Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Come valutare la sicurezza delle app mobili

pittogramma Zerouno

TechTarget Technology HowTo

Come valutare la sicurezza delle app mobili

30 Ott 2017

di Piero Todorovich - fonte TechTarget

La security aziendale non può oggi trascurare smartphone e dispositivi mobili. In questa guida spieghiamo come fare l’assessment sulle applicazioni secondo le raccomandazioni del SANS Institute

Il mercato delle applicazioni mobili cresce sempre più rapidamente. A marzo di quest’anno gli utenti dei sistemi Android erano in grado di scegliere tra 2,8 milioni applicazioni, mentre sul fronte Apple si è giunti a 2,2 milioni sull’App Store.

Con così tante opzioni non è una sorpresa che le aziende abbiano difficoltà nel decidere quali applicazioni siano o meno adatte per l’utilizzo nel business. Alcune applicazioni, in apparenza utili, possono incrementare le vulnerabilità dell’azienda sul fronte della sicurezza. Per questo è necessario che i team di sicurezza introducano l’assessment delle applicazioni mobili nel lavoro di tutti i giorni.

L’application assessment aiuta i team di sicurezza a comprendere cosa un’applicazione fa e come interagisce con gli altri dati presenti sui dispositivi mobili. Basandosi sui risultati dell’analisi, i team possono determinare se una app è adatta o meno; riuscire a capire come un’applicazione funziona permette ai team di sicurezza d’identificare proattivamente i rischi potenziali. In questo modo possono essere prevenute le perdite di dati e le modifiche non autorizzate ai dispositivi escludendo le applicazioni più a rischio.

A dispetto dell’importanza che oggi ha l’application assessment per la sicurezza aziendale, molti team di security non se ne occupano perché mancano delle competenze per farlo. Come risultato, molte aziende mettono i propri dati a rischio permettendo l’uso delle app mobili senza alcuna supervisione.

Come discriminare tra app usabili e da scartare

Ci sono due metodi raccomandabili per fare application assessment in campo mobile.

  • Il primo metodo consiste nell’identificazione di un set di comportamenti pericolosi da cui guardarsi. Se una applicazione mostra qualcuno di questi comportamenti, allora non può essere usata e non c’è alcuna necessità di proseguire con ulteriori analisi. I comportamenti pericolosi sono:
  1. l’accesso ai contatti e la loro copia all’esterno del dispositivo;
  2. il tracking dei luoghi dove si reca l’utente e la comunicazione a servizi esterni;
  3. l’accesso alle foto dell’utente e tramissione all’esterno;
  4. La trasmissione o logging delle credenziali dell’utente in modo insicuro, non crittato
  • Il secondo metodo, più approfondito, consiste nell’ispezione dettagliata di ciascuna applicazione. Ogni applicazione viene analizzata per identificare ciò che fa. Sulla base di quanto rilevato si prende la decisione se l’app è adatta per l’utilizzo in ambito aziendale o no. È utile redigere una scheda dell’applicazione sulla quale applicare i criteri di valutazione, soppesare i vari parametri per decidere se nell’insieme le garanzie sono sufficienti. La scheda del rapporto dovrebbe contenere:
  1. le permission;
  2. le fragilità nell’esecuzione;
  3. come gestisce lo storage locale dei dati, ossia il livello di protezione, rispetto di confidenzialità e integrità;
  4. livello di protezione delle comunicazioni in rete;
  5. livello di protezione delle comunicazioni tra i processi interni all’applicazione.

Il primo metodo, basato sulla ricerca dei comportamenti inaccettabili, è il più veloce e consente di escludere gran parte delle applicazioni mobili. Occorre però considerare che se le funzionalità di cui l’azienda ha bisogno sono contenute in un’app che manifesta comportamenti vietati, allora è utile procedere comunque nellanalisi di dettaglio per capire il livello del rischio e se è possibile mitigarlo.

Dispositivi corporate verso BYOD

Quando si ha a che fare con i dispositivi mobili di proprietà aziendale è semplice limitare o controllare le app scaricate dall’utente. I dispositivi basati su iOS (Apple) sono in genere più controllabili rispetto a quelli Android. La capacità di “bloccare” gli smartphone è un altro modo con cui i team di sicurezza possono garantire i dispositivi aziendali. Negli scenari di BYOD (bring your own device, ossia dispositivi di proprietà utente) le cose sono più complicate. Negli scenari BYOD, impiegati e collaboratori usano account Gmail o simili per le comunicazioni che riguardano l’azienda: strategia da scoraggiare per ragioni di sicurezza e di controllo.

L’opzione più sicura per gli scenari di BYOD si realizza con l’uso di una applicazione container. Questa strategia permette agli utenti di controllare liberamente il proprio smartphone e di isolare tutto ciò che riguarda il business dentro il container. L’applicazione container garantisce la sicurezza di dati e comunicazioni aziendali. Siccome non tutte le app container sono uguali, si raccomanda comunque di fare l’assessment delle app container prima di introdurne l’uso in azienda.

Gli otto passi per la sicurezza mobile

Con tante nuove applicazioni introdotte giornalmente, non è più possibile chiudere gli occhi su cosa impiegati e collaboratori usano sui loro smartphone per scopi aziendali. I team di sicurezza devono acquisire le necessarie competenze e sapere come comportarsi. Alle aziende che hanno come obiettivo garantire la sicurezza in ambito mobile, SANS Institute raccomanda otto passi, in aggiunta agli assessment sulle app di cui abbiamo parlato. I passi, elencati in ordine d’impegno richiesto, si applicano a qualsiasi dispositivo sia esso aziendale oppure di proprietà utente in logica BYOD. Le raccomandazioni SANS “Top 8 Steps for Effective Mobile Security” sono frutto di un progetto per il miglioramento della sicurezza mobile basato sulle opinioni di una community di esperti indipendenti e sono le seguenti:

  1. rendere obbligatoria l’autenticazione dell’utente sul dispositivo;
  2. monitorare l’accesso e l’uso del dispositivo;
  3. garantire l’applicazione delle patch;
  4. proibire l’accesso gli application-store di terze parti non controllate;
  5. controllare l’accesso fisico;
  6. valutare la compliance dell’applicazione ai criteri di security;
  7. prepararsi a gestire gli incidenti; dispositivi persi o rubati;
  8. implementare il supporto di gestione e operativo.

Piero Todorovich - fonte TechTarget

Giornalista professionista dal 91, ha scoperto il Computer negli Anni 80 da studente e se n'è subito innamorato, scegliendo di fare della divulgazione delle tecnologie e dell'informatica la propria professione. Alla passione per la storia delle tecnologie affianca quella per i viaggi e la musica

Argomenti trattati

Approfondimenti

M
Mobile Applications

Articolo 1 di 4