Hiper -bağlantılı dünyamızda, mobil cihazlar artık bir kolaylık değil, işletmelerin nasıl işlediği ve iletişim kurduklarının merkezinde yer alıyor. Kuruluşlar giderek artan bir şekilde hareketliliği kucakladıkça ve kendi cihazınızı (BYOD) politikalarınızı getirdikçe, her gün güvendiğimiz uygulamalarda gizli bir risk sessizce büyüyor: mobil veri sızıntıları.
Birçoğu, kötü niyetli hackleme girişimlerinden ihlallerin gerçekleştiğini varsayarken, çok daha gözden kaçan bir tehdit, yanlış yapılandırılmış bulut hizmetleri veya zayıf kriptografik uygulamalar nedeniyle hassas verilerin kasıtsız olarak maruz kalmasıdır. Bu varsayımsal bir endişe değildir. Sadece 2024’te, 1,7 milyardan fazla kişi kişisel veri uzlaşmalarından etkilenerek bir önceki yıla göre% 312’lik bir artış gösterdi. Finansal Toll? Tahmini 280 milyar dolar.
Zimperium’un ZLABS araştırma ekibi, kurumsal cihaz filoları tarafından kullanılan 54.000’den fazla işle ilgili mobil uygulamayı analiz etti. Bulguları, bulut yanlış yapılandırmalarının ve kriptografik kusurların yaygın ve daha da önemlisi önlenebilir olduğuna dair rahatsız edici bir gerçek olduğunu ortaya koymaktadır.
Mobil veri sızıntısı nedir?
Hassas bilgiler, genellikle zayıf tasarım, yanlış yapılandırma veya uygulama geliştirmedeki gözetim nedeniyle, yetkisiz bireyler için kasıtsız olarak erişilebilir hale geldiğinde bir veri sızıntısı meydana gelir. Veri ihlalleri genellikle kasıtlı, dış saldırılardan kaynaklanmaktadır ve bu tür tehditler için ana araçlardan biri, veri sızıntıları üreten güvenlik açıklarından yararlanan saldırganlardır.
Verileri bulutta depolayan veya kriptografik işlemler gerçekleştiren mobil uygulamalar, bu tür sızıntılar için özellikle fırsatçıdır. Hem kişisel hem de iş araçları olarak hareket eden mobil cihazlarla, tüketici ve kurumsal veriler arasındaki çizgi giderek bulanıklaşıyor. Bu, özellikle kişisel olarak tanımlanabilir bilgiler (PII), finansal veriler, fikri mülkiyet ve kurumsal kimlik bilgileri söz konusu olduğunda, mobil veri sızıntısının sonuçlarını daha da şiddetli hale getirir.
Bulut yanlış yapılandırmaları: bir maliyetle kolaylık
Bulut hizmetleri, mobil uygulama geliştirmede ölçeklenebilirlik ve kullanım kolaylığı için yaygın olarak kabul edilmektedir, ancak bu rahatlık bir maliyetle birlikte gelir. Analiz edilen uygulamaların% 62’si bir çeşit bulut entegrasyonundan yararlandı. Endişe verici bir şekilde, bunların düzineleri uygun koruma olmadan bulut depolama hizmetleri kullandığı bulunmuştur.
Örneğin, korunmasız veya yanlış yapılandırılmış bulut depolama ile 100’den fazla Android uygulaması keşfedildi. Bazı durumlarda, tüm dosya dizinlerine kimlik doğrulaması olmadan erişilebilir, bazıları en çok indirilen ilk 1000 uygulama arasında sıralanmıştır. Bu, kötü niyetli bir aktörün, hassas kurumsal verilere erişmek için sofistike araçlara veya içeriden gelen bilgiye, sadece bir web tarayıcısına ve sabırlara ihtiyaç duymayacağı anlamına gelir.
Buna ek olarak, 10 uygulama sabit kodlu AWS kimlik bilgilerini ortaya çıkarmış ve saldırganlara verilere erişmek ve hatta manipüle etmek için anahtarları etkili bir şekilde teslim etmişti. Bu tür maruziyetler sadece gizliliği tehlikeye atmakla kalmaz, aynı zamanda saldırganların fidye için verileri silmesini veya şifrelemesini sağlayabilir ve kötü amaçlı yazılım dağıtmadan fidye yazılımı saldırısının etkisini simüle eder.
Büyük şirketler bile bağışık değildir. Dünyanın en büyük otomotiv üreticilerinden birini içeren yeni bir durum, basit bir bulut yanlış yapılandırması nedeniyle 260.000’den fazla müşteri kaydı görüldü. Mobil güvenliğin, gerçekten sonra uygulanmadığı, sıfırdan gömülmesi gerektiği açıktır.
