Application Security Redux: все дело в приложениях (часть 2)

Опубликовано: 6 Апреля, 2023
Application Security Redux: все дело в приложениях (часть 2)

  • Снижение безопасности приложений: все дело в приложениях (часть 8)

Введение

Безопасность приложений важнее, чем когда-либо, поскольку операционные системы отходят на второй план, и все становится «все о приложениях». В этой серии статей мы начали с части 1 с общего обзора безопасности приложений и, в частности, различных компонентов эффективной и всеобъемлющей стратегии безопасности приложений. Мы начали решать некоторые из различных типов проблем с безопасностью приложений и сосредоточились на дефектах кода, на том, как они возникают, на типах уязвимостей приложений и на том, как их предотвратить или исправить.

Защита приложений от вредоносных программ

Вредоносные программы всех видов — трояны, вирусы, черви, программы-шпионы, программы-вымогатели, пугающие программы и многие другие — представляют собой огромную проблему, и она растет с каждым годом. Согласно статистике AV-TEST Institute, каждый день регистрируется более 390 000 новых вредоносных программ, а ежегодное число новых вредоносных программ выросло с менее чем 10 000 000 в 2006 году до более 140 000 000 в 2015 году. Чуть меньше года назад, оценили количество новых выпусков в день почти в миллион, а Kaspersky сообщила об отражении более 798 000 000 отдельных атак в 2015 году.

В то время, когда я пишу это, мы все еще находимся в первом квартале 2016 года, поэтому трудно предсказать, увеличится ли и насколько угроза вредоносного ПО с настоящего момента до конца года, но можно с уверенностью сказать, что она будет расти. оставаться одной из главных проблем безопасности для всех, от домашних пользователей до крупнейших предприятий, как на традиционных настольных компьютерах, так и на современных мобильных устройствах.

Приложения являются излюбленной целью авторов вредоносных программ или злоумышленников по нескольким причинам. Когда кража данных является целью атаки, приложение, которое использует эти данные, является логической точкой для их перехвата. Когда конфиденциальные данные, такие как номера социального страхования, номера кредитных карт и банковских счетов, медицинская информация и т. д., хранятся на жестком диске и не используются, они (мы надеемся) зашифрованы. Если приложение расшифровывает его, чтобы использовать, оно оказывается незащищенным, и у атаки есть возможность.

Вредоносное ПО может вносить изменения в сами приложения; например, приложение можно изменить так, чтобы оно автоматически отправляло злоумышленнику копии файлов данных, которые оно открывает. Особенно трудно обнаружить вредоносное ПО, нацеленное на приложения. Вредоносный код может быть разработан для маскировки и даже может изменять записи журнала безопасности и отключать антивирусное программное обеспечение.

Безопасная подпись кода может помочь защититься от вредоносных программ, аутентифицируя источник и личность программы перед ее запуском, но важно помнить, что защита, обеспечиваемая подписанным кодом, настолько хороша, насколько хороша целостность сертификата, использованного для его подписи. Злоумышленники нацелены на частные цифровые сертификаты, которые компании-разработчики программного обеспечения используют для подписи своего кода на предмет кражи, поэтому они могут использовать их для подписи своего вредоносного программного обеспечения, чтобы оно выглядело заслуживающим доверия. Кража сертификатов подписи кода и их цифровых ключей была большой проблемой за последние несколько лет, когда известные и уважаемые компании были вынуждены отозвать свои сертификаты после того, как они были скомпрометированы. Также были случаи, когда центр сертификации, выдавший сертификаты, не проверял должным образом личности компаний, которым они продавали сертификаты, или выпускал сертификаты со слабыми ключами, которые можно было взломать.

Безопасность мобильных приложений

Конечно, безопасность приложений в наши дни все больше и больше связана с мобильными приложениями, так как многие люди используют планшеты и смартфоны для работы. Часто это устройства, принадлежащие сотрудникам в среде BYOD, что усложняет их защиту от вредоносного ПО.

Мобильные приложения, разработанные собственными силами, становятся все более распространенными. Есть много преимуществ в том, чтобы собственные разработчики вашей компании создавали собственные приложения, отвечающие потребностям вашего бизнеса. Однако многие талантливые разработчики не являются экспертами в области безопасности, и многие компании не нанимают штатных специалистов по безопасности приложений для тестирования этих самодельных приложений и обнаружения любых уязвимостей, которые могли появиться в процессе написания кода.

Есть решения. Ряд поставщиков предлагают услуги и инструменты для оценки безопасности приложений. В прошлом году (2015 г.) Gartner опубликовала свой Magic Quadrant для тестирования безопасности приложений, в котором HP (Fortify), Veracode, IBM (Security AppScan) и WhiteHat Security были названы лидерами в этой области из девятнадцати рассмотренных поставщиков. Они основывали оценку на методах тестирования, которые использовали компании (статическое, динамическое, интерактивное и/или тестирование безопасности мобильных приложений), и на том, как они были реализованы. Такие сервисы и инструменты можно использовать как с традиционными настольными, так и с мобильными приложениями. Существуют также бесплатные инструменты с открытым исходным кодом, которые можно использовать для обнаружения уязвимостей в мобильных приложениях, например nogotofail, доступный на Github.

