Evita que los actores maliciosos ataquen tus aplicaciones móviles.

Si bien las organizaciones han aumentado sus inversiones en protección de aplicação web, de red y de la nube, muchas aún tratan las aplicações móviles de la misma manera que tratan los puntos finales tradicionales, como las computadoras de escritorio y portátiles, tanto las corporativas como las BYOD.

Sin embargo, el entorno móvil puede presentar desafíos únicos, exponiendo estos sistemas a riesgos. Por ejemplo, los atacantes a menudo recurrirán a los siguientes métodos para violar un dispositivo, robar datos, obtener acceso privilegiado y hacer un mal uso de la aplicação:

• Reempaquetado de aplicaciones móviles
• Inyección de malware
• Secuestro de marcos de enganche
• Realizar ataques de superposición

Una vez que un actor malicioso controla una aplicación móvil, es posible que salte de la aplicação del lado móvil para iniciar un ataque a las aplicações del lado del servidor mediante ataques automatizados. Aquí, podrían realizar varios ataques de bots maliciosos, como credential stuffing, apropiación de cuentas, raspado de datos y más.

El objetivo principal de cualquier programa de seguridad es proteger el entorno de posibles vulneraciones, pero este estado final suele estar impulsado en primer lugar por la necesidad de cumplir con estándares de cumplimiento, como los siguientes:

• Privacidad: RGPD, CCPA
• Pagos: EMVCo SBMP, PCI-DSS y PSD2
• Historial médico: HIPAA

Esta realidad es la razón por la que expertos de Google Cloud y F5 se reunieron para organizar un seminario web para analizar estos desafíos y brindar un camino a seguir para que la ingeniería en la nube, los desarrolladores de aplicaciones, los equipos de operaciones y los profesionales de seguridad trabajen juntos para garantizar que la seguridad de las aplicaciones móviles se gestione de manera suficiente en todos sus programas DevSecOps.

Parte del panorama general es elegir la infraestructura adecuada que pueda soportar las demandas de las aplicaciones móviles modernas y adaptables de la actualidad, al tiempo que extiende sin problemas la seguridad y la privacidad a los usuarios finales, todo ello sin afectar las experiencias de los usuarios. Igualmente importante es salvaguardar el proceso de entrega del flujo de trabajo CI/CD contra interrupciones y demoras.

Durante el seminario web, Jess Steinbach , moderadora de ActualTech Media, guió a Joshua Haslett , gerente de socios de tecnología estratégica en Google Cloud, y a Peter Zavlaris , evangelista de ciberseguridad en F5, a través de varios escenarios.

Liderazgo empresarial

El hecho de que una organización cumpla con una o más regulaciones o estándares no significa que los riesgos y las implicaciones legales de sus aplicaciones móviles desaparezcan. De manera similar, el perfil de riesgo de los dispositivos móviles debe verse de manera diferente al de las aplicaciones web tradicionales, pero aún así debe integrarse en el panorama de riesgo más amplio.

El panel también debatió cómo los líderes empresariales podrían intervenir para ayudar a determinar y calcular el cambio en el riesgo para el negocio cuando una aplicación móvil tiene el potencial de ser tomada por actores maliciosos.

Operaciones de TI y seguridad

Los equipos de TI y seguridad tienen la oportunidad de colaborar para prepararse mejor para algunos de los cambios que necesitarán realizar en su infraestructura para integrar con éxito la seguridad de las aplicaciones móviles en su ciclo de vida de desarrollo y entrega.

Por supuesto, el objetivo es hacerlo sin afectar significativamente las herramientas, la entrega, la estructura del equipo o las operaciones. El panel discutió el uso de tecnología de bajo código para implementar y configurar la seguridad de aplicaciones móviles y cómo los hallazgos de pruebas de penetración o auditorías anteriores pueden ayudarlos a dar forma a la estrategia, la planificación y las comunicaciones para un programa AppSec más sólido que incorpore sus aplicaciones móviles.

Operaciones de ingeniería y desarrollo

Para ayudar a este grupo a entender mejor cómo las aplicaciones móviles que están construyendo pueden verse comprometidas, el panel describió cómo funcionan los ataques de reempaquetado y enganche de aplicaciones, y compartió algunas ideas desde las trincheras sobre cómo los equipos de ingeniería y operaciones pueden coordinar esfuerzos para proteger mejor sus aplicaciones de estas amenazas.

En una nota más positiva, el panel también presentó cómo los equipos de ingeniería pueden encontrar beneficios ocultos en su flujo de trabajo de CI/CD al tener una imagen clara y un plan para abordar los riesgos de seguridad en sus aplicaciones móviles. A veces la seguridad puede ser más que mitigar el riesgo: en este caso, también puede mejorar los procesos y los resultados.

El grupo también discutió algunos ejemplos del mundo real para ayudar a demostrar la necesidad de incorporar dispositivos móviles en el proceso más amplio de CI/CD y DevSecOps:

• Mantener el cumplimiento: Los equipos pueden cumplir con requisitos regulatorios como GDPR y HIPAA con poco o ningún impacto en la entrega y el mantenimiento de aplicaciones móviles.
• Operaciones optimizadas: Las operaciones de TI pueden gestionar mejor el aumento de las amenazas móviles sin agotar al equipo, aprovechando las mejores prácticas de comunicación entre ellos y con el equipo de liderazgo ejecutivo.
• Defensa contra amenazas en la aplicación: Un equipo de DevOps puede monitorear y evaluar continuamente la postura de AppSec para defenderse con éxito contra las amenazas que apuntan a su aplicación en tiempo de ejecución, intercambiando información crítica con el equipo de SecOps para lograr la mejor respuesta posible.