NGĂN NGỪA RỦI RO ỨNG DỤNG ĐỘC HẠI VỚI SYMANTEC MOBILE THREAT DEFENSE

Trong quá trình nghiên cứu và phát triển phần mềm bảo mật, Symantec đã phát hiện ra nhiều ứng dụng được sử dụng rộng rãi trong môi trường doanh nghiệp tuy nhiên chư đảm bảo an toàn.Hàng trăm ứng dụng iOS và Android, bao gồm một số ứng dụng được sử dụng hàng ngày, đã rò rỉ dữ liệu nhạy cảm và yêu cầu cấp phép quá mức cho email và lưu trữ đám mây của người dùng. Ngoài các ứng dụng chứa phần mềm độc hại hoặc hành vi độc hại, ngày càng có nhiều rủi ro đến từ các ứng dụng đáng tin cậy vô tình rò rỉ dữ liệu nhạy cảm của công ty gây ra bởi lỗ hổng bảo mật chưa được phát hiện hoặc các tác nhân độc hại khác, dẫn đến trộm cắp thông tin, mất tài chính, ransomware và vi phạm quyền riêng tư,…

Phần mềm độc hại trên thiết bị di động là chủ đề được thảo luận rất sôi nổi trên phương tiện truyền thông, nhưng thực tế là mặc dù các ứng dụng độc hại gây ra mối đe dọa với hậu quả nghiêm trọng, các doanh nghiệp không gặp phải các ứng dụng phần mềm độc hại thường xuyên như các ứng dụng dễ bị tấn công. Mặc dù các giải pháp phòng chống mối đe dọa di động (MTD) thường tập trung vào việc phát hiện và bảo vệ chống lại các ứng dụng độc hại, chúng vẫn không được mong đợi nhiều trong việc giải quyết các hành vi rủi ro hoặc không mong muốn phổ biến hơn trong các ứng dụng.

“Symantec mua Appthority vào cuối năm 2018, sự hợp nhất của hai thương hiệu phần mềm bảo mật hàng đầu này đã mang đến giải pháp MTD, Symantec Endpoint Protection Mobile (SEP Mobile), Mobile Application Reputation Service (MARS) tiên tiến nhất hiện nay.”

Kể từ đó, công nghệ của Appthority đã được đưa vào Symantec Endpoint Protection Mobile, mang đến cho khách hàng sự bảo vệ đầy đủ và mạnh mẽ nhất trước mọi vectơ tấn công di động bao gồm: vật lý, phần mềm độc hại, mạng, nội dung, lỗ hổng hệ điều hành và các ứng dụng rủi ro. Công nghệ của Appthority là một bổ sung quan trọng cho Symantec, giúp thực hiện lời hứa bảo mật di động toàn diện kết hợp tốt nhất của MARS và MTD, để cải thiện hàng rào bảo mật chung của các tổ chức.

1. Rủi ro ứng dụng phi phần mềm độc hại

Các tổ chức chỉ tập trung vào bảo vệ khỏi phần mềm độc hại (ứng dụng độc hại) đang nhắm mắt làm ngơ trước mối đe dọa đáng kể đến từ các ứng dụng rủi ro không được thiết kế rõ ràng với mục đích xấu. Theo ghi nhận của nghiên cứu Appthority , Phần mềm Malware chỉ là phần nổi của tảng băng trên đỉnh của các mối đe dọa ứng dụng di động ngày càng lớn, gây ra phơi nhiễm dữ liệu đáng kể và tốn kém, bảo mật dữ liệu, rủi ro tuân thủ và bảo mật. thực hiện các biện pháp đáng kể để ngăn chặn các ứng dụng độc hại ra khỏi cửa hàng ứng dụng của họ, nghiên cứu cho thấy các rủi ro ứng dụng không phải phần mềm độc hại phổ biến hơn nhiều so với phần mềm độc hại. Các ứng dụng có hành vi không an toàn, chẳng hạn như rò rỉ dữ liệu hoặc liên lạc với các trang web đáng ngờ, không được các cửa hàng ứng dụng gắn cờ, khiến nhiều khả năng người dùng di động sẽ tham gia với chúng.

Gần 1 trong số 5 ứng dụng kinh doanh và công nghiệp rò rỉ thông tin nhận dạng cá nhân (PII).

