Закаливание при нанесении

Что такое упрочнение приложений?

Усиление приложений - это концепция и техника кибербезопасности, которая использует обфускацию кода, криптографию "белого ящика" и другие методы для защиты приложений от методов мобильного мошенничества, таких как обратная разработка и взлом. Она включает меры по повышению уровня усилий, необходимых злоумышленнику для атаки на приложение. Усиление приложений должно стать лучшей практикой для компаний, чтобы защитить свои приложения, снизить риски безопасности и предотвратить злоупотребления, обман и переупаковку.

Защита приложений, укрепление приложений и экранирование приложений

Усиление приложений и защита приложений являются подмножествами защиты приложений. In-app защита предназначена для защиты приложений изнутри и хорошо подходит для подхода к защите приложений с нулевым доверием. Защита внутри приложения лучше всего подходит для высокоценных приложений, работающих на необслуживаемых устройствах или в ненадежных средах.  

Усиление приложений включает в себя возможности предотвращения, которые повышают сложность выполнения атаки для злоумышленника. Защита приложений включает в себя меры по борьбе с несанкционированным проникновением, призванные помешать злоумышленнику, и возможности обнаружения, определяющие, можно ли доверять среде приложений.

In-app защита также включает в себя такие возможности, как анти-бот технологии, защита от кликджекинга, самозащита приложений во время выполнения, многофакторная аутентификация и анализ рисков.

Предположения о безопасности мобильных устройств, которые делают приложения уязвимыми

Разработчики мобильных приложений не в состоянии контролировать все среды, в которых будут использоваться их приложения. Например, пользователи могут сделать джейлбрейк или рутировать свое устройство, что отключает защитные функции операционной системы. Поэтому укрепление приложений является важной частью безопасности мобильных приложений, поскольку оно встраивает защиту в само приложение независимо от состояния безопасности устройства или операционной системы.

Два распространенных заблуждения повышают риск компрометации мобильных приложений.

Во-первых, люди полагают, что официальные магазины приложений - Apple App Store и Google Play - предлагают для загрузки только законные, безопасные приложения. Официальные магазины приложений проверяют приложения, представленные разработчиками, на наличие вредоносных программ и проверяют, что доступ приложений к пользовательским данным опосредован.  

Но реальность такова, что магазин приложений не в состоянии отловить все вредоносные приложения, потому что их слишком много, чтобы отсеять все плохие и обеспечить надежный контроль безопасности.

Во-вторых, многие полагают, что операционные системы iOS и Android обеспечивают достаточную безопасность мобильных приложений, загруженных на их устройства. Реальность такова, что исправления для уязвимостей в Android или iOS не всегда доступны сразу, а пользователи не всегда соблюдают кибергигиену, регулярно обновляя свои устройства. Кроме того, в некоторых случаях разработчики неправильно реализуют возможности шифрования, предоставляемые операционными системами.

Learn how to reduce fraud, save money, and protect revenue with app shielding

Learn how to reduce fraud, save money, and protect revenue with app shielding

Make the case for stronger mobile app security and learn why app shielding with runtime-protection is especially valuable given the current mobile threat landscape.
 

Download the White Paper

Причины для повышения надежности ваших приложений

Существует три основные причины для усиления приложений: защита интеллектуальной собственности, защита целостности приложения и защита конфиденциальных данных в приложении.

В рамках заявки существует интеллектуальная собственность (ИС), такая как концепции, инновации и изобретения, которые дают компании конкурентное преимущество. Обладание рабочим исходным кодом дает доступ к любой ИС, закодированной в приложении. Анализируя исходный код приложения, хакер может украсть ИС. Усиление приложений может обеспечить безопасность ИС.

Целостность приложений также является предметом заботы разработчиков приложений. Вредоносные субъекты могут проверить и, если возможно, модифицировать приложение, чтобы клонировать его, украсть данные или получить данные через API. Приложение, которое не защищено с помощью обфускации и криптографии "белого ящика", подобно открытой книге. Злоумышленники могут провести статический анализ кода приложения в открытом виде и найти области для атак и эксплуатации. В рамках многоуровневой стратегии защиты компании также должны иметь механизмы, которые добавляют в приложение функции защиты от отладки и вскрытия, чтобы защитить, обнаружить и отреагировать на атаки на его целостность.

Популярным методом атаки является использование недостатков безопасности приложений для кражи конфиденциальных личных данных. Поскольку данные, используемые во время выполнения, могут быть открыты таким образом, что данные, находящиеся в состоянии покоя или в пути, не могут быть открыты, а злоумышленники могут узнать, как использовать это с помощью отладчиков, эмуляторов и других инструментов, следующей лучшей стратегией является ограничение несанкционированного использования отладчиков, эмуляторов и других инструментов, которые хакеры используют для доступа и изменения данных в приложениях. Кроме того, если ключи шифрования не защищены должным образом, злоумышленник может украсть эти ключи и использовать их для доступа к данным в пути. Усиление приложений и другие методы защиты внутри приложений обеспечивают безопасность приложений и проходящих через них данных, отключая векторы атак, которые используют хакеры.

Методы упрочнения приложений

Усиление приложений включает в себя несколько методов защиты приложений от злоумышленников. К ним относятся:

Обесценивание кода

Обфускация кода скрадывает код приложения, чтобы затруднить обратное проектирование приложений. Таким образом, сложнее нацелить приложение, сделав его более трудночитаемым, что также затрудняет кражу его IP или переупаковку. Обфускация кода использует несколько техник для защиты приложений. Программные компоненты и идентификаторы могут быть переименованы. Можно добавить фиктивный код, который никогда не используется, и зашифровать строки. Код может быть перекомпилирован и запущен в интерпретаторе или виртуальной машине. Другие техники обфускации кода включают отражение и упаковку.

