Impeça que atores mal-intencionados ataquem seus aplicativos móveis

Embora as organizações tenham aumentado seus investimentos em proteção de aplicativos de nuvem, rede e web, muitas ainda tratam os aplicativos móveis da mesma forma que tratam os endpoints tradicionais, como desktops e laptops, tanto os de propriedade corporativa quanto os BYOD.

No entanto, o ambiente móvel pode apresentar desafios únicos, expondo esses sistemas a comprometimentos. Por exemplo, os invasores geralmente recorrem aos seguintes métodos para violar um dispositivo, roubar dados, obter acesso privilegiado e usar indevidamente o aplicativo:

• Reempacotando aplicativos móveis
• Injetando malware
• Sequestro de estruturas de engate
• Executando ataques de sobreposição

Uma vez que um agente mal-intencionado controla um aplicativo móvel, é possível que ele saia do aplicativo do lado móvel para iniciar um ataque aos aplicativos do lado do servidor usando ataques automatizados. Aqui, eles poderiam realizar vários ataques de bots maliciosos, como preenchimento de credenciais, apropriação indébita de contas, raspagem e muito mais.

O principal objetivo de qualquer programa de segurança é proteger o ambiente contra comprometimentos, mas esse estado final geralmente é motivado primeiro pela necessidade de atender aos padrões de conformidade, como os seguintes:

• Privacidade: RGPD, CCPA
• Pagamentos: EMVCo SBMP, PCI-DSS e PSD2
• Registros de saúde: Lei HIPAA

Essa realidade é o motivo pelo qual especialistas do Google Cloud e da F5 se reuniram para sediar um webinar para discutir esses desafios e fornecer um caminho a seguir para que engenheiros de nuvem, desenvolvedores de aplicativos, equipes de operações e profissionais de segurança trabalhem juntos para garantir que a segurança de aplicativos móveis seja gerenciada de forma suficiente em seus programas DevSecOps.

Parte do panorama geral aqui é escolher a infraestrutura certa que pode suportar as demandas dos aplicativos móveis modernos e adaptáveis de hoje, ao mesmo tempo em que estende perfeitamente a segurança e a privacidade aos usuários finais, tudo isso sem impactar as experiências do usuário. Igualmente importante é proteger o processo de entrega do pipeline de CI/CD contra interrupções e atrasos.

Durante o webinar, Jess Steinbach , moderadora da ActualTech Media, apresentou vários cenários a Joshua Haslett , gerente de parceiros de tecnologia estratégica no Google Cloud, e Peter Zavlaris , evangelista de segurança cibernética na F5.

Liderança Empresarial

Só porque uma organização cumpre um ou mais regulamentos ou padrões não significa que os riscos e as implicações legais de seus aplicativos móveis desapareçam. Da mesma forma, o perfil de risco para dispositivos móveis precisa ser visto de forma diferente dos aplicativos da web tradicionais, mas ainda integrado ao cenário de risco maior.

O painel também discutiu como os líderes empresariais podem se mobilizar para ajudar a determinar e calcular a mudança no risco para os negócios quando um aplicativo móvel tem o potencial de ser controlado por criminosos.

Operações de TI e Segurança

As equipes de TI e segurança têm a oportunidade de colaborar para se preparar melhor para algumas das mudanças que precisarão fazer em sua infraestrutura para integrar com sucesso a segurança de aplicativos móveis em seu ciclo de vida de desenvolvimento e entrega.

Claro, o objetivo é fazer isso sem impactar significativamente as ferramentas, a entrega, a estrutura da equipe ou as operações. O painel discutiu o uso de tecnologia de baixo código para implantar e configurar a segurança de aplicativos móveis e como as descobertas de testes de penetração ou auditorias anteriores podem ajudá-los a moldar a estratégia, o planejamento e as comunicações para um programa AppSec mais robusto que incorpore seus aplicativos móveis.

Operações de Engenharia e Desenvolvedor

Para ajudar esse grupo a entender melhor como os aplicativos móveis que eles estão criando podem ser comprometidos, o painel descreveu como funcionam os ataques de reempacotamento e interceptação de aplicativos, compartilhando algumas ideias práticas sobre como as equipes de engenharia e operações podem coordenar esforços para proteger melhor seus aplicativos dessas ameaças.

Em um tom mais positivo, o painel também apresentou como as equipes de engenharia podem encontrar benefícios ocultos em seu pipeline de CI/CD ao ter uma visão clara e um plano para abordar os riscos de segurança em seus aplicativos móveis. Às vezes, a segurança pode ser mais do que mitigar riscos; neste caso, ela também pode melhorar processos e resultados.

O grupo também discutiu alguns exemplos do mundo real para ajudar a demonstrar a necessidade de incorporar dispositivos móveis ao processo mais amplo de CI/CD e DevSecOps:

• Manutenção da conformidade: As equipes conseguem atender a requisitos regulatórios como GDPR e HIPAA com pouco ou nenhum impacto na entrega e manutenção de aplicativos móveis.
• Operações simplificadas: As operações de TI podem lidar melhor com o aumento de ameaças móveis sem esgotar a equipe, aproveitando as melhores práticas de comunicação entre si e com a equipe de liderança executiva.
• Defesa contra ameaças no aplicativo: Uma equipe de DevOps pode monitorar e avaliar continuamente a postura do AppSec para se defender com sucesso contra ameaças direcionadas ao seu aplicativo em tempo de execução, trocando informações críticas com a equipe de SecOps para obter a melhor resposta possível.