽ là kết quả của việc cấu hình sai ứng dụng di động, chẳng hạn như việc lạm dụng lưu trữ đám mây cá nhân song song với dữ liệu doanh nghiệp.
Theo Zdnet
Thêm bình luận