2022’de Mobil Güvenliğin Durumu”, Hem Mobil Uygulamaların Önemini hem de Çalışma Zamanı Uygulamasına ve Veri Korumaya Ayrılan Kaynakların Göreli Eksikliğini Vurguluyor.
Approov CEO’su David Stewart tarafından
Son iki yılda mobil uygulamalar, işletmelerin müşterilerle iletişim kurması ve onlara hizmet etmesi, gelir elde etmesi ve çalışanların uzaktan çalışmasını sağlaması için temel araçlar olarak ortaya çıktı ve önemlerinin önümüzdeki iki yıl içinde daha da artması bekleniyor.
Approov ve Osterman Research’ten yeni bir rapor, iş uygulamalarının kuruluşlar için artan önemini açıklıyor. Ayrıca, uygulamaların şu anda hizmet ettiği stratejik açıdan önemli rol ile bu uygulamaları çalışma zamanı tehditlerine karşı geliştirme döngüsünde başka bir yerde uygulanan siber güvenlik kaynaklarına karşı korumak için gerekli olan siber güvenlik uygulamalarına uygulanan nispeten daha düşük düzeydeki odak ve kaynaklar arasındaki birkaç sarsıcı kopukluğu da göstermektedir.
“2022’de Mobil Uygulama Güvenliğinin Durumu” raporundaki bulgular, mobil uygulamaların işletmelerin müşterilerine hizmet verdiği kilit kanallar olduğunu ve kuruluşlar için öneminin son iki yılda üç kat arttığını gösteriyor.
Rapor ayrıca çalışma zamanında mobil uygulamaları ve bunların API’lerini korumak için uygulanan kaynakların göreli eksikliğini de ortaya koyuyor.
Osterman Research Kıdemli Analisti Michael Sampson, kurumsal uygulama geliştirme ve devreye alma bir kuruluşun en yüksek öncelikleri arasında yer alsa da maalesef uygulamanın çalışma zamanı güvenliği, API sırları ve toplanan kullanıcı verilerinin benzer şekilde yüksek öncelik ve bütçe almadığını belirtti. .
Sampson, “Son zamanlarda meydana gelen pek çok ihlal, çalınan anahtarların ve sırların tehdit aktörleri tarafından sömürülme riskini ortaya koyduğu düşünülürse, bu bulgular ciddi soruları gündeme getiriyor” dedi.
Rapor, mobil uygulamalara ve API’lere yönelik çalışma zamanı güvenlik tehditlerinin geliştiğini ve kuruluşlara zarar vermeye devam ettiğini ve bu hasarın yalnızca daha güvenli “sola kaydır” geliştirme uygulamalarını benimseyerek önlenemeyeceğini vurguluyor. Çalıştırma zamanı güvenlik tehditleri, geliştirme tehditlerinden farklıdır ve acilen ayrı bir güvenlik stratejileri seti gerektirir.
Önemli bulgular arasında:
- Şirketlerin %75’i mobil uygulamaların artık “temel” veya “kesinlikle temel” olduğunu söylüyor iki yıl öncesine göre %25’e yükseldi.
- %75’i Mobil Uygulamalarına Yapılan Başarılı Bir Saldırının Önemli Sonuçlarıyla Karşılaşabilir: Bir mobil uygulamayı işlevsiz hale getiren API’lere yönelik bir saldırı, işletmelerin yüzde 45’i üzerinde önemli bir etkiye ve ek olarak yüzde 30’u üzerinde büyük bir etkiye sahip olacaktır.
- %78’i Belirli Tehditlere Karşı Hafifletmeye Güvenmiyor: Ankete katılanların yüzde yetmiş sekizi, kuruluşlarının mobil uygulamaların neden olduğu belirli tehditlere karşı koruma sağlamak için uygun düzeyde güvenlik savunmalarına ve korumalarına sahip olduğundan pek emin değil.
- Çoğu Kuruluş, Mobil Uygulamalara Yönelik Güvenlik Tehditlerine Karşı Zayıf Görünürlüğe Sahiptir:
- %60’ı kredi dolandırıcılığı girişimlerini göremiyor
- % 59’u sahte hesapların oluşturulması konusunda görünürlükten yoksundur
- %56’sı, komut dosyaları tarafından PI’lerden çalınan verilere ilişkin görünürlükten yoksundur
- %54’ü çalıntı API anahtarlarının gerçek istekleri taklit etmek için kullanıldığını tespit edemiyor
- Yüzde 53’ü, kimlik bilgisi doldurma saldırılarını göremiyor
- %51’i mobil platformlarda açığa çıkan sırları göremiyor,
- %50’si klonlanmış, sahte veya kurcalanmış uygulamaların erişimini tespit edemez.