Không có ích gì trong số những ứng dụng rủi ro này là các ứng dụng kinh doanh được các tổ chức sử dụng rộng rãi và tin cậy. Nhân viên dựa vào các ứng dụng này để làm việc, tin rằng dữ liệu của họ là an toàn, trong khi thực tế dữ liệu có thể vô tình tiếp xúc với các tác nhân độc hại. Nghiên cứu của chúng tôi cho thấy hơn một nửa số thiết bị di động doanh nghiệp có các ứng dụng không bảo vệ dữ liệu nhạy cảm cao của người dùng trong đám mây. Gartner chứng thực rủi ro, chỉ ra rằng gần 1 trong số 5 ứng dụng kinh doanh và công nghiệp rò rỉ thông tin nhận dạng cá nhân (PII).

Độ rộng của dữ liệu không được bảo vệ bởi các ứng dụng doanh nghiệp hoặc ứng dụng thường được sử dụng trong doanh nghiệp là đáng ngạc nhiên. Dữ liệu nhạy cảm không chỉ bị lộ bởi các ứng dụng được xây dựng kém trên thiết bị, nó còn bị lộ trong các kho dữ liệu phụ trợ của ứng dụng. Là một phần của chúng tôi đang diễn ra nghiên cứu lỗ hổng bệnh viện, chúng tôi thấy rằng hàng trăm ứng dụng trong App Store và Google Play cho phép truy cập rộng rãi vào dữ liệu người dùng được lưu trữ trong Amazon S3 – quyền truy cập vượt xa phạm vi những gì các ứng dụng này cần. Trong tất cả các trường hợp chúng tôi đã phát hiện thông tin đăng nhập AWS trong một ứng dụng, 46% thời gian chúng tôi có thể truy cập tất cả các thùng dữ liệu Amazon S3 cho tài khoản mà không cần yêu cầu tên người dùng hoặc mật khẩu. Để nhắc lại, dữ liệu nhạy cảm của công ty bị rò rỉ bởi các ứng dụng này có thể đọc được trên thế giới. Với rất ít sự bảo vệ đối với dữ liệu này, những kẻ tấn công có thể đọc, sửa đổi, đòi tiền chuộc và xóa các tệp trong một thùng. Dữ liệu có thể được truy cập bao gồm khiếu nại y tế, thuật toán, tài liệu pháp lý, hóa đơn, hồ sơ tuân thủ, dữ liệu CRM, BI / phân tích, dữ liệu AWS, nhật ký và sao lưu. Nhìn chung, nghiên cứu của chúng tôi cho thấy 41% doanh nghiệp đã cài đặt ứng dụng cho phép truy cập Amazon S3 không bị hạn chế, khiến một lượng lớn dữ liệu của công ty có nguy cơ bị lộ. SEP Mobile có thể kiểm tra các ứng dụng và phần phụ trợ của chúng, về các lỗ hổng, ở quy mô – điều mà không giải pháp MTD nào khác có thể làm được.

2. Tại sao doanh nghiệp nên quan tâm đến phân tích ứng dụng

Các lỗ hổng ứng dụng như HospitalGown được đề cập ở trên thường khó phát hiện hơn phần mềm độc hại, đòi hỏi phải phân tích sâu, tiên tiến. Điều này bao gồm, ví dụ:

♦ Phân tích tĩnh – kiểm tra mã ứng dụng
♦ Phân tích động – xem xét cách ứng dụng hoạt động trong thời gian chạy trong hộp cát được giám sát
♦ Phân tích cuối cùng – xem xét lưu lượng ứng dụng để xác định dữ liệu nào được truyền, cách bảo mật và nơi nó sẽ đi
♦ Giám sát bảo mật của mỗi máy chủ phụ trợ mà ứng dụng liên lạc với

Phân tích phải liên tục và tự động, mở rộng đến mọi phiên bản mới và cũ của ứng dụng, trên mọi thiết bị trong môi trường di động và trên các cửa hàng ứng dụng khác nhau trên toàn cầu. Các giải pháp chỉ thực hiện phân tích ứng dụng theo cách theo yêu cầu là không đủ để bảo vệ dữ liệu doanh nghiệp theo quy mô vì: chúng không bao gồm nhiều phiên bản của một ứng dụng nhất định trong một môi trường, chúng không thực hiện rủi ro theo thời gian thực và cập nhật đánh giá và họ không có cơ sở hạ tầng phụ trợ cần thiết để phân tích số lượng lớn ứng dụng và phiên bản ứng dụng.

Phân tích ứng dụng nâng cao, cấp doanh nghiệp là rất quan trọng để nắm bắt một loạt rủi ro như mã hóa kém, hành vi nguy hiểm, lỗ hổng tiếp xúc dữ liệu trong mã và vi phạm tuân thủ bảo mật trên quy mô lớn. Nếu không có phân tích như vậy, các lỗ hổng có thể không bị phát hiện trong nhiều tháng hoặc nhiều năm, làm tăng nguy cơ vi phạm dữ liệu tốn kém.

