这家研究公司在周日的报告中指出,在2015年中,大多数移动应用(无论是Android、iOS还是Windows Phone生态系统中的应用)都将在安全测试中被发现,它们并不具备基本的、可被企业所接受的安全协议。在“自带设备上班”(BYOD)这种选择变得普遍的形势下,这将给企业带来一个严重的问题。
那么,企业员工是否应该下载某些应用呢?这些应用能令员工可以获取企业资产或从事业务职能,但却并无基本的安全标准。Gartner认为,如果员工这样做,那么不仅企业安全政策将会面临被触犯的风险,而且敏感的企业数据和网络可能也会变得易受攻击。
“采用移动计算技术和BYOD策略的企业容易受到安全漏洞的攻击,除非这些企业使用移动应用安全测试和风险担保方法和技术。”Gartner首席研究分析师Dionisio Zumerle说道。“大多数企业在移动应用安全方面都毫无经验。即使企业会进行应用安全测试,也经常都只是由那些最关心应用功能而非安全的开发者偶尔进行。”
Zumerle指出,现有的静态应用安全测试(SAST)和动态应用安全测试(DAST)服务提供商将需要对其测试进行修改和调整,以便使其适应移动技术的要求。这两种测试在过去十年时间里一直都被沿用,但移动应用则代表着一种新的挑战,原因是其具有多样性以及依赖于持续演进发展的移动操作系统等特点。
Gartner认为,除了上述两种测试方法以外,基于行为分析的移动设备新型安全测试正在浮出水面,这些测试可对图形用户界面(GUI)进行测试,并运行后台应用来探测恶意或风险行为。举例来说,如果一种音乐播放器会存取联系人列表或地理位置,那么就可能会成为被怀疑的对象。
但是,这些措施并不一定足以保证移动应用的安全性。Gartner指出,企业用户还应确保不断测试服务器和为其提供保护。
“在今天,有90%以上的企业都在使用第三方商务应用来实施其自己的BYOD策略,而这正是当前的主要应用安全测试服务所应用于的领域。”Zumerle说道。“应用商店里充斥着大量的应用,这些应用基本上都已经证明自己的有用性。但是,企业和个人不应只是使用这些应用,却并不注意其安全性。他们应该仅下载和使用已成功通过专业应用安全测试服务提供商所进行的安全测试的应用。”
根据Gartner的预测,到2017年时,移动应用安全问题将主要集中在平板电脑和智能手机上,而“移动设备今天所提供的安全功能将不足以把漏洞保持在最小程度”。
另外,这家研究公司还建议,企业应使用应用隔离的方法来更好地保护数据安全,如软件开发工具(SDK)等。Gartner预测,到2017年时,75%的移动安全漏洞都将来自于移动应用的错误配置,例如滥用个人云存储服务来存储企业数据数据等。