0
0
Um novo relatório da Osterman Research codifica a crescente dependência das empresas de seus aplicativos móveis e revela uma desconexão chocante entre a importância estratégica dos aplicativos versus o nível de foco e recursos aplicados para proteger aplicativos organizacionais contra ameaças de tempo de execução.
“Os aplicativos móveis são os principais canais pelos quais as empresas atendem seus clientes, e sua importância para as organizações triplicou nos últimos dois anos. Nossa pesquisa revela que, embora o desenvolvimento e a implantação de aplicativos corporativos estejam entre as maiores prioridades de uma organização, infelizmente, a segurança de tempo de execução do aplicativo, seus segredos de API e os dados do usuário coletados não recebem priorização e orçamento igualmente altos. Essas descobertas levantam sérias questões, uma vez que muitas violações recentes destacaram o risco de chaves e segredos roubados serem explorados por agentes de ameaças”, disse Michael Sampson , analista sênior da Osterman Research.
A Osterman Research entrevistou 302 diretores de segurança e profissionais de desenvolvimento de aplicativos móveis nos EUA e no Reino Unido. Quarenta e oito por cento dos entrevistados estão em empresas com até 500 funcionários, 42% estão em empresas de 501 a 4.999 funcionários e 10% estão em empresas com mais de 5.000 funcionários.
Os aplicativos móveis são cada vez mais importantes para o sucesso dos negócios
A importância dos aplicativos móveis para o sucesso dos negócios triplicou nos últimos dois anos. Três em cada quatro entrevistados indicam que os aplicativos móveis agora são “essenciais” ou “absolutamente essenciais” para seu sucesso, acima de um em cada quatro há dois anos.
Três em cada quatro organizações enfrentariam consequências substanciais de um ataque bem-sucedido em seu aplicativo móvel
Um ataque contra APIs que tornassem um aplicativo móvel não funcional teria um efeito significativo em 45% das empresas e um grande impacto em mais 30%.
Baixa confiança na mitigação contra ameaças específicas
Setenta e oito por cento dos entrevistados não estão muito confiantes de que suas organizações tenham o nível apropriado de defesas e proteções de segurança para proteger contra ameaças específicas apresentadas por aplicativos móveis.
Baixa visibilidade das ameaças de segurança contra aplicativos móveis
Sessenta por cento dos entrevistados não têm visibilidade das tentativas de fraude de crédito, 59 por cento não têm visibilidade da criação de contas falsas e 54 por cento não conseguem detectar o uso de chaves de API roubadas sendo usadas para imitar solicitações genuínas. Além disso, 53% não têm visibilidade dos ataques de preenchimento de credenciais, 51% não têm visibilidade dos segredos expostos em plataformas móveis e 50% não conseguem detectar o acesso por aplicativos clonados, falsos ou adulterados.
APIs de terceiros criam caminhos para os agentes de ameaças
Em média, os aplicativos móveis dependem de mais de 30 APIs de terceiros, e metade dos desenvolvedores móveis pesquisados ainda está armazenando chaves de API no código do aplicativo, constituindo uma superfície de ataque massiva para os criminosos explorarem. As ameaças de API de terceiros contra aplicativos móveis não são tão bem compreendidas pelas empresas como deveriam ser. Os desenvolvedores de terceiros não são obrigados a atestar o cumprimento dos padrões exigidos em 42% das organizações, o teste de penetração não é realizado para avaliar a segurança do código de terceiros (em 38% das organizações) e a segurança das APIs de terceiros integradas em aplicativos móveis não é examinado em 35% das organizações.
Embora os aplicativos móveis em produção sejam vulneráveis a ameaças não mitigadas durante o desenvolvimento, as ameaças em tempo de execução recebem prioridade e financiamento mais baixos
O relatório conclui que, apesar do reconhecimento de que a proteção de aplicativos móveis e APIs em tempo de execução é um requisito duradouro, os gastos ainda são desviados para a esquerda e os entrevistados indicam que suas organizações colocam a maior prioridade em práticas de desenvolvimento seguras.
David Stewart , CEO da Approov, disse: “Esta pesquisa reflete o fato abrangente de que, embora os aplicativos móveis sejam um canal cada vez mais crítico para o comércio e as comunicações, o investimento na proteção de aplicativos e APIs em tempo de execução continua a ficar em segundo plano. Além disso, as práticas ruins continuam inabaláveis, como o armazenamento de chaves codificadas em um aplicativo ou dispositivo móvel, o que expõe os segredos do aplicativo a agentes de ameaças cada vez mais inteligentes.
“Dado que aplicativos móveis e APIs são cada vez mais a força vital das organizações, as práticas e a alocação de recursos para ameaças de tempo de execução devem ser reconsideradas – e rapidamente – antes que outra onda de grandes violações de aplicativos móveis exponha as organizações e seus clientes a danos e perdas contínuas. que inevitavelmente resulta.”
FONTE: HELPNET SECURITY