3. Kiểm tra ứng dụng cấp doanh nghiệp mạnh mẽ

Symantec Endpoint Protection Mobile tích hợp công cụ phân tích ứng dụng mạnh mẽ của Appthority mang đến cho khách hàng khả năng bảo vệ dữ liệu của họ khỏi các mối đe dọa trên toàn bộ rủi ro ứng dụng bao gồm mã độc, lỗ hổng dữ liệu, lỗ hổng mã và các hành vi đáng ngờ / không mong muốn.

Sự phát triển của phòng thủ mối đe dọa của SEP Mobile. Appthority tăng khả năng của SEP Mobile để bảo vệ các tổ chức không chỉ khỏi phần mềm độc hại mà còn từ các ứng dụng có hành vi không mong muốn và dễ bị tấn công.

Công cụ phân tích xác định rủi ro của ứng dụng bằng cách xem xét các yếu tố khác nhau bao gồm hành vi, giao tiếp và vi phạm tiêu chuẩn của ứng dụng. Một mẫu các chỉ số mối đe dọa mà chúng tôi xem xét bao gồm:

♦ Các ứng dụng đang cố gắng cài đặt các ứng dụng bổ sung
♦ Ứng dụng cố gắng ghi lại màn hình của người dùng
♦ Các lỗ hổng như HospitalGown hoặc sử dụng sai giao thức ủy quyền Oauth để yêu cầu quyền quá mức
♦ Ứng dụng rò rỉ bất kỳ thông tin nào
♦ Các ứng dụng cố gắng truy cập nội dung không mong muốn và / hoặc độc hại (cờ bạc, lừa đảo, bất hợp pháp, v.v.)
♦ Các ứng dụng vi phạm các quy định về bảo mật hoặc quyền riêng tư của ứng dụng như OWASP, GDPR và HIPAA

Điều khác biệt phân tích ứng dụng của chúng tôi với những người khác trên thị trường là quy mô và độ sâu mà nó xảy ra. Đối với một tổ chức có hàng ngàn nhân viên, số lượng ứng dụng độc đáo trong môi trường của họ tại bất kỳ thời điểm nào cũng có thể lên tới hàng chục nghìn. Phân tích ứng dụng tự động ở quy mô này rất khó để các nhà cung cấp khác sao chép, đặc biệt khi xem xét rằng chúng tôi không chỉ giám sát tất cả các ứng dụng khác nhau trong mỗi tổ chức, mà cả các phiên bản ứng dụng khác nhau được cài đặt trên các thiết bị của nhân viên. Hơn nữa, danh sách các ứng dụng đang hoạt động rất năng động và thay đổi theo từng giờ. Danh sách này bao gồm các ứng dụng miễn phí và ứng dụng trả phí trên một loạt các danh mục ứng dụng.

Với việc mua lại Appthority, Symantec Endpoint Protection Mobile đã có được cơ sở dữ liệu danh tiếng ứng dụng mạnh nhất và lớn nhất thế giới. Điều này, cùng với thông tin ứng dụng Android mà chúng tôi tận dụng từ Mạng thông minh toàn cầu của Symantec, đã cho phép chúng tôi phân tích rủi ro ứng dụng trên các thiết bị nhân viên có ứng dụng phiên bản cũ hơn (ứng dụng cũ) hoặc ứng dụng đã bị xóa khỏi cửa hàng ứng dụng nhưng vẫn nằm trên thiết bị của nhân viên ( ứng dụng chết). Các nhà cung cấp MTD khác không thể phân tích các ứng dụng cũ hoặc đã chết vì các tệp nhị phân không còn có sẵn để tải xuống từ cửa hàng ứng dụng. Điều này trình bày một điểm mù an ninh rất lớn. Ngược lại, Symantec Endpoint Protection Mobile với Appthority có các phiên bản ứng dụng có từ năm 2011, cung cấp phạm vi bảo mật ứng dụng rộng nhất.

Trong bảng điều khiển quản lý Symantec Endpoint Protection Mobile, khách hàng có được khả năng hiển thị đầy đủ và báo cáo về các thuộc tính của ứng dụng bao gồm: mức độ rủi ro, quyền mà nó yêu cầu, hành vi dễ bị tổn thương, trang web và quốc gia mà nó giao tiếp, vi phạm quy định và hơn thế nữa.

