Mobile Application Security Testing, je ontkomt er niet aan
Elke maand worden duizenden mobiele toepassingen vrijgegeven. De hoeveelheid apps beschikbaar in de verschillende App-stores wordt momenteel geschat op meer dan 4 miljoen. Een recente onderzoek uitgevoerd door het Ponemon institute onder leidende ICT security organisaties heeft uitgewezen dat 60% van de datalekken van privacy gevoelige informatie veroorzaakt werd door een onveilige Mobiele Applicaties. Helaas wordt momenteel slechts 29% van de mobiele toepassingen getest op bedreigingen, security risico’s en kwetsbaarheden.
Vooruitlopend voorspelde Gartner in haar laatste onderzoeksrapport voor Mobile Application Security Testing dat tegen 2020 90% van de ondernemingen het testen van Mobiele Applicaties zal uitvoeren.
Een Mobiele Applicatie kent twee soorten Security gaten
- Ongewenst en onverwacht gedrag
Dergelijke onvolkomenheden cq verrassingen komen meestal samen met third-party modules. Deze modules zijn ontworpen voor specifieke diensten (mobiele betalingen, analyses,…) en worden ingebed in Mobiele applicaties. Aangezien deze afkomstig zijn van externe bedrijven beschikken de ontwikkelaars vaak niet over de broncode van deze modules. Vaak voeren deze libraries onzichtbaar voor gebruiker en ICT afdelingen onnodige en ongewenste acties uit, zoals verbindingen naar onbekende servers. Met als gevolg het lekken van gegevens.
- Kwetsbaarheden
Of het nu afkomstig is van de broncode van de applicatie zelf of uit een module. Een mobiele applicatie is gevoelig, kwetsbaar en kan gemakkelijk één of meerdere bedreigingen “hosten”. De OWASP-gemeenschap (Open Web Application Security Project) verwijst naar de Top 10 mobiele kwetsbaarheden als onderdeel van het Mobile Security Project. In totaal zijn er honderden bedreigingen die mobiele applicaties kwetsbaar maken voor aanvallen.
De diverse bepalingen betreffende gegevensbeveiliging zoals GDPR, PIPEDA, FTC Act. Etc schrijven voor dat bedrijven alle mogelijk middelen moeten inzetten ter bescherming van gegevens. Of ze nu applicaties ontwikkelen voor hun werknemers, businesspartners of eindgebruikers, bedrijven moeten het beveiligingsniveaus van de apps testen en garanderen voordat ze worden vrijgegeven om te voorkomen dat deze apps data lekken. Voor het testen van mobiele toepassingen zijn verschillende oplossingen op de markt om veiligheid in elk stadium van de ontwikkelingscyclus te realiseren.
De vereisten waaraan een MAST Tool moet voldoen
Aaanpassingsvermogen
- SDLC integratie & kant-en-klaar platform: Of een bedrijf nu een app wil testen gedurende de ontwikkelingscyclus of nadat het is ontwikkeld, het is handig om een oplossing te hebben die beide mogelijkheden ondersteund. De keuze tussen een kant-en-klaar platform en een API die in het SDLC (System Development Life Cycle) geïntegreerd wordt, biedt meer flexibiliteit en zorgt voor het meebewegen met veranderende behoeften van bedrijven
- Aanpasbare security levels: Omdat mobiele applicaties verschillende niveaus van gevoeligheid van gegevens bevatten, dient het testen dienovereenkomstig te worden gedaan. Een test oplossing waarmee beveiligingsniveaus aangepast kan worden zorgt voor een precieze antwoord op de behoefte aan veiligheid.
- Een tool voor elke omgeving: Meestal is er voor elk OS een andere versie ontwikkeld van de mobiele applicatie. Zo is er vaak een Android en iOS versies maar er ook Windows UI of ander OS komt voor. Het is beter om het testen van al deze apps te centraliseren met behulp van slechts één oplossing, compatibel met elk OS.
Nauwkeurigheid
- Static and dynamic gedrags analyse: Een toepassing kan veilig lijken als er alleen naar de code wordt gekeken, maar vertoond vervolgens verdacht gedrag zodra de applicatie wordt opgestart. Ten einde een volledige beoordeling zonder False Positive te krijgen is uitvoering van zowel een statische als dynamische analyse een vereiste.
- Kwetsbaarheid identificatie: In eerdere publicatie stelden wij vast dat 25% van de mobiele applicaties een of meerdere beveiligingslekken bevatten. Vaak zijn dit ook nog de meest populaire Apps zoals recentelijk aangetoond met Uber. Dit bewijst eens te meer dat een continue proces van testen vereist is om de veiligheid van gegevens te garanderen.
Remediation
- The remediation fase vindt plaats nadat de mobiele applicatie is getest en is aangetoond dat er een bedreiging in zit. Sommige oplossingen leveren meer dan een lijst van gevonden bedreigingen en verdacht gedrag. Sommige oplossingen leveren een inhoudelijk gedetailleerd advies hoe de bedreiging kan worden weggehaald. Er zijn er maar weinig die beschikken over een automatic remediation procedure.
Weten welke oplossing hiervoor het beste is, neem contact met ons op. Wij helpen graag.
Bron: Pradeo.com