Halten Sie Angriffe böswilliger Akteure auf Ihre mobilen Apps ab

Obwohl Unternehmen verstärkt in den Schutz von Cloud-, Netzwerk- und Application investiert haben, behandeln viele von ihnen mobile Applications immer noch genauso wie herkömmliche Endpunkte wie Desktops und Laptops (sowohl unternehmenseigene als auch BYOD-Geräte).

Allerdings kann die mobile Umgebung besondere Herausforderungen mit sich bringen und diese Systeme anfällig für Kompromittierungen machen. Angreifer greifen beispielsweise häufig auf die folgenden Methoden zurück, um in ein Gerät einzudringen, Daten zu stehlen, privilegierten Zugriff zu erlangen und die Application zu missbrauchen:

• Neuverpacken mobiler Apps
• Einschleusen von Malware
• Hijacking von Hooking-Frameworks
• Durchführen von Overlay-Angriffen

Sobald ein böswilliger Akteur die Kontrolle über eine mobile App erlangt, ist es für ihn möglich, von der mobilen Application aus einen Sprung zu machen und mithilfe automatisierter Angriffe einen Angriff auf die serverseitigen Applications zu initiieren. Hier könnten sie verschiedene Schadbot-Angriffe wie etwa Credential Stuffing, Account Takeover, Scraping und mehr durchführen.

Das Hauptziel jedes Sicherheitsprogramms besteht darin, die Umgebung vor Kompromittierungen zu schützen. Dieser Endzustand wird jedoch häufig in erster Linie durch die Notwendigkeit bestimmt, Compliance-Standards einzuhalten, beispielsweise die folgenden:

• Datenschutz: DSGVO, CCPA
• Zahlungen: EMVCo SBMP, PCI-DSS und PSD2
• Gesundheitsakten: HIPAA

Aus diesem Grund haben sich Experten von Google Cloud und F5 zu einem Webinar zusammengeschlossen, in dem diese Herausforderungen erörtert und ein Weg aufgezeigt wird, wie Cloud-Engineering, App-Entwickler, Betriebsteams und Sicherheitsexperten zusammenarbeiten können, um sicherzustellen, dass die Sicherheit mobiler Apps in ihren DevSecOps-Programmen ausreichend verwaltet wird.

Ein Teil des Gesamtbildes besteht hier darin, die richtige Infrastruktur auszuwählen, die die Anforderungen der modernen, adaptiven mobilen Apps von heute unterstützen kann und gleichzeitig die Sicherheit und Privatsphäre der Endbenutzer nahtlos erweitert, ohne dabei das Benutzererlebnis zu beeinträchtigen. Ebenso wichtig ist es, den Bereitstellungsprozess der CI/CD-Pipeline vor Störungen und Verzögerungen zu schützen.

Während des Webinars führte Jess Steinbach , ein Moderator von ActualTech Media, Joshua Haslett , Strategic Technology Partner Manager bei Google Cloud, und Peter Zavlaris , Cybersecurity Evangelist bei F5, durch mehrere Szenarien.

Unternehmensführung

Nur weil eine Organisation eine oder mehrere Vorschriften oder Standards einhält, bedeutet dies nicht, dass die mit ihren mobilen Apps verbundenen Risiken und rechtlichen Auswirkungen verschwinden. Ebenso muss das Risikoprofil für Mobilgeräte anders betrachtet werden als das herkömmlicher Web-Apps, aber dennoch in das größere Risikobild integriert werden.

Das Gremium diskutierte außerdem, wie Unternehmensleiter aktiv werden können, um die Veränderung des Geschäftsrisikos zu ermitteln und zu berechnen, wenn die Möglichkeit besteht, dass eine mobile App von böswilligen Akteuren übernommen wird.

IT- und Sicherheitsbetrieb

IT- und Sicherheitsteams haben die Möglichkeit, zusammenzuarbeiten, um sich besser auf einige der Änderungen vorzubereiten, die sie an ihrer Infrastruktur vornehmen müssen, um die Sicherheit mobiler Apps erfolgreich in ihren Entwicklungs- und Bereitstellungslebenszyklus zu integrieren.

Das Ziel besteht natürlich darin, dies zu erreichen, ohne die Werkzeuge, die Lieferung, die Teamstruktur oder den Betrieb wesentlich zu beeinträchtigen. Das Gremium diskutierte den Einsatz von Low-Code-Technologie zur Bereitstellung und Konfiguration der Sicherheit mobiler Apps und wie die Erkenntnisse aus früheren Penetrationstests oder Audits ihnen dabei helfen können, die Strategie, Planung und Kommunikation für ein robustes AppSec-Programm zu gestalten, das ihre mobilen Apps einbezieht.

Engineering- und Entwicklerbetrieb

Um dieser Gruppe ein besseres Verständnis dafür zu vermitteln, wie die von ihnen erstellten mobilen Apps kompromittiert werden können, beschrieb das Gremium, wie App-Repackaging und Hooking-Angriffe funktionieren, und tauschte einige Überlegungen aus der Praxis darüber aus, wie Entwicklungs- und Betriebsteams ihre Bemühungen koordinieren können, um ihre Apps besser vor diesen Bedrohungen zu schützen.

Positiv zu vermerken ist, dass das Gremium auch präsentierte, wie Entwicklungsteams versteckte Vorteile in ihrer CI/CD-Pipeline finden können, indem sie sich einen klaren Überblick verschaffen und die Sicherheitsrisiken in ihren mobilen Apps entsprechend planen. Manchmal kann Sicherheit mehr sein als nur die Risikominderung – in diesem Fall kann sie auch Prozesse und Ergebnisse verbessern.

Die Gruppe diskutierte auch einige Beispiele aus der Praxis, um die Notwendigkeit der Einbindung mobiler Technologien in die umfassenderen CI/CD- und DevSecOps-Prozesse zu verdeutlichen:

• Einhaltung der Vorschriften: Die Teams sind in der Lage, gesetzliche Anforderungen wie die DSGVO und HIPAA zu erfüllen, ohne dass die Bereitstellung und Wartung mobiler Apps dadurch beeinträchtigt wird.
• Optimierte Abläufe: Die IT-Abteilungen können die Zunahme mobiler Bedrohungen besser bewältigen, ohne das Team zu überfordern, indem sie auf bewährte Methoden der Kommunikation untereinander und mit der obersten Führungsebene zurückgreifen.
• In-App-Bedrohungsabwehr: Ein DevOps-Team kann die AppSec-Lage kontinuierlich überwachen und bewerten, um sich erfolgreich gegen Bedrohungen zu verteidigen, die auf die App zur Laufzeit abzielen, und wichtige Informationen mit dem SecOps-Team austauschen, um die bestmögliche Reaktion zu erzielen.