Moderne Sicherheit mobiler Apps und In-App-Schutz: Lernen aus dem Gartner Market Guide

Samuel Bakken, 30. Juli 2019

Im Jahr 2018 Mobile Malware-Angriffe haben sich fast verdoppelt und Handy-Kontoübernahmen um 79% erhöht . Da Verbraucher mehr tägliche Aufgaben über mobile Geräte und Apps ausführen, ist der mobile Kanal zu einem appetitlicheren Ziel für Kriminelle geworden.

Mit zunehmender Verbreitung und Komplexität mobiler Bedrohungen rüsten immer mehr Finanzdienstleister, Einzelhändler und Medienunternehmen ihre mobilen Apps aus, um sich mit App-Sicherheitstechnologie zu verteidigen. In seinem Anfang dieses Monats veröffentlichten „Marktleitfaden für In-App-Schutz“ stellt Gartner fest, dass „selbstverteidigende Anwendungen von entscheidender Bedeutung sind“. Der Leitfaden enthält eine Fülle von Informationen zu In-App-Schutzlösungen mit Empfehlungen für Sicherheits- und Risikomanagementfachleute, einem Vergleich von Merkmalen und Funktionen sowie Aufzeichnungen zu 19 repräsentativen Anbietern, einschließlich OneSpan. Es ist eine großartige Ressource für jedes Unternehmen, das die Abwehrkräfte seiner mobilen Apps stärken möchte.

In-App-Schutzlösungen sind Technologien, die in einer App implementiert sind, um sie widerstandsfähiger gegen eine Vielzahl mobiler Bedrohungen wie Umpacken, Malware, Skriptinjektion, Cryptojacking, SMS-Grabbing und mehr zu machen.

Da mobile Apps auf einer Vielzahl nicht vertrauenswürdiger mobiler Geräte mit unterschiedlichen Sicherheitsstufen ausgeführt werden, sind mobile Apps ein hervorragender Anwendungsfall für den In-App-Schutz. Gartner empfiehlt Organisationen:

"Wählen Sie den In-App-Schutz für kritische und hochwertige Anwendungen, die in nicht vertrauenswürdigen Umgebungen ausgeführt werden, und verschieben Sie die Softwarelogik im Front-End. Die häufigsten Anwendungsfälle sind mobile Apps, einseitige Web-Apps (insbesondere für Verbraucher) und Software auf verbundenen Geräten. “

Mobile App Security Evolution: In-App-Schutz über App Hardening und Anti-Manipulation hinaus

Angesichts des Anstiegs mobiler Bedrohungen haben Gartner-Kunden im vergangenen Jahr nach umfassenderen Funktionen für die App-Sicherheit gefragt. Als Reaktion darauf erweiterte Gartner den Umfang seines Berichts um Multi-Faktor-Authentifizierung, RASP (Runtime Application Self Protection), Risikoanalyse und weitere Funktionen. Seitdem haben sie die Kategorie in In-App-Schutz umbenannt.
Gartner unterteilt In-App-Schutzfunktionen in Präventions-, Erkennungs- und „andere“ Funktionen, von denen viele neu im diesjährigen Leitfaden sind:

  • Prävention: Härtungsfähigkeiten
    Gartner beschreibt die Präventionsmöglichkeiten wie folgt:
    „Präventionsfunktionen werden auch als Anwendungshärten bezeichnet. Sie können als passive und abschreckende Maßnahmen angesehen werden, die den Aufwand erhöhen, den der Angreifer benötigt, um einen Angriff auszuführen. Die Präventionsfunktionen bestehen hauptsächlich aus verschiedenen Code-Verschleierungs- und White-Boxing-Techniken. “
  • Erkennung: Manipulationssichere Funktionen
    Gartner beschreibt die Erkennungsfunktionen wie folgt:
    "Die Erkennungsfunktionen konzentrieren sich auf die Aufklärung der Umgebung der App (z. B. des Geräts oder des Servers), um festzustellen, ob dieser Umgebung vertraut werden kann."
  • Sonstige Funktionen
    Gartner enthält als Beispiele für andere Funktionen Folgendes:
    • Anti-Bot
    • Clickjacking
    • Selbstschutz der Laufzeitanwendung (RASP)
    • OOB-Authentifizierung (Multifactor / Out-of-Band)
    • Risikoanalyse

Warum ist In-App-Schutz in einem modernen Sicherheitsprogramm für mobile Apps wichtig?

