Mobile Malware und andere bösartige Aktivitäten sind weiterhin eine Plage für Mobilbenutzer, wenn sie versuchen, über ihr Telefon einzukaufen, Bankgeschäfte zu erledigen, ihren Gesundheitszustand zu überprüfen und vieles mehr. Zwar muss der Endbenutzer dafür sorgen, dass er nicht Opfer von Angriffen wird, doch liegt es letztlich in der Verantwortung der App-Anbieter – des Produktteams, des Betriebsteams und der Datenschutzteams –, dafür zu sorgen, dass die mobile Umgebung sicher bleibt. Darüber hinaus müssen die sensiblen Daten, die über diese mobilen Apps fließen, vor unbefugten, neugierigen Blicken geschützt werden.
Obwohl Unternehmen verstärkt in den Schutz von Cloud-, Netzwerk- und Application investiert haben, behandeln viele von ihnen mobile Applications immer noch genauso wie herkömmliche Endpunkte wie Desktops und Laptops (sowohl unternehmenseigene als auch BYOD-Geräte).
Allerdings kann die mobile Umgebung besondere Herausforderungen mit sich bringen und diese Systeme anfällig für Kompromittierungen machen. Angreifer greifen beispielsweise häufig auf die folgenden Methoden zurück, um in ein Gerät einzudringen, Daten zu stehlen, privilegierten Zugriff zu erlangen und die Application zu missbrauchen:
Sobald ein böswilliger Akteur die Kontrolle über eine mobile App erlangt, ist es für ihn möglich, von der mobilen Application aus einen Sprung zu machen und mithilfe automatisierter Angriffe einen Angriff auf die serverseitigen Applications zu initiieren. Hier könnten sie verschiedene Schadbot-Angriffe wie etwa Credential Stuffing, Account Takeover, Scraping und mehr durchführen.
Das Hauptziel jedes Sicherheitsprogramms besteht darin, die Umgebung vor Kompromittierungen zu schützen. Dieser Endzustand wird jedoch häufig in erster Linie durch die Notwendigkeit bestimmt, Compliance-Standards einzuhalten, beispielsweise die folgenden:
Aus diesem Grund haben sich Experten von Google Cloud und F5 zu einem Webinar zusammengeschlossen, in dem diese Herausforderungen erörtert und ein Weg aufgezeigt wird, wie Cloud-Engineering, App-Entwickler, Betriebsteams und Sicherheitsexperten zusammenarbeiten können, um sicherzustellen, dass die Sicherheit mobiler Apps in ihren DevSecOps-Programmen ausreichend verwaltet wird.
Ein Teil des Gesamtbildes besteht hier darin, die richtige Infrastruktur auszuwählen, die die Anforderungen der modernen, adaptiven mobilen Apps von heute unterstützen kann und gleichzeitig die Sicherheit und Privatsphäre der Endbenutzer nahtlos erweitert, ohne dabei das Benutzererlebnis zu beeinträchtigen. Ebenso wichtig ist es, den Bereitstellungsprozess der CI/CD-Pipeline vor Störungen und Verzögerungen zu schützen.
Während des Webinars führte Jess Steinbach , ein Moderator von ActualTech Media, Joshua Haslett , Strategic Technology Partner Manager bei Google Cloud, und Peter Zavlaris , Cybersecurity Evangelist bei F5, durch mehrere Szenarien.
Unternehmensführung
Nur weil eine Organisation eine oder mehrere Vorschriften oder Standards einhält, bedeutet dies nicht, dass die mit ihren mobilen Apps verbundenen Risiken und rechtlichen Auswirkungen verschwinden. Ebenso muss das Risikoprofil für Mobilgeräte anders betrachtet werden als das herkömmlicher Web-Apps, aber dennoch in das größere Risikobild integriert werden.
Das Gremium diskutierte außerdem, wie Unternehmensleiter aktiv werden können, um die Veränderung des Geschäftsrisikos zu ermitteln und zu berechnen, wenn die Möglichkeit besteht, dass eine mobile App von böswilligen Akteuren übernommen wird.
IT- und Sicherheitsbetrieb
IT- und Sicherheitsteams haben die Möglichkeit, zusammenzuarbeiten, um sich besser auf einige der Änderungen vorzubereiten, die sie an ihrer Infrastruktur vornehmen müssen, um die Sicherheit mobiler Apps erfolgreich in ihren Entwicklungs- und Bereitstellungslebenszyklus zu integrieren.
Das Ziel besteht natürlich darin, dies zu erreichen, ohne die Werkzeuge, die Lieferung, die Teamstruktur oder den Betrieb wesentlich zu beeinträchtigen. Das Gremium diskutierte den Einsatz von Low-Code-Technologie zur Bereitstellung und Konfiguration der Sicherheit mobiler Apps und wie die Erkenntnisse aus früheren Penetrationstests oder Audits ihnen dabei helfen können, die Strategie, Planung und Kommunikation für ein robustes AppSec-Programm zu gestalten, das ihre mobilen Apps einbezieht.
Engineering- und Entwicklerbetrieb
Um dieser Gruppe ein besseres Verständnis dafür zu vermitteln, wie die von ihnen erstellten mobilen Apps kompromittiert werden können, beschrieb das Gremium, wie App-Repackaging und Hooking-Angriffe funktionieren, und tauschte einige Überlegungen aus der Praxis darüber aus, wie Entwicklungs- und Betriebsteams ihre Bemühungen koordinieren können, um ihre Apps besser vor diesen Bedrohungen zu schützen.
Positiv zu vermerken ist, dass das Gremium auch präsentierte, wie Entwicklungsteams versteckte Vorteile in ihrer CI/CD-Pipeline finden können, indem sie sich einen klaren Überblick verschaffen und die Sicherheitsrisiken in ihren mobilen Apps entsprechend planen. Manchmal kann Sicherheit mehr sein als nur die Risikominderung – in diesem Fall kann sie auch Prozesse und Ergebnisse verbessern.
Die Gruppe diskutierte auch einige Beispiele aus der Praxis, um die Notwendigkeit der Einbindung mobiler Technologien in die umfassenderen CI/CD- und DevSecOps-Prozesse zu verdeutlichen:
Wenn Sie wissen möchten, wie sich Ihr Sicherheitsprogramm für mobile Apps gegenüber den Echtzeitbedrohungen zur Laufzeit schlägt, die auf diese Systeme abzielen, sehen Sie sich das On-Demand-Webinar „Stoppen Sie Angriffe böswilliger Akteure auf Ihre mobilen Apps“ an .