- Üçüncü Taraf API’leri Tehdit Aktörleri için Yollar Oluşturur:
- Ortalama olarak, mobil uygulamalar 30’dan fazla üçüncü taraf API’ye bağımlıdır ve ankete katılan mobil geliştiricilerin yarısı hala uygulama kodunda API anahtarları depolamaktadır; bu, kötü niyetli kişilerin yararlanabileceği çok büyük bir saldırı yüzeyidir.
- Kuruluşların %42’si, üçüncü taraf geliştiricilerin gerekli standartları takip ettiğini kanıtlamalarını istemiyor ve %38’i üçüncü taraf kodunun güvenliğini test etmiyor.
- Çalışma Zamanı Tehditleri Daha Düşük Öncelik ve Finansman Alır: Rapor, çalışma zamanında mobil uygulamaları ve API’leri korumanın kalıcı bir gereklilik olmasına rağmen, harcamaların hala “sola kaydırma” çabalarına yöneldiğini ortaya koyuyor.
Mobil uygulamaların ve API’lerin kuruluşların giderek daha fazla can damarı haline geldiği göz önüne alındığında, başka bir büyük mobil uygulama ihlali dalgası hem kuruluşları hem de müşterilerini hasara ve sürekli kayba maruz bırakmadan önce, çalışma zamanı tehditlerine yönelik uygulamalar ve kaynak tahsisi yeniden ve hızlı bir şekilde yeniden değerlendirilmelidir. kaçınılmaz sonuç.
Bu araştırma, mobil uygulamaların hem ticaret hem de iletişim için giderek daha kritik bir kanal olmasına rağmen, uygulamaların ve API’lerin çalışma zamanı korumasına yapılan yatırımın arka planda kalmaya devam ettiği kapsayıcı gerçeğini yansıtıyor. Ayrıca, sabit kodlanmış anahtarların bir mobil uygulamada veya cihazda saklanması gibi, uygulama sırlarını giderek daha zeki tehdit aktörlerine ifşa eden kötü uygulamalar hız kesmeden devam ediyor.
En sarsıcı açıklamalardan biri, yeni özellikler için pazara sunma süresini hızlandırmanın güvenlikten daha yüksek önceliğe sahip olduğunun kabul edilmesiydi. Yanıt verenlerin tam yarısı, rekabete dayalı nedenlerle kuruluşlarının kurumsal hedeflere ulaşmak için bilinen güvensizliklere sahip uygulamalar gönderebileceğini bildirdi. Birçoğu, kuruluşlarının hem üçüncü taraf hem de kurum içi geliştiriciler için güvenlik süreçlerini zayıf ve yetersiz bulduklarını da paylaştı.
Osterman Research ve Approov, Q2:2022 sırasında ABD ve Birleşik Krallık’ta 302 güvenlik direktörü ve mobil uygulama geliştirme uzmanına ulaştı. Mobil uygulama güvenliğini ve mobil uygulama API’lerini etkileyen sorunların her büyüklükteki kuruluşu etkilediğini tespit etti: yanıt verenlerin yüzde kırk sekizi 500’e kadar çalışanı olan şirketlerde, yüzde 42’si 501 ila 4.999 çalışanı olan şirketlerde ve yüzde 10’u 5.000’den fazla çalışanı olan şirketlerdeydi.
“2022’de Mobil Uygulama Güvenliğinin Durumu”nu indirmek veya Michael Sampson ile 26 Temmuz’daki web seminerini görüntülemek için https://approov.io/for/state-of-mobile-app-security-2022/ adresini ziyaret edin.
yazar hakkında
David Stewart, Approov’un CEO’sudur. Yazılım güvenliği, mobil uygulamalar/API’ler, gömülü yazılım araçları, tasarım hizmetleri, çip tasarımı, tasarım otomasyon araçları, teknik destek, pazarlama, satış, bağış toplama, yönetici yönetimi ve yönetim kurulu danışmanlığı rollerinde 30 yılı aşkın deneyime sahiptir. Şu anda odak noktası, müşterilerine ulaşmak için mobil kanallara güvenen işletmeler için gelir güvencesi sağlayan bir işletmeyi büyütmek. Approov, güvenli bir ortamda çalışan mobil uygulamalarınızın orijinal örnekleri dışında herhangi bir şey tarafından API’lere erişilmesini önleyen bir SaaS güvenlik çözümüdür. David’e @approov_io ve https://approov.io/ adresinden ulaşılabilir.