Das eigentliche Argument hier ist Geschwindigkeit und Fachwissen. In-App-Schutz ist eine Reihe von Tools, die für Entwickler freigegeben werden können, damit sie Sicherheits- und Authentifizierungsfunktionen schneller in ihre mobilen Apps integrieren können. Im Sonatypes DevSecOps-Community-Umfrage 2019 Von 5.558 Fachleuten, die mit DevOps, Entwicklung und Sicherheit befasst sind, gaben 47% der Befragten an, Anwendungen mehrmals pro Woche bereitzustellen. Diese erhöhte Trittfrequenz von Veröffentlichungen hat wahrscheinlich dazu beigetragen, dass 48% der Befragten angaben, dass ihre Entwickler der Meinung sind, dass Sicherheit wichtig ist, aber nicht genug Zeit haben, um dafür zu investieren.

Selbst wenn ein Entwickler mobiler Apps Zeit für Sicherheit hat, besteht die größere Herausforderung darin, sicherzustellen, dass dies ordnungsgemäß durchgeführt wird. Eine im letzten Jahr veröffentlichte Studie hat dies festgestellt 78% von 70 Android-Entwicklern konnten eine realistische Verschleierungsaufgabe nicht erfüllen. Mein Punkt hier ist nicht, Entwickler herabzusetzen (was Sie übrigens nicht weiter bringt, wenn Sie Ihr Sicherheitsprogramm für mobile Apps verbessern). Die meisten Entwickler von Mobilgeräten sind Experten für die Entwicklung von Android und iOS und werden vom Unternehmen angetrieben, um schneller bessere Funktionen zu erstellen. Sie sind normalerweise keine Experten für App-Sicherheit. Entwickler möchten das Richtige tun, benötigen jedoch Schulungen wie Schulungen zu sicherem Code und Tools, die die Sicherheit effizienter und effektiver machen, wie Sicherheitstests für mobile Apps und In-App-Schutz.

Beispielsweise veröffentlicht und aktualisiert eine der größten Banken der Welt Tausende mobiler Apps kontinuierlich, konnte jedoch intern nicht genügend Entwicklerzeit oder Fachwissen finden, um ein Sicherheitsniveau bereitzustellen, das ihren Standards entspricht. Sie kamen zu OneSpan und suchten nach Lösungen, mit denen sie die Sicherheit ihrer mobilen Apps erhöhen können, ohne die Bereitstellungshäufigkeit zu beeinträchtigen, die sie festgelegt hatten, um ihren Wettbewerbsvorteil zu erhalten. Sie entschieden sich für die In-App-Schutzfunktionen von OneSpan, um die Sicherheit ihrer App auf ein Niveau zu bringen, von dem sie berichten, dass es allein unmöglich wäre.

Antwort auf den Bericht

Ich begrüße Gartners Erweiterung des Geltungsbereichs ihres Marktleitfadens. Es muss mehr getan werden, um mobile Apps zu schützen und Benutzer vor Betrug zu schützen. Der erweiterte Anwendungsbereich bestätigt auch den Ansatz, den OneSpan mit unserem Ansatz verfolgt hat Mobile Security Suite seit seiner Gründung - ein komplettes Toolkit zur Sicherung von Mobile-Banking-Apps. Von Anfang an haben wir die Mobile Security Suite entwickelt, um einen vollständigen Satz statischer und dynamischer Sicherheitstechnologien und Authentifizierungsfunktionen bereitzustellen. Diese Funktionen erleichtern Entwicklern die native Integration bewährter, vertrauenswürdiger Sicherheits- und Authentifizierungsfunktionen in ihre Android- und iOS-Apps.

 

Gartner, Marktführer für In-App-Schutz, 3. Juli 2019, Manjunath Bhat, Dionisio Zumerle

Gartner unterstützt keine Anbieter, Produkte oder Dienstleistungen, die in seinen Forschungspublikationen aufgeführt sind, und rät Technologiebenutzern nicht, nur die Anbieter mit den höchsten Bewertungen oder anderen Bezeichnungen auszuwählen. Gartner-Forschungspublikationen bestehen aus den Meinungen der Gartner-Forschungsorganisation und sollten nicht als Tatsachenaussagen ausgelegt werden. Gartner lehnt alle ausdrücklichen oder stillschweigenden Garantien in Bezug auf diese Forschung ab, einschließlich aller Garantien für die Marktgängigkeit oder Eignung für einen bestimmten Zweck.

Sam ist Senior Product Marketing Manager und verantwortlich für das Sicherheitsportfolio für mobile OneSpan-Apps. Er verfügt über fast 10 Jahre Erfahrung in der Informationssicherheit.