И разработчики, и пользователи должны знать, что, когда приложение запрашивает чрезмерные разрешения (которые большинство пользователей автоматически предоставляют), это может дать вредоносным программам возможность проникнуть на устройство. Следует запрашивать только те разрешения, которые действительно необходимы приложению для выполнения его задач, и пользователи и ИТ-персонал должны учитывать, что некоторые приятные, но не необходимые функции или функции приложения, возможно, придется отключить для обеспечения большей безопасности.

Защита от вредоносных мобильных приложений

Важно понимать, что безопасность мобильных приложений имеет множество аспектов, как и безопасность настольных приложений. Одним из направлений нашей защитной стратегии является защита от использования уязвимостей, о чем мы говорили в первой части этой серии. Второй шаг — защитить наши приложения и наши устройства от вредоносных программ.

Когда мы думаем о вредоносном ПО применительно к настольным приложениям, большинство из нас в первую очередь думают о вредоносном коде, который часто устанавливается посредством «загрузок с диска», когда пользователь посещает веб-сайт, содержащий вредоносное ПО (либо сайт, размещенный на дистрибьютор или законный веб-сайт, который неосознанно распространяет вредоносное ПО через загружаемый пользователем контент). Реже вредоносное ПО устанавливается непосредственно и неосознанно пользователем компьютера (хотя пользователь и не знает, что это вредоносное ПО), когда он/она загружает и запускает программу, которая должна служить законной цели.

Сегодня большинство пользователей не устанавливают много программ на настольные компьютеры, даже если могут. Пользователи новых компьютеров с Windows могут установить пакет Office, программу для чтения PDF, графический редактор, альтернативный веб-браузер, но большая часть из них будет широко известными коммерческими программными пакетами, такими как Microsoft Word или OpenOffice, Adobe Reader, Photoshop, Хром или Фаерфокс.

В бизнес-среде ИТ-отдел обычно блокирует учетные записи пользователей, чтобы они не могли устанавливать новые программы. Программное обеспечение развертывается ИТ-отделом, поэтому оно проверено, и вы можете его контролировать. С мобильными приложениями на пользовательских устройствах это может быть, а может и не быть. Пользователи, особенно молодые и более технически подкованные, привыкли устанавливать мобильные приложения более небрежно, чем большинство пользователей устанавливают настольные приложения.

Установка приложений только из «официальных» источников — Apple App Store, Google Play Store, Windows Store — может помочь пользователям защититься от установки вредоносных программ, но это не идеальный процесс. Вредоносное ПО прошло проверку. В сентябре прошлого года Apple подтвердила, что приложения, зараженные вредоносным ПО, были обнаружены и удалены из китайского App Store. Через месяц в некоторых приложениях Google Play Store было обнаружено вредоносное ПО Ghost Push.

В то время как антивирусное и антивредоносное программное обеспечение обычно устанавливается в первую очередь в операционной системе настольного компьютера (и такие средства защиты часто явно встроены в ОС), гораздо меньше пользователей устанавливают такое программное обеспечение безопасности на свои смартфоны и планшеты, и многие не даже не знаю, что это доступно и/или что в этом есть потребность.

Программное обеспечение для обеспечения безопасности мобильных устройств действительно существует и может быть полезным, но есть также приложения, рекламирующие себя как «антивирусы» или «антивредоносные программы», которые неэффективны для защиты мобильных устройств или, что еще хуже, сами по себе являются вредоносными программами. В 2014 году поддельное антивирусное приложение для Android под названием Virus Shield было удалено из магазина Google Play, но только после того, как за него заплатили около 10 000 человек.

Защита мобильных вредоносных программ должна быть частью вашего плана обеспечения безопасности приложений, а это означает создание и применение политик, применимых к устройствам BYOD, включая требования к шифрованию устройств и данных, постоянному обновлению мобильных операционных систем , а также запрет на взлом или рутирование мобильных устройств, которые используется в корпоративной сети. Предприятиям следует серьезно подумать о создании собственных магазинов корпоративных приложений для распространения утвержденных приложений, включая проверенное и протестированное программное обеспечение для защиты от вредоносных программ.

Резюме

Теперь, когда мы обсудили уязвимости приложений и способы борьбы с ними в части 1, а здесь, в части 2, мы говорили о том, как предотвратить подделку или доступ к приложениям и защитить приложения от вредоносных программ, в части 3 мы обсудим, как вы может блокировать нежелательные приложения и ограничивать действия пользователей с приложениями, которые вы разрешаете им использовать. Обязательно присоединяйтесь к нам в следующем выпуске.

  • Снижение безопасности приложений: все дело в приложениях (часть 8)