Il 75% delle app mobile non passerà i basilari test di sicurezza, parola di Gartner

Il 75% delle app mobile non passerà i basilari test di sicurezza, parola di Gartner

Le applicazioni mobile potranno presentare, nei prossimi anni, rischi piuttosto seri per la sicurezza delle informazioni aziendali

di Andrea Bai pubblicata il , alle 13:31 nel canale TLC e Mobile
 

Nel corso del 2015 oltre il 75% delle applicazioni mobile non saranno in grado di superare i basilari test di sicurezza: è la previsione delineata dalla società di analisi di mercato Gartner, la quale osserva come le applicazioni mobile scaricate dagli impiegati, che possono accedere ad asset enterprise o compiere funzioni di business, non forniscono alcun tipo di garanzia sulla loro sicurezza, e sono quindi esposte al pericolo di attacchi e violazioni delle politiche di sicurezza di un'azienda.

Dionisio Zumerle, principal research analyst per Gartner, ha commentato: "Le aziende che abbracciano strategie di mobile computing e BYOD sono vulnerabili alle violazioni di sicurezza a meno che non adottino metodi e tecnologie di testing per la sicurezza delle applicazioni mobile e per la valutazione del rischio. La maggior parte delle aziende non ha esperienza nella sicurezza delle applicazioni mobile. Anche quando viene preso in considerazione il testing della sicurezza, questo viene spesso eseguito in maniera casuale dagli sviluppatori che sono per lo più preoccupati dalle funzionalità dell'applicazione e non dalla sicurezza".

Zumerle osserva che i vendor di strumenti SAST (Static Application Security Testing) e DAST (Dynamic Application Security Testing) andranno a modificare e allineare queste tecnologie per meglio rispondere alla situazione e affrontare le sfide poste dal testing della sicurezza mobile. Sebbene gli strumenti SAST e DAST siano stati usati per gli ultimi sei-otto anni e siano ragionevolmente maturi, il testing di applicazioni mobile rappresenta un nuovo ambito di esplorazione anche per queste tecnologie.

Per le applicazioni mobile sta inoltre emergendo, accanto a SAST e DAST, un nuovo tipo di test basato sull'analisi del comportamento di un'app. Si tratta di tecnologie che monitorano un'applicazione in esecuzione per rilevare comportamenti malevoli o rischiosi che avvengono in background e che non dovrebbero avere nulla a che vedere con lo scopo primario dell'app (per esempio quando un riproduttore multimediale accede alla lista dei contatti dell'utente o ai dati di geolocalizzazione e avvia una trasmissione ad un indirizzo IP esterno).

Testare il lato client (codice e GUI) di un'applicazione che opera su un dispositivo mobile non è abbastanza, dal momento che anche il lato server deve essere testato. I client mobile comunicano con i server per accedere alle applicazioni e ai database enterprise. Non riuscire a proteggere un server porta il rischio di perdere dati di centinaia di migliaia di utenti dal database dell'azienda. Codice ed interfaccia utente di queste applicazioni server-side dovrebbero essere testati con tecnologie SAST e DAST.

"Oggi oltre il 90% delle aziende fa uso di applicazioni commerciali di terze parti per le loro strategie mobile BYOD, ed è in questo ambito che bisognerebbe applicare gli sforzi di testing della sicurezza. Gli store delle app sono pieni di applicazioni che per lo più dimostrano le loro utilità pubblicizzate. Nondimeno le aziende e i singoli utenti non dovrebbero però usare le applicazioni se non prestano attenzione alla loro sicurezza. Essi dovrebbero scaricare ed usare solo quelle applicazioni che hanno superato i test di sicurezza condotti da vendor specializzati in test garantiti" ha aggiunto Zumerle.

Gartner prevede che per il 2017 l'attenzione per le violazioni endpoint si sposterà verso tablet e smartphone, dove già ora si verificano tre attacchi per ciascun attacco che avviene su piattaforma desktop. Le caratteristiche di sicurezza offerte oggi da un dispositivo mobile non saranno sufficienti per mantenere le violazioni ad un livello minimo accettabile. La protezione dei dati sui dispositivi mobile dovrà essere affrontata con soluzioni efficienti e praticabili, come ad esempio le tecniche di application containment.

Secondo la società di analisi di mercato nel corso del 2017 il 75% delle violazioni di sicurezza mobile sarà il risultato di cattive configurazioni di app mobile, e non il risultato di attacchi tecnici su dispositivi mobile. Un esempio classico è il cattivo uso di servizi di personal cloud tramite le app che risiedono su smartphone e tablet: quando vengono usati per trasmettere dati aziendali, queste app possono portare a fughe di informazioni di cui l'organizzazione può essere per lo più ignara.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Dario77115 Settembre 2014, 21:07 #1
Bhè diciamo che l'analisi è piuttosto ottimista...
bobafetthotmail16 Settembre 2014, 00:30 #2
una gran novità.

Tutte le violazioni sono da sempre avvenute a causa di sistemi creati o settati coi piedi.

O agli imbecilli che mandano le password di qualcosa a caso via email.

I tablet sono più facili da usare, quindi più tonti potranno fare danni che rispetto a prima.

il BYOD (bring your own device = permettere agli utenti di usare i loro dispositivi per gestire dati aziendali) è sempre stata una gigantesca falla di sicurezza o di soldi per renderli sicuri.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^