A dispetto dell’importanza che oggi hanno sicurezza delle applicazioni mobile e app assessment aziendale, molti team di security non se ne occupano perché mancano le competenze necessarie per farlo. Come risultato, molte aziende mettono i propri dati a rischio permettendo l’uso delle app mobili senza essere preparati a effettuare alcuna supervisione.
Sicurezza applicazioni mobile, come discriminare tra app usabili e da scartare
Il mercato delle applicazioni mobile è in costante crescita da anni, secondo la società di analisi App Annie nel 2021 l’economia che ruoterà attorno alle app sarà la terza a livello mondiale generando un fatturato pari a 6.350 miliardi di dollari (+385% rispetto al 2016). Questo significa che vi sarà un proliferare di soluzioni e con tutte le opzioni di app possibili non è una sorpresa che le aziende abbiano difficoltà nel decidere quali applicazioni siano o meno adatte per l’utilizzo nel business. Alcune applicazioni, in apparenza utili, possono infatti incrementare le vulnerabilità dell’azienda sul fronte della sicurezza. Per questo è necessario che i team di sicurezza introducano l’assessment per valutare la sicurezza delle applicazioni mobile nel lavoro di tutti i giorni.
L’application assessment aiuta i team di sicurezza a comprendere cosa un’applicazione fa e come interagisce con gli altri dati presenti sui dispositivi mobili su cui sta lavorando. Basandosi sui risultati dell’analisi, i team possono determinare se una app è adatta o meno; riuscire a capire come un’applicazione funziona permette ai team di sicurezza d’identificare proattivamente i rischi potenziali. In questo modo possono essere prevenute le perdite di dati e le modifiche non autorizzate ai dispositivi escludendo le applicazioni più a rischio.
Ci sono due metodi raccomandabili per fare application assessment in campo mobile.
- Il primo metodo consiste nell’identificazione di un set di comportamenti pericolosi da cui guardarsi. Se una applicazione mostra qualcuno di questi comportamenti, allora non può essere usata e non c’è alcuna necessità di proseguire con ulteriori analisi. I comportamenti pericolosi sono:
- l’accesso ai contatti e la loro copia all’esterno del dispositivo;
- il tracking dei luoghi dove si reca l’utente e la comunicazione a servizi esterni;
- l’accesso alle foto dell’utente e tramissione all’esterno;
- La trasmissione o logging delle credenziali dell’utente in modo insicuro, non crittato
- Il secondo metodo, più approfondito, consiste nell’ispezione dettagliata di ciascuna applicazione. Ogni applicazione viene analizzata per identificare ciò che fa. Sulla base di quanto rilevato si prende la decisione se l’app è adatta per l’utilizzo in ambito aziendale o no. È utile redigere una scheda dell’applicazione sulla quale applicare i criteri di valutazione, soppesare i vari parametri per decidere se nell’insieme le garanzie sono sufficienti.La scheda del rapporto dovrebbe contenere:
- le permission;
- le fragilità nell’esecuzione;
- come gestisce lo storage locale dei dati, ossia il livello di protezione, rispetto di confidenzialità e integrità;
- livello di protezione delle comunicazioni in rete;
- livello di protezione delle comunicazioni tra i processi interni all’applicazione.
Il primo metodo, basato sulla ricerca dei comportamenti inaccettabili, è il più veloce e consente di escludere gran parte delle applicazioni mobili. Occorre però considerare che se le funzionalità di cui l’azienda ha bisogno sono contenute in un’app che manifesta comportamenti vietati, allora è utile procedere comunque nell’analisi di dettaglio per capire il livello del rischio e se è possibile mitigarlo.
Dispositivi corporate verso BYOD
Quando si ha a che fare con i dispositivi mobili di proprietà aziendale è semplice limitare o controllare le app scaricate dall’utente. I dispositivi basati su iOS (Apple) sono in genere più controllabili rispetto a quelli Android. La capacità di “bloccare” gli smartphone è un altro modo con cui i team di sicurezza possono garantire i dispositivi aziendali. Negli scenari di BYOD (bring your own device, ossia dispositivi di proprietà utente) le cose sono più complicate.
L’opzione più sicura per gli scenari di BYOD si realizza con l’uso di una “applicazione container”. Questa strategia permette agli utenti di controllare liberamente il proprio smartphone e di isolare tutto ciò che riguarda il business dentro il container. L’applicazione container garantisce la sicurezza di dati e comunicazioni aziendali. Siccome non tutte le app container sono uguali, si raccomanda comunque di fare l’assessment delle app container prima di introdurne l’uso in azienda.
Gli 8 passi per la sicurezza delle applicazioni mobile
Con tante nuove applicazioni introdotte giornalmente, non è più possibile chiudere gli occhi su cosa impiegati e collaboratori usano sui loro smartphone per scopi aziendali. I team di sicurezza devono acquisire le necessarie competenze e sapere come comportarsi per garantire sicurezza delle applicazioni mobile. Alle aziende che hanno come obiettivo garantire la sicurezza applicazioni mobile, SANS Institute (l’organizzazione dedita a fornire educazione informatica e addestramento in materia di sicurezza informatica) raccomanda otto passi, in aggiunta agli assessment sulle app di cui abbiamo parlato.
I passi, elencati in ordine d’impegno richiesto, si applicano a qualsiasi dispositivo sia esso aziendale oppure di proprietà utente in logica BYOD. Le raccomandazioni SANS “Top 8 Steps for Effective Mobile Security” sono frutto di un progetto per il miglioramento della sicurezza applicazioni mobile basato sulle opinioni di una community di esperti indipendenti e sono le seguenti:
- rendere obbligatoria l’autenticazione dell’utente sul dispositivo;
- monitorare l’accesso e l’uso del dispositivo;
- garantire l’applicazione delle patch;
- proibire l’accesso gli application-store di terze parti non controllate;
- controllare l’accesso fisico;
- valutare la compliance dell’applicazione ai criteri di security;
- prepararsi a gestire gli incidenti; dispositivi persi o rubati;
- implementare il supporto di gestione e operativo.
Mobile device management cos’è e a cosa serve
In questo contesto è importante ricordare l’utilità di un Mobile device management, ovvero uno strumento pensato per migliorare e semplificare la gestione dei device mobili forniti ai collaboratori.
Una soluzione di Mobile device management può avere varie funzionalità tra cui VPN, cancellazione dei dati da remoto, uso di browser predefinito, oltre alla gestione delle varie autorizzazioni per esempio di download di applicazioni.