Ponemon研究所最新调查提供了一些量化的数字来说明很多信息安全专业人员已经意识到的趋势,即企业对移动应用安全未投入足够资金。
由IBM安全部门赞助的这个《移动应用不安全状况》报告显示,移动应用开发平均花费为3400万美元,而其中只有6%(即200万美元)专门用于安全目的。也许更令人沮丧的是,该调查发现在400家受访企业中,50%表示他们的移动应用开发预算中没有用于安全的预算,而40%称他们没有扫描器移动应用中的漏洞。
根据IBM安全部门表示,这些数据显示了自己开发移动应用的企业及其客户面对的一个令人不安的趋势。“对于扫描移动应用漏洞的60%企业,只要他们没有发现问题,客户也许就没问题,”IBM安全部门移动管理副总裁Jim Szafranski表示,“但实际情况是,他们在发现漏洞—几乎占三分之一。所以,那些未扫描漏洞的40%企业面临威胁,他们可能在发布包含漏洞的移动应用。”
Szafranski称,这项研究并没有涉及企业在发现漏洞后是否修复漏洞的问题。他表示:“我猜他们会修复漏洞,但这只是纯粹的猜测。”
根据Ponemon调查显示,移动设备面临的威胁并不一定是已知恶意软件被放入到这些新兴的应用中。该调查显示,移动应用中普遍存在各种软件漏洞,例如SSL库内存在的Heartbleed等漏洞。
“这里很大一部分问题在于以安全方式构建这些移动应用的成熟度,”Szafranski称,“如果这些漏洞被利用,那么你放在这些设备中的业务数据和客户数据都将面临风险。”
在最近几年,企业对移动应用的使用呈指数增长,然而,由于应用开发缺乏安全重点而造成的移动电子商务欺诈等事故也让企业蒙受巨大损失。
“人们在急切地拥抱移动性,”Szafranski称,“你的构建、改进、推出、再改进周期都在6个月内发生,而不再是两年。”
该调查显示,77%的受访者感觉到他们总是“急于发布应用”。这至少部分解释了73%的受访者称他们缺乏对安全编码做法的培训和理解。
此外,82%的受访者认为使用移动应用会给其公司带来风险,尽管缺乏对安全应用开发的投资。基于该研究,IBM安全部门断言,如果企业想要减少其安全责任,应该控制其员工对移动应用的使用。但这种控制现实吗?
“这是一个很好的问题,因为移动性非常个性化,在很多情况下,技术的消费化让你的用户领先于你,”Szafranski称,“但肯定有办法改进对移动使用的可视性以及对其的控制。”
即使有正确的BYOD和移动设备管理政策来防止不安全网络或者从不受信任来源下载不安全应用,合法的授权应用也可能给用户带来风险,因为这些应用可能包含隐藏但可被利用的漏洞。
因此,企业应该投入更多的资源来保护移动应用开发。
