移動開發(fā)熱背后:移動應(yīng)用安全投入力度嚴重不足

責任編輯:editor005

2015-04-03 15:14:20

摘自:TechTarget中國

Ponemon研究所最新調(diào)查提供了一些量化的數(shù)字來說明很多信息安全專業(yè)人員已經(jīng)意識到的趨勢,即企業(yè)對移動應(yīng)用安全未投入足夠資金。

Ponemon研究所最新調(diào)查提供了一些量化的數(shù)字來說明很多信息安全專業(yè)人員已經(jīng)意識到的趨勢,即企業(yè)對移動應(yīng)用安全未投入足夠資金。

由IBM安全部門贊助的這個《移動應(yīng)用不安全狀況》報告顯示,移動應(yīng)用開發(fā)平均花費為3400萬美元,而其中只有6%(即200萬美元)專門用于安全目的。也許更令人沮喪的是,該調(diào)查發(fā)現(xiàn)在400家受訪企業(yè)中,50%表示他們的移動應(yīng)用開發(fā)預(yù)算中沒有用于安全的預(yù)算,而40%稱他們沒有掃描器移動應(yīng)用中的漏洞。

根據(jù)IBM安全部門表示,這些數(shù)據(jù)顯示了自己開發(fā)移動應(yīng)用的企業(yè)及其客戶面對的一個令人不安的趨勢。“對于掃描移動應(yīng)用漏洞的60%企業(yè),只要他們沒有發(fā)現(xiàn)問題,客戶也許就沒問題,”IBM安全部門移動管理副總裁Jim Szafranski表示,“但實際情況是,他們在發(fā)現(xiàn)漏洞—幾乎占三分之一。所以,那些未掃描漏洞的40%企業(yè)面臨威脅,他們可能在發(fā)布包含漏洞的移動應(yīng)用。”

Szafranski稱,這項研究并沒有涉及企業(yè)在發(fā)現(xiàn)漏洞后是否修復(fù)漏洞的問題。他表示:“我猜他們會修復(fù)漏洞,但這只是純粹的猜測。”

根據(jù)Ponemon調(diào)查顯示,移動設(shè)備面臨的威脅并不一定是已知惡意軟件被放入到這些新興的應(yīng)用中。該調(diào)查顯示,移動應(yīng)用中普遍存在各種軟件漏洞,例如SSL庫內(nèi)存在的Heartbleed等漏洞。

“這里很大一部分問題在于以安全方式構(gòu)建這些移動應(yīng)用的成熟度,”Szafranski稱,“如果這些漏洞被利用,那么你放在這些設(shè)備中的業(yè)務(wù)數(shù)據(jù)和客戶數(shù)據(jù)都將面臨風險。”

在最近幾年,企業(yè)對移動應(yīng)用的使用呈指數(shù)增長,然而,由于應(yīng)用開發(fā)缺乏安全重點而造成的移動電子商務(wù)欺詐等事故也讓企業(yè)蒙受巨大損失。

“人們在急切地擁抱移動性,”Szafranski稱,“你的構(gòu)建、改進、推出、再改進周期都在6個月內(nèi)發(fā)生,而不再是兩年。”

該調(diào)查顯示,77%的受訪者感覺到他們總是“急于發(fā)布應(yīng)用”。這至少部分解釋了73%的受訪者稱他們?nèi)狈Π踩幋a做法的培訓(xùn)和理解。

此外,82%的受訪者認為使用移動應(yīng)用會給其公司帶來風險,盡管缺乏對安全應(yīng)用開發(fā)的投資。基于該研究,IBM安全部門斷言,如果企業(yè)想要減少其安全責任,應(yīng)該控制其員工對移動應(yīng)用的使用。但這種控制現(xiàn)實嗎?

“這是一個很好的問題,因為移動性非常個性化,在很多情況下,技術(shù)的消費化讓你的用戶領(lǐng)先于你,”Szafranski稱,“但肯定有辦法改進對移動使用的可視性以及對其的控制。”

即使有正確的BYOD和移動設(shè)備管理政策來防止不安全網(wǎng)絡(luò)或者從不受信任來源下載不安全應(yīng)用,合法的授權(quán)應(yīng)用也可能給用戶帶來風險,因為這些應(yīng)用可能包含隱藏但可被利用的漏洞。

因此,企業(yè)應(yīng)該投入更多的資源來保護移動應(yīng)用開發(fā)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號