Kriptografi: Yanlış bir güvenlik duygusu (yanlış yapılırsa)
Şifreleme genellikle veri koruması için gümüş bir mermi olarak görülür, ancak tüm şifreleme eşit uygulanmaz. ZLABS’ın araştırması, analiz edilen tüm uygulamaların% 88’inin ve ilk 100’ün neredeyse yarısının endüstri en iyi uygulamalarını karşılamayan şifreleme yöntemlerini kullandığını ortaya koydu.
Ortak tuzaklar şunları içerir:
- Sabit kodlanmış kriptografik anahtarlar
- MD2 gibi eski algoritmalar
- Öngörülebilir rastgele sayı jeneratörleri
- Aynı şifreleme tuşlarının birden çok işlemde yeniden kullanılması
Bu kusurlar şifrelemeyi işe yaramaz hale getirebilir, çünkü saldırganlar tahmin edebilir, geri alınabilir veya tersine mühendislik kriptografik anahtarlar, ne kadar iyi depolandığına veya iletildiğine bakılmaksızın veriler ortaya çıkar. Bazı durumlarda, kriptografik zayıflıklar, orta saldırılardaki insan gibi kurumsal altyapıya yönelik daha derin saldırılara kapıyı açar.
Organizasyonel maliyet
Mobil veri sızıntılarının yankıları, işletmeler yasal sorumluluk, itibar hasarı ve önemli finansal kayıplarla karşılaşabileceğinden teknik baş ağrılarının çok ötesine uzanmaktadır. GDPR, HIPAA ve diğerleri gibi düzenleyici çerçeveler katı veri koruma önlemleri talep eder ve uyulmaması zararlı cezalara yol açabilir. Bir veri ihlalinin ortalama maliyeti, bulut yanlış konfigürasyonları ve en sık kök nedenleri arasında yer alan tehlikeli kimlik bilgileri ile olay başına yaklaşık 5 milyon dolara yükselmiştir. Bu sorunlar sadece BT sorunları değil, aynı zamanda doğal iş riskleridir.
Kuruluşlar ne yapabilir?
Mobil veri güvenliği görünürlükle başlar, bu nedenle kuruluşların ilk önce ortamlarında faaliyet gösteren uygulamaların davranışlarını anlamaları çok önemlidir. Üçüncü taraf kodunu kontrol edemeseler de, çalışan cihazlarda ve hangi koşullar altında hangi uygulamaların izin verildiğini kesinlikle kontrol edebilirler.
Proaktif bir strateji, yanlış yapılandırılmış veya kamuya dönük bulut depolamayı tanımlamak, maruz kalan kimlik bilgilerini ve API anahtarlarını izlemek ve entegre bulut hizmetlerinin güvenliğini değerlendirmek için bulut güvenlik kontrollerini içerir. Bu, bulut platformları aracılığıyla yetkisiz veri erişimi veya sızıntı riskini azaltmaya yardımcı olur.
Kriptografik en iyi uygulamaların uygulanması da esastır. Kuruluşlar, uygulamaların modern, güçlü şifreleme algoritmaları kullandığını ve sert kodlanmış anahtarlardan kaçınarak uygun anahtar yönetimi sağladığını doğrulamalıdır. Ayrıca, güvenliği tehlikeye atabilecek zayıf veya öngörülebilir rastgele sayı üretimi izlemek önemlidir.
Son olarak, üçüncü taraf bileşen veterinerlik önemli bir rol oynar. Bu, gömülü SDK’ların ve kütüphanelerin güvenliğini değerlendirmenin yanı sıra üçüncü taraf koddaki bilinen güvenlik açıklarını izlemeyi ve yanıtlamayı içerir. Kuruluşlar, kullanılan yazılım bileşenleri ile uyanık ve seçici olarak kalarak mobil güvenlik duruşlarını güçlendirebilir.
Nihayetinde, güvenlik ekipleri sürekli izleme ve risk değerlendirmesi zihniyetini benimsemelidir. Mobil tehdit savunma çözümleri ve uygulama veteriner araçları, çalışanların cihazlarının kurumsal sistemlere geri dönmemesini sağlamak için gereklidir.
Mobil cihazlar ve uygulamalar, modern iş için güçlü, taşınabilir ve vazgeçilmez oldukları için burada kalmak için burada. Ancak, her yerde olduğu zaman, verilerin çatlaklardan geçmesine izin veren kötü güvenlik uygulamalarıyla kendi başına sızmadığı için sorumluluk gelir. Kuruluşlar mobil çalışmanın esnekliğini benimsedikçe, uygulama güvenliği için titiz standartlar da benimsemelidirler.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!