4. Bảo vệ chống lại các ứng dụng không mong muốn và dễ bị tổn thương

Với những hiểu biết về ứng dụng phong phú của Appthority được tích hợp vào Symantec Endpoint Protection Mobile, các nhóm bảo mật có thể thiết lập một chính sách ứng dụng không mong muốn của Cameron, duy nhất phù hợp với nhu cầu của họ và không thể so sánh về độ rộng, độ sâu và độ chi tiết của các quy tắc có thể được đặt thành các ứng dụng rủi ro. Quản trị viên có thể sử dụng chính sách để đánh dấu các ứng dụng thể hiện các hành vi cụ thể, chẳng hạn như có các lỗ hổng nhất định hoặc liên lạc với các trang web độc hại hoặc không phù hợp, là không mong muốn trong môi trường của họ. Một giải pháp bảo mật toàn diện hơn là sử dụng dịch vụ IT từ công ty dịch vụ CNTT. Với đội ngũ chuyên gia kinh nghiệm và nền tảng hạ tầng IT vững chãi, chắc chắn doanh nghiệp sẽ được bảo vệ an toàn tuyệt đối.

Khi có chính sách, các tổ chức có thể sử dụng các hành động bảo vệ trên thiết bị của Symantec Endpoint Protection Mobile để bảo mật thiết bị khỏi mọi ứng dụng được cho là có rủi ro hoặc vi phạm chính sách bảo mật và bảo mật của công ty. Sau khi hoàn thành phân tích sâu (điều này tự động xảy ra cho mọi ứng dụng, mọi phiên bản, trên mọi thiết bị), ví dụ, mọi ứng dụng vi phạm chính sách đều có thể bị cách ly hoặc xóa khỏi thiết bị Android. Trên thiết bị iOS, quyền truy cập vào tài nguyên công ty nhạy cảm có thể bị chặn nếu phát hiện ứng dụng vi phạm chính sách tuân thủ, do đó đảm bảo dữ liệu nhạy cảm không rời khỏi thiết bị.

Ngoài ra, quản trị viên có thể chỉ định mức độ rủi ro và phân loại cho các điều kiện ứng dụng trong chính sách ứng dụng không mong muốn. Mức độ rủi ro có thể được sử dụng trong chính sách tuân thủ bảo mật di động để xác định sự không tuân thủ của thiết bị. Điều này giúp giảm bớt sự mệt mỏi của mạng vì thay vì xử lý riêng từng mối đe dọa, các hành động bảo vệ và thực thi có thể được kích hoạt tự động dựa trên rủi ro thiết bị. Hành động bảo vệ cũng tự động khởi động theo rủi ro ứng dụng cá nhân.

5. Bảo mật di động doanh nghiệp toàn diện

Như nghiên cứu của chúng tôi cho thấy, các ứng dụng kinh doanh thường được phát triển nội bộ hoặc bởi các nhà phát triển bên thứ ba, những người không luôn luôn giữ an ninh doanh nghiệp hàng đầu. Hơn nữa, cả nhà phát triển ứng dụng nội bộ và bên thứ ba đều tận dụng rất nhiều SDK của bên thứ 3 (bộ công cụ dành cho nhà phát triển phần mềm) để giới thiệu mã của người khác (và lỗ hổng) vào ứng dụng. Thực tiễn phát triển không an toàn có thể khiến doanh nghiệp gặp phải các lỗ hổng nghiêm trọng và rò rỉ dữ liệu từ các ứng dụng nơi thông tin cá nhân và doanh nghiệp nhạy cảm có khả năng cư trú. Đây là lý do tại sao các đánh giá bảo mật cấp doanh nghiệp tiên tiến cho các ứng dụng như vậy là rất quan trọng. Các giải pháp MTD hiệu quả nhất sẽ được tích hợp các khả năng MARS, mang đến cho khách hàng khả năng hiển thị và hiểu biết cần thiết để bảo vệ chống lại cả các ứng dụng độc hại và rủi ro.

Với công nghệ Appthority tích hợp, Symantec Endpoint Protection Mobile cung cấp cho doanh nghiệp sự bảo vệ không chỉ chống lại toàn bộ các rủi ro ứng dụng mà còn chống lại các mối đe dọa phổ biến nhất ảnh hưởng đến các điểm cuối và hệ điều hành hiện đại. Công nghệ giành giải thưởng của chúng tôi , trí thông minh mối đe dọa lớn và cơ sở dữ liệu danh tiếng ứng dụng rộng lớn cung cấp cho doanh nghiệp phạm vi bảo mật di động toàn diện nhất. Sự tích hợp công nghệ Appthority của Symantec Endpoint Protection Mobile không ngừng phát triển để mang đến nhiều khả năng và giá trị hơn, củng cố tư thế bảo mật chung của khách hàng.