Sécurité et durcissement des applications: cinq choses à savoir

Les applications ne se contentent pas de manger le monde. Elles sont à la base du succès commercial mondial. Considérez: près de la moitié des utilisateurs téléchargent une nouvelle application mobile tous les mois et, selon comScore 57% du temps des utilisateurs consacrés aux médias numériques est consacré aux applications mobiles. Le défi? De nombreuses applications hautement fonctionnelles et largement disponibles constituent des cibles idéales pour les pirates informatiques; Comme l'indiquent de nouvelles recherches menées par Avast les cyberattaques mobiles ont augmenté de 40% par rapport à l'année dernière.

Le résultat? Les dirigeants et les responsables de C-Suite ont des questions difficiles à poser aux professionnels et aux développeurs d’informations: «Comment aidez-vous à empêcher vos applications critiques de devenir un vecteur d’attaque? Comment vos applications «méritent-elles d'être protégées» sont-elles renforcées et sécurisées? Quelles précautions sont en place pour éviter les compromis et limiter l'impact des cyberattaques?

Voici un aperçu des cinq choses que votre patron souhaite savoir sur le renforcement des applications.

Nos applications ne sont pas faciles à altérer

Si les pirates informatiques veulent enfreindre les applications, ils le feront – mais si vous le pouvez processus compliqué, difficile et fastidieux, de nombreux attaquants chercheront ailleurs des cibles plus faciles. C’est l’idée qui sous-tend le renforcement de l’application: créer un logiciel avec un état d’esprit de sécurité par la conception qui place la protection au premier plan de la conception d’applications.

Il n’est donc pas surprenant que votre supérieur hiérarchique veuille savoir: avec quelle facilité les attaquants peuvent-ils manipuler? nos applications? Les pirates peuvent-ils se faire passer pour des utilisateurs légitimes? Peuvent-ils éviter les contrôles critiques pour accéder aux données sensibles ou modifier le code critique sans être détectés? Comme indiqué par OWASP la falsification du code mobile reste une préoccupation majeure pour les entreprises – si les pirates informatiques peuvent compromettre le code existant et convaincre les utilisateurs de télécharger la version modifiée de votre application, les résultats vont du vol d'identité du consommateur à la fraude, en passant par le commerce. perte de chiffre d'affaires et atteinte à la réputation.

Voici comment satisfaire votre patron: Créez des applications avec la possibilité de comparer le code actuel de l'application avec des itérations approuvées et déterminez si des éléments ont été ajoutés ou modifiés. En outre, assurez-vous d'inclure les vérifications de validation qui ne sont pas autonomes – les vérifications d'accès doivent inclure des rappels vers d'autres services sécurisés afin de permettre de vérifier l'ID utilisateur avant d'accorder l'approbation.

Nous sommes en conformité avec toutes les normes pertinentes

Normalisation des applications isn Ce n’est pas juste une bonne idée – dans de nombreux cas, c’est la loi. Le règlement général sur la protection des données personnelles (GDPR) inclut des mandats relatifs au développement de logiciels ; à compter de la mise en vigueur de cette législation le 25 mai [2018, toute application manipulant les données de citoyens et de résidents de l'Union européenne (UE) doit utiliser ces données avec son consentement explicite, afin de garantir que les utilisateurs connaissent le type de données utilisé. collectées et leur permettre d’accéder à ces données sur demande. En cas de non-conformité, des amendes substantielles pouvant atteindre quatre pour cent des ventes annuelles globales.

Les autres normes critiques incluent la norme PCI DSS, qui oblige les entreprises à gérer les informations de crédit pour évaluer les vulnérabilités de sécurité et leur attribuer un classement de gravité. De plus, la version la plus récente de de la norme PCI DSS exige des contrôles de conformité réguliers plutôt qu'une sécurité feu et oublie. HITRUST CSF, quant à lui, exige que tous les logiciels fassent l'objet d'une évaluation de sécurité préalable à la publication, tandis que le Top 10 de l'OWASP définit des critères de résilience, tels que la capacité de détecter des périphériques jailbreakés ou enracinés.

