A falsa economia da segurança móvel sem agente

Conceito de segurança cibernética.Escudo com ícone de fechadura em fundo digital

Nota do editor: Este artigo foi publicado originalmente na edição de setembro de 2022 da IDG Tecnologia (conversa).

A segurança móvel sem agente é uma abordagem que promete proteger as empresas contra ataques sem adicionar nenhum software relacionado à segurança em seus aplicativos móveis. Neste artigo, compararemos as vantagens e desvantagens de adotar essa abordagem em comparação com mecanismos alternativos.

As abordagens de segurança “sem agente” e “sem código” são frequentemente apontadas como adequadas para proteger negócios centrados em dispositivos móveis, e é fácil ver por que isso repercute nas equipes de desenvolvimento e DevOps. Estamos todos familiarizados com quanto tempo leva para lançar uma nova versão de aplicativo móvel e, mais importante, quanto tempo leva para os usuários atualizarem seus aplicativos em campo, permitindo que as empresas retirem versões mais antigas de aplicativos móveis. Portanto, ao considerar a possibilidade de adicionar um novo SDK ao seu aplicativo móvel, a pergunta “Precisamos realmente fazer isso?” Alguém deve ter perguntado!

Este artigo ajudará as organizações a responder a essa pergunta de maneira razoável e lógica, porque a avaliação não é tão simples quanto você imagina. Vejamos algumas das principais coisas a considerar.

Consideração 1: Todo o tráfego da API é realmente igual?

Há um ditado que diz que todo o tráfego da API é tratado igualmente, não importa de onde venha, ou melhor, de onde alega vir. Embora seja fácil de acreditar, raramente é verdade. Primeiro, considere as alterações nas possíveis origens de tráfego:

  • Pessoas bem-intencionadas.
  • pessoas maliciosas.
  • Um bot/script com boas intenções.
  • Bots/scripts maliciosos.

Para dar uma ideia de escala, Relatório de Robótica Imperva 2022 Concluiu-se que 42,3% do tráfego da web foi automatizado, enquanto 27,7% do tráfego total veio de bots ruins. Isso significa que cada uma das categorias acima representa uma quantidade significativa de tráfego.

Em seguida, considere o meio usado pelo tráfego da API. Os servidores de back-end podem se comunicar de qualquer uma das seguintes maneiras:

  • outro servidor.
  • um navegador da web.
  • um aplicativo da web.
  • um aplicativo móvel.
  • bot ou script.

Quando você percebe que quase todas as combinações de fontes e mídias são possíveis e acredita que cada combinação tem um perfil de risco diferente, fica claro que todo o tráfego da API Web não é igual, e é importante saber com confiança o que está vindo e a origem da solicitação da API.

O celular está no extremo do espectro de risco porque os aplicativos contêm muita lógica de negócios valiosa e qualquer pessoa pode baixá-los e estudá-los, se quiser. Para dispositivos móveis, é fundamental saber que um aplicativo genuíno executado em um ambiente seguro está fazendo solicitações de API.

Consideração 2: É realmente tão difícil adicionar um proxy?

A maioria das coisas na vida exige compromisso, e a segurança não é exceção. Se você puder ter 100% de certeza sobre a origem e a mídia exatas simplesmente verificando cada solicitação de API em seu ambiente suportado, é claro que você o fará.

No entanto, tal certeza é impossível, a melhor esperança é que a maioria das solicitações fraudulentas sejam capturadas, as que passarem não sejam muito significativas e o número de falsos positivos (identificando solicitações fraudulentas que mais tarde venham a ser de usuários genuínos) não não afetar muito a experiência do cliente.

Dadas essas incertezas, seria muito fácil colocar um agente de software em seu aplicativo móvel que emitiria para seu back-end a cada solicitação de API de que o aplicativo móvel existe, não foi modificado e não foi comprometido por hackers. Sinais manipulados em dispositivos infectados , e não bots ou scripts, parece um passo sólido para fornecer certeza no limite.

O “custo” de ter que adicionar um agente de software a um aplicativo móvel é responsável por grande parte, mas o “custo” real é uma troca entre a facilidade de fazer e o valor que ele agrega ao risco geral de segurança perfil.

Consideração 3: Você pode proteger seu negócio móvel sem contexto?

Expandindo o ponto anterior, há vários riscos de segurança associados a aplicativos móveis:

  • Uma versão modificada ou reempacotada do seu aplicativo.
  • Aplicativos genuínos executados em dispositivos móveis infectados.
  • Seu aplicativo genuíno está sendo manipulado por um invasor.
  • Um script ou bot automatizado que personifica seu aplicativo móvel genuíno e usa credenciais válidas de usuário e aplicativo.

