Entro l’anno prossimo il 75% delle Mobile App non sarà in grado di assicurare i minimi livelli di sicurezza necessari per l’uso nelle aziende. È questa la sconcertante conclusione di un report di Gartner, che evidenzia ancora una volta i pericoli di una tendenza ormai inarrestabile: il download da parte di dipendenti e collaboratori di Mobile App che poi usano per accedere a dati, sistemi e asset aziendali, esponendo così questi ultimi a rischi di attacchi e violazioni delle policy di IT security.
«Le imprese che adottano strategie Mobile e BYOD (Bring Your Own Device) sono vulnerabili se non adottano metodi e tecnologie di security testing e risk assurance per le Mobile App – spiega in un comunicato Dionisio Zumerle, principal research analyst di Gartner -. Molte non hanno esperienza in questo campo, e gli unici test sono fatti da sviluppatori più interessati alle funzionalità delle App che alla loro sicurezza».
Testare lo strato Client dell’App non basta
I fornitori di soluzioni specializzate di static e dynamic application security testing (SAST e DAST), ivsottolinea Zumerle, stanno modificando le loro tecnologie per adattarle al mondo Mobile. Si tratta di soluzioni sul mercato da diversi anni, ma il Mobile è un ambiente relativamente nuovo per loro. Nel frattempo sta emergendo un altro tipo di test pensato proprio per le Mobile App: la behavioral analysis. È una tecnologia che monitora un’App mentre gira, per individuare suoi comportamenti rischiosi o malevoli in background. Per esempio un’App di music playing può eseguire la sua funzione principale, e nel frattempo accedere ai dati di localizzazione o ai contatti dell’utente, trasmettendoli a qualche indirizzo IP esterno.
Inoltre testare lo strato client (codice e interfaccia utente) della Mobile App non basta. Occorre farlo anche con lo strato server. I client Mobile comunicano con i server per accedere ad applicazioni e database aziendali, e se un server non è protetto si rischia la perdita dei dati di migliaia di clienti dai database aziendali.
«Oggi oltre il 90% delle imprese usa Mobile App commerciali di terze parti, ed è proprio qui che dovrebbero essere applicati i maggiori sforzi di test di application security: individui e aziende dovrebbero scaricare dagli app store solo le applicazioni che hanno passato con successo i test di sicurezza condotti da fornitori specializzati di application security testing».
Per ogni attacco a un Desktop ce ne sono tre a Mobile Device
Secondo Gartner entro il 2017 l’obiettivo principale degli attacchi ai dispositivi endpoint saranno smartphone e tablet, e non più i pc. Già oggi – sottolinea la società di analisi – per ogni attacco a un desktop ce ne sono tre a device mobili, e le funzioni di sicurezza su questi prodotti non sono sufficienti per limitare i tentativi di violazione. Gartner raccomanda alle imprese di fare attenzione alla protezione dei dati sui mobile device, attraverso soluzioni utili ed efficienti come quelle di application containment (wrapping, software development kit, hardening).
Entro tre anni secondo Gartner il 75% delle violazioni attraverso Mobile App sarà attribuibile a configurazioni errate delle App stesse, e non ad attacchi tecnologicamente avanzati e sofisticati. Un classico esempio di configurazione errata è l’uso di servizi di Personal Cloud attraverso App residenti su smartphone e tablet. Quando usate per gestire dati enterprise, queste App possono provocare sottrazioni di dati di cui nessuno in azienda è in grado di accorgersi.