Белый бокс или криптография белого ящика

Этот подход является альтернативой использованию встроенных инструментов современных платформ, таких как Apple iOS Keychain или Android Keystore. Если компании необходимо разрешить работу своих приложений на взломанных устройствах, это может быть полезной криптографической техникой. Также "белый бокс" может быть использован, если злоумышленник видит стандартное местоположение, например Keychain/Secure Enclave для iOS или KeyStore для Android, для учетных данных на устройстве с целью атаки.  

Другие техники:

  • Фиксация сертификатов, которая позволяет сторонам, участвующим в процессе взаимной аутентификации, фиксировать конкретные сертификаты, может использоваться для противодействия атакам типа "человек посередине".
  • Шифрование ресурсов включает в себя шифрование компонентов приложения, таких как классы и строки.
  • Автоистечение срока действия устанавливает срок, по истечении которого пользователь выходит из системы после периода бездействия.
  • Автономные клавиатуры могут быть использованы для пресечения попыток кейлоггинга, а обнаружение неавторизованных клавиатур может быть использовано для обнаружения неавторизованных клавиатур.
  • Полиморфизм - это метод, при котором код может быть изменен, чтобы усложнить обратную разработку.

Варианты использования упрочнения приложений

Мобильные банковские приложения - один из примеров использования упрочнения приложений. Все больше мобильных пользователей полагаются на свои устройства для осуществления банковских операций. Мошенники стремятся извлечь выгоду из любой бреши в системе безопасности, которую они могут найти. Усиление приложений помогает предотвратить разработку мошенниками вредоносных эксплойтов для приложения мобильного банка, что усложняет задачу злоумышленника.   

Мобильные медицинские приложения работают с защищенной медицинской информацией (PHI), регулируемой Законом о переносимости и подотчетности медицинского страхования (HIPAA). Поставщики медицинских услуг и другие лица могут столкнуться с жесткими штрафными санкциями, если их приложения для телемедицины разглашают данные пациентов. Усиление приложений может обеспечить сохранение конфиденциальности пациентов и избежать штрафов HIPAA, гарантируя, что киберзлоумышленники не смогут получить доступ к PHI.

Мобильные приложения для розничной торговли - это еще один отличный пример использования упрочнения приложений. Они обрабатывают данные карточных карт, регулируемые стандартом безопасности данных индустрии платежных карт (PCI DSS). Онлайн-торговцы, не соблюдающие требования PCI DSS, могут столкнуться со штрафами от компаний, обслуживающих кредитные карты, потерей доверия клиентов и даже проверками Федеральной торговой комиссии.   

Сотрудники государственных служб, такие как службы быстрого реагирования, правоохранительные органы и правительственные учреждения, получают доступ, передают и хранят конфиденциальную информацию в своих мобильных приложениях. Эти данные могут регулироваться HIPAA, политикой агентства или правилами конфиденциальности, поэтому они должны быть защищены с помощью надежных мер безопасности, таких как усиление приложений.  

Мобильные приложения, ориентированные на потребителей, являются связующим звеном между внешним миром и конфиденциальными внутренними базами данных клиентов, что делает их мишенью для злоумышленников. Усиление приложений позволяет блокировать или иным образом предотвратить использование злоумышленниками многочисленных уязвимостей в мобильных приложениях, которые могут привести к краже данных.   

Поскольку количество подключенных устройств и приложений растет экспоненциально, поверхность атаки хакеров для проникновения в сети дома, на рабочем месте и на заводе расширяется такими же темпами. Приложения, управляющие подключенными устройствами, уязвимы для атак. Усиление приложений позволяет защитить эти приложения для защиты встроенных систем таким образом, каким не могут обеспечить антивирусные решения и другие обычные средства защиты.

Delivering Trust Through Mobile App Shielding and Hardening
Blog

Delivering Trust Through Mobile App Shielding and Hardening

In the increasingly crowded and competitive financial services market, financial institutions (FIs) are prioritizing mobile app development and the mobile user experience in order to maximize customer acquisition and retention. 

Read the Blog

Защита от этих стратегий атак с помощью усиления приложений

Усиление приложений может помочь защитить приложения от нескольких сценариев атак, включая обратную разработку, переупаковку и неавторизованные клавиатуры.  

Обратное проектирование - это практика анализа приложения с целью извлечения информации о дизайне и реализации. Эта техника может использоваться в законных целях, но злоумышленник также может использовать ее для анализа кода и разработки вредоносного ПО, использующего приложения в неблаговидных целях.  

При атаке на переупаковку хакер перепроектирует законное приложение, добавляет в него вредоносный код и загружает его в магазин приложений. Это излюбленный прием злоумышленников, нацеленных на мобильные банковские приложения.

Альтернативные клавиатурные приложения, которые используются людьми для настройки своих клавиатур, также могут скрывать вредоносный код, который крадет данные или выполняет другие вредоносные действия.

В итоге упрочнение приложений защищает их от вредоносных действий и защищает конфиденциальную информацию от киберпреступников на протяжении всего их жизненного цикла. Усиление приложений является частью многоуровневого подхода к безопасности приложений, который включает в себя защиту во время выполнения, надежную аутентификацию и другие методы. Многоуровневая безопасность может помочь ускорить инициативы по цифровой трансформации, снизить операционные расходы и открыть новые возможности для роста.

Свяжитесь с нами

Свяжитесь с одним из наших экспертов по безопасности, чтобы узнать больше о том, как наши решения могут помочь вам в обеспечении цифровой безопасности