2022年的優(yōu)先事項(xiàng)：自動(dòng)化移動(dòng)應(yīng)用程序安全測(cè)試

過去兩年，移動(dòng)設(shè)備的使用迅速增長(zhǎng)，移動(dòng)應(yīng)用市場(chǎng)也隨之迅速發(fā)展。據(jù)預(yù)測(cè)，到2023年，移動(dòng)應(yīng)用的營(yíng)收將超過9350億美元。

然而，具有增長(zhǎng)潛力的領(lǐng)域往往會(huì)吸引威脅行為者的注意，他們希望利用漏洞獲取經(jīng)濟(jì)利益。這就是為什么移動(dòng)應(yīng)用程序安全已經(jīng)成為跨行業(yè)關(guān)注的一個(gè)關(guān)鍵領(lǐng)域——特別是如果組織有一個(gè)應(yīng)用程序包含有價(jià)值的知識(shí)產(chǎn)權(quán)(IP)或存儲(chǔ)有敏感數(shù)據(jù)。

在整個(gè)應(yīng)用開發(fā)過程中實(shí)施安全措施，并在應(yīng)用發(fā)布后繼續(xù)監(jiān)控應(yīng)用，最終確保你的手機(jī)應(yīng)用程序和業(yè)務(wù)安全。

到2022年，移動(dòng)應(yīng)用程序安全測(cè)試可能將是任何擁有移動(dòng)應(yīng)用程序的組織的優(yōu)先事項(xiàng)。為了了解其中的原因，讓我們看看移動(dòng)應(yīng)用程序遇到的典型安全威脅，以及這些威脅可能對(duì)組織產(chǎn)生的影響。

移動(dòng)應(yīng)用安全威脅

移動(dòng)應(yīng)用程序容易受到一些獨(dú)特的威脅。

例如，考慮 MATE(終端人)攻擊向量。攻擊者可以在本地設(shè)備上加載移動(dòng)應(yīng)用程序，然后使用專門的工具和資源來檢查和逆向工程應(yīng)用程序。這讓他們能夠獲得應(yīng)用程序如何運(yùn)行的“秘密武器”。

其他移動(dòng)應(yīng)用程序安全漏洞包括不安全的數(shù)據(jù)存儲(chǔ)、安全錯(cuò)誤配置和不安全的通信，所有這些都符合OWASP十大移動(dòng)風(fēng)險(xiǎn)列表。如果沒有多層保護(hù)，或者沒進(jìn)行安全檢測(cè)，您的應(yīng)用程序很容易成為各種威脅的受害者。

盡管移動(dòng)應(yīng)用安全威脅的嚴(yán)重性和復(fù)雜性各不相同，但結(jié)果通常都是一樣的:數(shù)據(jù)泄露、IP被盜、收入損失和客戶信任的喪失。這就是為什么移動(dòng)應(yīng)用的安全性需要在移動(dòng)應(yīng)用開發(fā)生命周期的每個(gè)階段都受到關(guān)注。

進(jìn)入移動(dòng)應(yīng)用安全測(cè)試

當(dāng)移動(dòng)應(yīng)用安全包括頻繁的測(cè)試以獲得真實(shí)的反饋時(shí)，移動(dòng)應(yīng)用開發(fā)者就能更好地識(shí)別和緩解移動(dòng)應(yīng)用安全威脅和漏洞。

移動(dòng)應(yīng)用程序安全測(cè)試是掃描應(yīng)用程序以識(shí)別可能影響移動(dòng)應(yīng)用程序的潛在安全問題的過程。盡管應(yīng)用程序掃描的具體需求可能有所不同，無論是出于遵從性還是為了響應(yīng)安全事件，其目標(biāo)都是有效地加強(qiáng)應(yīng)用程序并降低風(fēng)險(xiǎn)。

有兩種方法可以考慮測(cè)試應(yīng)用程序：靜態(tài)分析和動(dòng)態(tài)分析。盡管兩者都非常有效，但當(dāng)它們結(jié)合使用時(shí)，可以大大提高您的移動(dòng)應(yīng)用程序的安全性。

滲透測(cè)試效果如何?

傳統(tǒng)上，移動(dòng)應(yīng)用團(tuán)隊(duì)將滲透測(cè)試作為手機(jī)應(yīng)用測(cè)試的首選形式。盡管一種有效的安全評(píng)估方法——滲透測(cè)試可以識(shí)別出代碼加固和防篡改保護(hù)的缺失——但它在快節(jié)奏的移動(dòng)應(yīng)用開發(fā)世界中并不總是有效。

滲透測(cè)試既昂貴又緩慢。這些發(fā)現(xiàn)通常在實(shí)際的軟件開發(fā)過程之外與開發(fā)團(tuán)隊(duì)分享討論，時(shí)間通常會(huì)在幾個(gè)月之后。從而導(dǎo)致組織面臨一個(gè)艱難地決定：按時(shí)發(fā)布應(yīng)用還是解決已發(fā)現(xiàn)的安全風(fēng)險(xiǎn)問題?

如果確定風(fēng)險(xiǎn)是可控的，則反饋可能不會(huì)去解決。但如果風(fēng)險(xiǎn)足夠高，開發(fā)團(tuán)隊(duì)將需要放棄一切來修復(fù)它，從而對(duì)新應(yīng)用功能的開發(fā)和發(fā)布產(chǎn)生連鎖反應(yīng)。很容易看出這個(gè)過程如何使安全團(tuán)隊(duì)和移動(dòng)應(yīng)用程序開發(fā)團(tuán)隊(duì)相互對(duì)立。

這也強(qiáng)調(diào)了識(shí)別和選擇專門為移動(dòng)應(yīng)用程序設(shè)計(jì)并為開發(fā)人員構(gòu)建的安全測(cè)試工具的重要性。一個(gè)對(duì)開發(fā)人員友好的移動(dòng)安全工具提供可操作的反饋，從而可以更好地協(xié)調(diào)開發(fā)和安全團(tuán)隊(duì)。

為什么優(yōu)先考慮自動(dòng)化應(yīng)用程序安全測(cè)試?

在一個(gè)組織需要不斷創(chuàng)新以滿足客戶快速變化的需求的世界里，組織不能冒險(xiǎn)使用不安全的應(yīng)用程序。

到2022年，預(yù)計(jì)應(yīng)用程序安全測(cè)試將可能成為移動(dòng)應(yīng)用程序開發(fā)團(tuán)隊(duì)的職責(zé)，通過自動(dòng)化工具的支持來完成，如檢測(cè)安全的靜態(tài)應(yīng)用安全測(cè)試、動(dòng)態(tài)應(yīng)用安全測(cè)試、開源組件成分分析等。這使得測(cè)試過程具有成本效益和可管理性，因此開發(fā)團(tuán)隊(duì)可以經(jīng)常獲得關(guān)于手機(jī)應(yīng)用安全性的反饋。自動(dòng)化的測(cè)試工具可以讓開發(fā)人員按照自己的意愿(或需要)進(jìn)行頻繁的移動(dòng)應(yīng)用測(cè)試，從而為團(tuán)隊(duì)進(jìn)行高效、成功的外部評(píng)估或滲透測(cè)試做好準(zhǔn)備。

移動(dòng)應(yīng)用程序正日益成為用戶與企業(yè)互動(dòng)的主要方式。2022年優(yōu)先考慮應(yīng)用程序安全掃描將使組織能夠采取主動(dòng)防御措施，防止數(shù)據(jù)泄漏、IP盜竊、收入損失和聲譽(yù)受損。

文章來源：

https://www.helpnetsecurity.com/2022/01/24/mobile-application-security-testing/