IT Security 30. 5. 2014 13:54

Gartner: Neřízené aplikace jsou zadními dvířky k firemním datům

Do tří let bude 75 % narušení bezpečnosti mobilních zařízení způsobeno špatnou konfigurací aplikací. S tímto odhadem přišla agentura Gartner, podle které zároveň nebudou při zneužití hrát takovou roli technické útoky na zařízení.

„Klasickým příkladem špatné konfigurace je zneužití uživatelem používaných cloudových služeb skrze aplikace ‚sídlící’ na smartphonu nebo tabletu. Pokud jsou tyto aplikace používány také pro podniková data, mohou být prostředkem pro únik informací,“ uvedl analytik Dionisio Zumerle. Podle předpovědí Gartneru se letos na celosvětovém trhu prodá přes dvě miliardy mobilních zařízení a útoky na tyto platformy „dospívají“. Do roku 2017 by se pozornost útočníků měla přesunout od tradičních počítačů právě k tabletům a smartphonům.

 

K tomu, aby mohl malware v mobilním světě napáchat významné škody, přitom potřebuje zařízení pozměněná zásahem na administrátorské úrovni, typicky jailbreakem na iOS nebo „rootnutím“ Androidu. Uživatel se tím dostává do role správce systému a otevírají se mu normálně nepřístupné funkce a zdroje. Podle Gartneru tím uživatelé vystavují svá data nebezpečí, protože takové zásahy mohou vést k odstranění aplikačně-specifické ochrany a bezpečného sandboxu, který zajišťuje operační systém. Mohou také dovolit stahování malwaru do zařízení a nežádoucím způsobem otevřít aplikaci pro „extrakci“ podnikových dat.

 

Analytici Gartneru proto doporučují udržovat konfiguraci zařízení v souladu s firemní mobile device management politikou a bezpečnostním manažerům pak doporučují:

1. Požádejte uživatele, aby se připojili k firemní bezpečnostní politice. Těm, kteří nebudou chtít podřídit své zařízení firemní politice, musí být omezen přístup.
2. Vyžadujte, aby uživatelé používali na svých zařízeních dostatečně dlouhé a komplexní heslo. Zároveň stanovte striktní počet pokusů pro zadání hesla a timeout.
3. Určete minimální a maximální verze operačních systémů. Nepovolujte modely, které nemohou být updatovány, nebo ke kterým není možné poskytnout podporu.
4. Prosaďte zákaz jailbreaku a rootování a omezte používání neověřených app storů třetích stran. Zařízení, která tato pravidla poruší, by měla být „odpojena“ od zdrojů firemních dat, případně vymazána, pokud to vnitřní politika dovoluje.
5. K přístupu do firemní e-mailové schránky, privátním virtuálním sítím, WiFi apod. vyžadujte ověřené aplikace.

 

-ld-