scenari

Sicurezza delle App, da dove cominciare?

Nell’ambito della Mobile Security l’aspetto software è forse il meno considerato. Una possibile soluzione è l’Enterprise App Store, ma intanto ecco alcuni elementi per farsi una prima idea

Pubblicato il 05 Lug 2013

sicurezza-mobile-security-130703104813

L’enterprise mobility, come ha appena ribadito l’Osservatorio Mobile Device e Business App della School of Management del Politecnico di Milano, è un fenomeno talmente vasto da entrare le prime priorità dei CIO, e uno dei pochi ostacoli che stanno in parte rallentando questa forte tendenza riguarda la sicurezza dei dati sensibili aziendali. Mentre ci si sta concentrando molto sulla Mobile Security sul versante degli utenti e dei dispositivi, anche per l’esplosione del fenomeno BYOD (bring your own device), forse non c’è altrettanta attenzione alla sicurezza del software, cioè delle Mobile App.

Dato però che in diversi ‘app store’ pubblici ormai ci sono seri problemi di diffusione di malware, una soluzione per le aziende può essere l’Enterprise App Store (EAS), una piattaforma tecnologica che unisce funzioni di App Management e Device Management permettendo tra l’altro la pubblicazione di App, il controllo degli accessi, la gestione del licensing e degli aggiornamenti in modalità push su tutti i dispositivi, la verifica di integrità delle App.

Secondo Gartner, entro il 2017 il 25% delle aziende avrà il proprio App Store. Questo permetterà di definire un processo formale e automatizzato, con tutte le garanzie di sicurezza del caso, per la pubblicazione di App sia sviluppate in casa che commissionate a terze parti. In generale come noto esistono tre tipi di App: native, web e ibride, e ciascuno richiede un processo di test specifico. Inoltre se l’obiettivo generale è capire come proteggere nel modo migliore i dati mentre ‘viaggiano’ sulle reti mobili, c’è sempre un divario tra ciò che gira realmente sul device mobile, e l’elaborazione o l’archiviazione centrale dei dati sui server.

Ci sono diverse soluzioni software sul mercato pensate per aiutare un dipartimento IT aziendale a testare la sicurezza di un’App, e ci sono fornitori di servizi specializzati che sono in grado di fare le necessarie verifiche con l’approccio migliore, che è quello di trovare falle e vulnerabilità senza tenere in conto le finalità per cui è nata l’App e le modalità di utilizzo corretto.

I principali tipi di ‘punti deboli’

Insomma, testare la sicurezza di un’app mobile è una cosa molto complessa. Per avere un’idea, spiega per esempio un articolo del sito specializzato CSO, una Mobile App può avere diverse categorie di punti deboli, e conoscerle è già un buon punto di partenza:

Flusso dei dati. Occorre riuscire a tracciare i possibili percorsi dei dati: dove transitano? Sono sempre protetti? Chi può avere accesso nelle varie fasi?

Storage dei dati. Dove sono conservati? Sono criptati? Le soluzioni cloud possono costituire una criticità in quest’ambito.

– Perdita di dati. E’ possibile che trapelino dati per esempio nei file di log? E nelle notifiche?

– Autenticazione. In quali momenti della navigazione gli utenti si devono autenticare? In che modo sono autorizzati? Si possono tracciare gli utilizzi di password e ID nel sistema?

– Controlli lato server. Sono i test che si svolgono evitando di mettersi dal punto di vista dell’utente finale, e ipotizzando che il back-end sia sicuro.

– Points of entry. Sono stati controllati tutti i possibili ‘percorsi di entrata’ nell’applicazione?

Questi sono solo suggerimenti per cominciare a ‘esplorare la punta dell’iceberg’, in termini di testing completo della sicurezza delle mobile app. Un elemento fondamentale è ovviamente costituito dalle esigenze particolari di conformità a norme e regolamenti dello specifico settore in cui si opera. Gran parte dei dipartimenti IT semplicemente non hanno le risorse in grado di espletare i rigorosi test necessari a qualificare un’app come sicura. Anche perché non basta ‘certificare’ l’app una volta al momento del rilascio: nuove minacce emergono ogni momento, e ci vuole un notevole impegno per rimanere aggiornati e mantenere sempre sicuri dati, applicazioni e sistemi.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2