本专栏可在每周的新闻通讯中获得,称为最佳实践。点击在这里订阅。
2016年假日购物季节几乎不在后视镜中,零售分析师已经声称,通过移动设备的销售销量达到了新的历史最高水平。根据Google Analytics(分析数据),现在所有在线购物中有30%发生在移动设备上。
对于电子商务公司来说,这是个好消息,它可以为购物者提供没有泄漏敏感信息(例如用户凭证和金融交易数据)的安全应用程序。由于安全性不佳的移动应用程序,我们听到大量数据泄露需要多长时间?
Wandera这是一家为移动数据提供安全和管理的公司,最近发布了其2017年移动泄漏报告,概述了对企业移动数据的威胁。该报告涵盖了2016年的三个月范围,其中Wandera观察到了200多个移动应用程序和特定于移动特定网站的泄漏和对敏感数据的威胁。泄漏的数据包括16位数量的信用卡号,以及到期日期和其他细节,以便以未经授权的人可以进行实际购买的方式复制该信息。
在其他情况下,Wandera观察到用户名,密码,电子邮件地址,电话号码,用户的物理地址,护照信息和大量财务数据的泄漏。泄漏用户名和密码的应用程序令人担忧,因为凭据错误地,凭证可以让坏演员访问比单个交易更多。
Wandera的研究人员测试了许多类型的移动应用程序的数据安全和隐私功能,发现云存储服务和官方应用商店中发现的其他应用似乎具有良好的安全实践。公司的原因是,这些服务是由在应用程序开发生命周期中具有既定安全流程的公司建立和维护的。
Wandera确定的泄漏中近60%仅来自三类移动应用程序:新闻和体育,购物网站以及商业提供商的自定义互联网页面和主页。简而言之,大多数数据泄漏都来自移动工人频繁使用和访问的应用程序和网站的类型。
当应用程序开发人员没有花费足够的时间和精力来测试其应用程序之前,在将它们赶到市场之前,通常会引入漏洞。Wandera引用了一个旅行应用程序的一个示例,该应用程序允许人们购买机票。最初的门票购买已完全确保。但是,如果旅行者返回应用程序购买座位升级,则此例程将无法完全确保信用卡交易。
Wandera提供了各种服务来保护和管理移动数据。虽然企业移动管理(EMM)工具倾向于专注于设备,但Wandera专注于从设备到Internet并返回的数据,这使这两种移动安全方法彼此相互补充。
Wandera的客户倾向于是具有保护某些类型数据的授权的全球公司。这些客户通常有很多知识工作者使用移动设备访问和处理公司数据。这些设备可以是公司拥有的或个人拥有的;重要的是数据,而不是谁拥有该设备。
Wandera的解决方案基于云中的安全移动网关,该网关客户通过其数据路由数据以及安装在最终用户设备上的相应应用程序。端点应用程序在设备上进行了一些本地扫描,并配置了在不使用VPN的情况下将流量从设备通过云网关引导的能力。任何受保护设备的Web请求都通过云服务,Wandera可以应用各种形式的筛选和保护。例如,该服务寻找旨在转到已知恶意网站并防止该行动的出站请求。如果设备试图在清除中传输敏感数据,则Wandera可以阻止连接或采取客户组织指定的其他操作。
当这些交易发生时,某些流量是HTTPS,它只是不受影响的网关服务流过网关服务。如果未加密流量,Wandera会检查各种条件,例如流量的去向,目标应用程序或网站是否有漏洞以及内容是否不受保护的PII。Wandera说,它使用机器学习和数据科学来理解通过网关服务流过的大量信息。
Wandera评估了各种移动应用程序和网站的风险。如果研究人员确定了漏洞,则该公司会与应用程序或网站所有者联系,以将发现的内容通知他们。然后,它包装了有关漏洞的信息,并与有问题的公司共享,并带领他们在应用程序的其他用户受到影响之前将其修复。例如,就在2015年超级碗之前,Wandera在NFL应用程序中发现了在数以百万计的人想要使用它的情况下,在官方NFL应用程序中发现了数据泄漏的漏洞。研究人员通知了应用程序所有者,因此他们可以解决漏洞并发布公共威胁咨询。
Wandera解决方案的关键部分是一个小型应用程序,该应用程序安装在每个移动设备上。该代码的构建是防篡改的,因此最终用户不能停用或删除它以规避安全性。该应用程序使用了大约2%的设备资源,因此运行时不会耗尽电池电量。此外,最终用户无法察觉到安全操作,因此移动数据浏览体验没有变化。
许多组织允许员工使用其个人设备。他们通常具有一项策略,要求用户在合理的限制内允许数据和设备监视。例如,用户期望在设备上监控公司活动,而不是其私人活动。Wandera通过称为RADAR的报告引擎中的隐私功能来解释BYOD。报告通过设备标识符而不是用户标识符跟踪数据和活动。对于Wandera来说,重要的是,根据政策保护公司数据。最终用户对他们的私人浏览和应用程序的使用无关。