Le respect clair des normes contribue grandement à rassurer l’esprit de votre responsable.

Les applications ne sont ni faciles à inspecter ni à infiltrer

Des processus et des données non chiffrés ouvrent la porte aux pirates pour infiltrer des applications. Combattre ce problème signifie que de plus en plus d'entreprises s'appuient sur un cryptage sophistiqué pour protéger les données au repos et en transit.

Mais ce n’est pas si simple. Les données en cours d'utilisation ne peuvent pas être cryptées, ce qui signifie qu'elles doivent être traitées en clair. Et comme le notent RCR Wireless les pirates informatiques exploitent maintenant le trafic crypté et de confiance pour masquer des charges utiles malveillantes à la vue. Le résultat? Il existe une faille de sécurité au niveau de la couche applicative lorsque les pirates informatiques tentent de faire dérailler et d’infiltrer les applications utilisées. Ici, des assurances au chef de mesures actives visant à empêcher la version de production de l'application de falsifier ou de s'exécuter dans un débogueur ou un émulateur . Pour les professionnels de l'informatique, cela signifie des solutions qui non seulement limitent l'utilisation de débogueurs et l'exécution à distance pour empêcher l'infiltration de code, mais offrent une visibilité post-compilation sur les fonctions critiques de l'application. Pour les membres de la suite C, cela signifie une couche de protection supplémentaire: les applications ne sont pas faciles à inspecter, infiltrer ou modifier.

Nos applications ne fonctionnent pas avec des périphériques compromis

La progressivité des privilèges reste un moyen populaire pour les attaquants d’infiltrer des appareils, puis d’accroître leur niveau de contrôle. Comme le notent Help Net Security même les éditeurs de texte basés sur Unix sont maintenant soumis à ces attaques – les applications mobiles extrêmement complexes et basées sur le cloud constituent, pour leur part, des mines d'or potentielles pour les acteurs malveillants.

Ici, la sécurisation des applications signifie la création d'un environnement applicatif qui détecte activement la présence de périphériques compromis (enracinés, jailbreakés ou simplement infectés) et empêche l'exécution de votre application. En pratique, cela signifie qu’il faut déclencher des réponses en temps réel, notamment des notifications, une sortie automatique des applications ou même une quarantaine permanente, selon les besoins. Coder cette protection à partir de la base est un moyen d'améliorer la sécurité, mais pour les applications déjà en production, il vaut la peine d'envisager des contrôles d'exécution capables de détecter et de prévenir les compromis en temps réel.

Nous ne générons pas de vulnérabilités

Tous les logiciels est vulnérable. C’est la nature du code: rien n’est parfait et, dans les bonnes conditions, toute application peut être compromise. Le problème? de nombreuses entreprises dévoilent leurs vulnérabilités sur un plateau d'argent en offrant aux attaquants des moyens simples d'infiltrer des applications et de découvrir des failles sérieuses.

Le grand conseil de durcissement de cible ici? Utilisez des mesures d’hygiène de base pour tenir les pirates informatiques à distance. Cela signifie appliquer des mises à jour de sécurité dès que possible (ou utiliser des outils automatisés pour faire le travail), empêcher les requêtes SQL personnalisées, implémenter une authentification multifactorielle, exiger des mots de passe forts, chiffrer toutes les informations sensibles et renforcer et protéger les applications mobiles avant. vous les expédiez. Tout simplement? Les pirates ne sont pas intéressés par la résistance, mais par les résultats: il est plus difficile que la moyenne d’infiltrer des applications et ils choisiront une autre cible. Avant de déployer une application dans un environnement non fiable, évaluez vos risques, gérez-les et protégez-vous contre eux.

Le patron est inquiet: que faites-vous pour sécuriser les applications critiques de l'entreprise? Mettez l'esprit des suites C à l'aise en créant Cibles dures: créez des applications inviolables et conformes, difficiles à infiltrer, rapides à détecter les compromis et difficiles à casser.