El malware móvil y otras actividades maliciosas siguen plagando a los usuarios de dispositivos móviles mientras intentan comprar, realizar operaciones bancarias, controlar su salud y más, todo desde sus teléfonos. Si bien el usuario final tiene su función de evitar ser víctima de ataques, en última instancia es responsabilidad de los proveedores de aplicaciones (el equipo de producto, el equipo de operaciones y los equipos de seguridad de privacidad) garantizar que el entorno móvil se mantenga seguro. Los datos confidenciales que fluyen a través de estas aplicaciones móviles también deben mantenerse alejados de miradas indiscretas y no autorizadas.
Si bien las organizaciones han aumentado sus inversiones en protección de aplicação web, de red y de la nube, muchas aún tratan las aplicações móviles de la misma manera que tratan los puntos finales tradicionales, como las computadoras de escritorio y portátiles, tanto las corporativas como las BYOD.
Sin embargo, el entorno móvil puede presentar desafíos únicos, exponiendo estos sistemas a riesgos. Por ejemplo, los atacantes a menudo recurrirán a los siguientes métodos para violar un dispositivo, robar datos, obtener acceso privilegiado y hacer un mal uso de la aplicação:
Una vez que un actor malicioso controla una aplicación móvil, es posible que salte de la aplicação del lado móvil para iniciar un ataque a las aplicações del lado del servidor mediante ataques automatizados. Aquí, podrían realizar varios ataques de bots maliciosos, como credential stuffing, apropiación de cuentas, raspado de datos y más.
El objetivo principal de cualquier programa de seguridad es proteger el entorno de posibles vulneraciones, pero este estado final suele estar impulsado en primer lugar por la necesidad de cumplir con estándares de cumplimiento, como los siguientes:
Esta realidad es la razón por la que expertos de Google Cloud y F5 se reunieron para organizar un seminario web para analizar estos desafíos y brindar un camino a seguir para que la ingeniería en la nube, los desarrolladores de aplicaciones, los equipos de operaciones y los profesionales de seguridad trabajen juntos para garantizar que la seguridad de las aplicaciones móviles se gestione de manera suficiente en todos sus programas DevSecOps.
Parte del panorama general es elegir la infraestructura adecuada que pueda soportar las demandas de las aplicaciones móviles modernas y adaptables de la actualidad, al tiempo que extiende sin problemas la seguridad y la privacidad a los usuarios finales, todo ello sin afectar las experiencias de los usuarios. Igualmente importante es salvaguardar el proceso de entrega del flujo de trabajo CI/CD contra interrupciones y demoras.
Durante el seminario web, Jess Steinbach , moderadora de ActualTech Media, guió a Joshua Haslett , gerente de socios de tecnología estratégica en Google Cloud, y a Peter Zavlaris , evangelista de ciberseguridad en F5, a través de varios escenarios.
Liderazgo empresarial
El hecho de que una organización cumpla con una o más regulaciones o estándares no significa que los riesgos y las implicaciones legales de sus aplicaciones móviles desaparezcan. De manera similar, el perfil de riesgo de los dispositivos móviles debe verse de manera diferente al de las aplicaciones web tradicionales, pero aún así debe integrarse en el panorama de riesgo más amplio.
El panel también debatió cómo los líderes empresariales podrían intervenir para ayudar a determinar y calcular el cambio en el riesgo para el negocio cuando una aplicación móvil tiene el potencial de ser tomada por actores maliciosos.
Operaciones de TI y seguridad
Los equipos de TI y seguridad tienen la oportunidad de colaborar para prepararse mejor para algunos de los cambios que necesitarán realizar en su infraestructura para integrar con éxito la seguridad de las aplicaciones móviles en su ciclo de vida de desarrollo y entrega.
Por supuesto, el objetivo es hacerlo sin afectar significativamente las herramientas, la entrega, la estructura del equipo o las operaciones. El panel discutió el uso de tecnología de bajo código para implementar y configurar la seguridad de aplicaciones móviles y cómo los hallazgos de pruebas de penetración o auditorías anteriores pueden ayudarlos a dar forma a la estrategia, la planificación y las comunicaciones para un programa AppSec más sólido que incorpore sus aplicaciones móviles.
Operaciones de ingeniería y desarrollo
Para ayudar a este grupo a entender mejor cómo las aplicaciones móviles que están construyendo pueden verse comprometidas, el panel describió cómo funcionan los ataques de reempaquetado y enganche de aplicaciones, y compartió algunas ideas desde las trincheras sobre cómo los equipos de ingeniería y operaciones pueden coordinar esfuerzos para proteger mejor sus aplicaciones de estas amenazas.
En una nota más positiva, el panel también presentó cómo los equipos de ingeniería pueden encontrar beneficios ocultos en su flujo de trabajo de CI/CD al tener una imagen clara y un plan para abordar los riesgos de seguridad en sus aplicaciones móviles. A veces la seguridad puede ser más que mitigar el riesgo: en este caso, también puede mejorar los procesos y los resultados.
El grupo también discutió algunos ejemplos del mundo real para ayudar a demostrar la necesidad de incorporar dispositivos móviles en el proceso más amplio de CI/CD y DevSecOps:
Si tiene curiosidad por saber cómo se compara su programa de seguridad de aplicaciones móviles con las amenazas en tiempo real que atacan estos sistemas, consulte el seminario web a pedido Cómo evitar que los malos actores ataquen sus aplicaciones móviles .