Não é confiável informar os 4 acima apenas com base no que você vê na solicitação da API. Costuma-se dizer que, quando se trata de segurança, o contexto é tudo, e essa situação é um excelente exemplo.

Qualquer método de análise de comportamento de back-end precisa analisar uma série de solicitações de API e seu tempo para tirar qualquer tipo de conclusão. Isso requer autotreinamento da análise e, mesmo quando aplicado ao tráfego em tempo real, existe o perigo de falsos positivos – alguns dos quais são comportamentos válidos além do treinamento anterior e rejeitados. Além disso, quando grandes atualizações são feitas em sua plataforma, os dados de treinamento anteriores podem se tornar inválidos por um período de tempo e levar a interrupções de serviço para clientes reais e atividades maliciosas não vistas.

Para garantir que você processe apenas solicitações de usuários genuínos executando aplicativos genuínos em dispositivos móveis seguros, você deve ter contexto; você deve ter uma abordagem de segurança ativa, baseada em evidências irrefutáveis ​​de que a solicitação é o que diz ser e De onde diz vem de.

Consideração 4: Quando você precisa atualizar seu aplicativo móvel por motivos de segurança?

Outro argumento contra a adição de agentes de software a aplicativos móveis é que você precisa atualizar seu telefone quando surgem novas ameaças ou deseja ajustar suas políticas de segurança. Se isso for verdade para a solução móvel que você está procurando, certamente vale a pena considerar.

Dito isso, esse argumento contra os agentes de segurança de software em aplicativos móveis é bastante reduzido se pequenos ajustes nas detecções e políticas de segurança puderem ser entregues instantaneamente sem fio aos aplicativos móveis implantados.

Além disso, se dados confidenciais, como segredos de aplicativos para acesso à API e certificados para fixação de API, puderem ser entregues aos aplicativos implantados em tempo hábil, os argumentos contra os proxies de software começarão a parecer fracos.

Vamos ver seu custo real

Quando a segurança “sem agente” é proposta para empresas centradas em API com fortes elementos móveis, as considerações de custo propostas concentram-se nos custos de desenvolvimento, monitoramento e gerenciamento de ter que lidar com o software adicional no aplicativo móvel. Claro, há um custo real para isso, mas se o custo for relativamente baixo e permitir que você realmente determine a veracidade e autenticidade das solicitações de API recebidas, pode valer a pena.

O custo real de tentar lidar com a segurança do tráfego móvel puramente no back-end é o custo de lidar com:

  • Entre tráfego bom e ruim, seu mecanismo de análise não tem certeza e lhe dá uma pontuação, forçando você a fazer mais análises automatizadas ou, pior ainda, intervenção humana.
  • Tráfego do seu mecanismo de análise que produz resultados falsos positivos, resultando em situações em que produtos genuínos são rejeitados ou sujeitos a verificações de segurança adicionais – reduzindo a satisfação do cliente.

Ao avaliar possíveis soluções de segurança para API e proteção móvel, é importante considerar todos os custos associados. É tentador apenas observar o impacto no desenvolvimento de cada solução, mas lembre-se de que sua plataforma estará em produção por muito mais tempo do que em desenvolvimento, e você terá que considerar o custo total do ciclo de vida de sua escolha.

generalizar

A segurança é sempre sobre camadas de proteção. Nunca foi shift left (desenvolvimento de código seguro) ou shift right (implantação segura), mas uma mistura dos dois. O mesmo vale para as implicações de custo de uma solução de segurança – você precisa considerar os custos de desenvolvimento incorridos, bem como os custos associados à execução, monitoramento e gerenciamento da plataforma.

Mais importante ainda, vale a pena lembrar que também é muito econômico interromper as ameaças no início da infraestrutura implantada. Afinal, por que processar o tráfego no back-end quando você já pode identificar na borda que o tráfego não é de uma fonte real e confiável?

A análise de tráfego da API de back-end é uma ferramenta em sua caixa de ferramentas para proteger sua plataforma dos vários ataques que ela enfrentará. No entanto, como qualquer outra ferramenta na caixa, não resolve todos os problemas. Tarefas específicas sempre requerem ferramentas especializadas. Eles geralmente economizam por conta própria, o que não apenas justifica seus custos pessoais, como nunca foi tão real.

Se você quiser saber mais, ou como é fácil implantar o Mobile Security Agent, por favor Solicite uma reunião com um de nossos especialistas em segurança.

*** Este é um blog sindicalizado da Security Blog Network de Aprovar blog Escrito por David Stewart. Leia o texto original: https://blog.approvov.io/the-false-economics-of-agentless-security-for-mobile

ZeroToHero

ZeroToHero

Leave a Reply

Your email address will not be published.