无因素移动安全的虚假经济学

网络安全的概念。 数字背景上带有钥匙孔符号的盾牌

编者注:本文最初发表于 2022 年 9 月的 IDG TECH(谈话)。

移动无代理安全是一种承诺保护企业免受攻击的方法,而无需在其移动应用程序中添加任何与安全相关的软件。 在本文中,我们将比较采用这种方法与替代机制相比的优缺点。

“无代理”和“无令牌”安全方法经常被适当地推广以保护以移动为中心的业务,很容易看出为什么这会影响开发团队和 DevOps。 我们都熟悉发布新版本的移动应用程序所需的时间,更重要的是用户在现场更新其应用程序所需的时间,这使公司能够停止过时的移动应用程序版本。 因此,在考虑将新的 SDK 添加到您的移动应用程序时,“我们真的需要这样做吗?”的问题。 肯定会有人要的!

本文将帮助组织以合乎逻辑的方式回答这个问题,因为它并不像您想象的那么容易评估。 让我们看一下要记住的一些主要事项。

考虑 1:所有 API 访问真的平等吗?

有一种说法是,所有 API 访问都可以平等对待,无论它们来自哪里,或者更确切地说,它们声称来自哪里。 尽管相信很方便,但它很少是真的。 首先考虑潜在流量来源的多样性:

  • 有良心的人。
  • 背信弃义的人类。
  • 机器人/真正的脚本。
  • 恶意的机器人/脚本。

为了给出大小的想法, Imperva 2022 机器人 . 报告 它得出的结论是,42.3% 的网络流量是自动化的,而总流量的 27.7% 来自不良机器人。 这意味着上述每个类别都代表了大量的流量。

接下来,考虑 API 流量使用的代理。 可以通过以下任何方式联系后端服务器:

  • 另一个服务器。
  • 网页浏览器。
  • Web应用程序。
  • 移动应用。
  • 机器人或脚本。

一旦您意识到几乎所有来源和媒介组合都是可能的,并考虑到每种组合都有不同的风险状况,很明显并非所有 Net API 流量都是平等的,并且能够知道它是什么也非常重要充满信心。 API 请求从何而来。

移动处于风险范围的极端,因为应用程序包含大量有价值的业务逻辑,而且任何人都可以下载和研究它们,只要他们愿意。 对于移动设备,有必要知道在安全环境中运行的本机应用程序正在发出 API 请求。

第二个考虑:添加代理真的那么难吗?

生活中的大多数事情都需要妥协,安全也不例外。 如果可以通过检查您支持的环境中的每个 API 请求来 100% 准确地确定来源和媒介,那么您当然会。

然而,这样的确定性是不可能的,我们能期望的最好的结果是大多数欺诈请求将被捕获,获得的请求不会很大,并且误报数(识别稍后出现的来自真实用户的欺诈请求)是不会极大地影响客户体验。

鉴于这些不确定性,如果很容易在您的移动应用程序中删除一个软件代理,该软件代理会通过每个 API 请求向您的后端发出移动应用程序存在、未经修改且未被黑客操纵的信号。 bot 或脚本,似乎是在边缘提供确定性的重要步骤。

必须将软件代理添加到移动应用程序的大部分“成本”已经产生,但真正的“成本”是它们执行的容易程度和它们为您的整体安全风险概况带来的价值之间的权衡。

考虑 3:您能否在没有上下文的情况下保护移动业务?

扩展上一点,移动应用程序存在许多安全风险:

  • 修改或重新编译的应用程序版本。
  • 您的本机应用程序正在被黑的移动设备上运行。
  • 您的本机应用程序正在被攻击者操纵。
  • 模拟您的本地移动应用程序并使用有效用户和应用程序凭据的自动化脚本或机器人。

仅凭您在 API 请求中看到的内容就可以区分上述四种情况是不可信的。 人们常说,在安全中,上下文就是一切,这种情况就是一个典型的例子。

任何背景行为分析方法都需要考虑一系列 API 请求及其时间,以便得出任何类型的结论。 这需要分析来训练自己,即使应用于实时流量,也存在误报的风险——一些有效行为超出了先前的训练并被拒绝。 此外,当您的平台进行重大升级时,一段时间内的先前培训数据可能会失效,并导致真实客户的中断以及被忽视的恶意活动。

为了确保您只处理在安全移动设备上运行本机应用程序的真实用户的请求,您需要有上下文; 你应该有一个积极的安全方法,基于公开的证据,即请求是它所说的并且来自它所说的来自哪里。

第四个考虑:出于安全原因,您何时需要更新移动应用程序?

反对将软件代理添加到移动应用程序的另一个论点是,您需要在出现新威胁时更新您的手机,或者如果您想修改您的安全策略。 如果您正在寻找的移动解决方案确实如此,那么绝对值得考虑。

但是,如果可以立即对已部署的移动应用程序的安全检测和策略进行微小的修改,那么这种反对移动应用程序中的软件安全代理的论点就会大大减少。

此外,如果用于访问 API 的应用程序机密和用于安装 API 的证书等敏感数据能够及时移交给已部署的应用程序,则反对软件代理的论点开始出现。

让我们看看你的真实成本

当针对具有强大移动组件的以 API 为中心的业务提出“无代理”安全性时,建议的成本考虑集中在必须处理移动应用程序中的附加软件的开发、监控和管理成本上。 当然,与此相关的实际成本,但如果该成本相对较低并且使您能够真正确定传入 API 请求的正确性和正确性,那么它可能是值得的。

试图在纯后台处理移动流量安全的真正成本是处理的成本:

  • 流量介于好与坏之间,您的分析引擎是不确定的,并给您一个分数,迫使您进行更多的自动化分析或更糟糕的人工干预。
  • 从分析引擎产生误报的流量,导致原始内容被拒绝或接受额外安全检查的情况 – 降低客户满意度。

在评估潜在的 API 和移动安全解决方案时,记住所有涉及的成本非常重要。 只看每个解决方案的开发影响是很诱人的,但请记住,您的平台在生产中的时间将比在开发中的时间长得多,您应该考虑您选择的整个生命周期成本。

概括

安全一直是层层保护。 这不是左转(开发安全代码)或右转(安全部署),而是两者兼而有之。 同样对于安全解决方案的成本 – 除了与操作、监控和管理平台相关的成本之外,您还需要考虑所产生的开发成本。

此外,值得记住的是,尽快阻止已部署基础架构中的威胁也非常划算。 毕竟,当您已经可以确定它不是来自真实的、受信任的来源时,为什么您的后端会有流量处理成本呢?

后端 API 流量分析作为工具箱中的一种工具,可以保护您的平台免受您将面临的各种攻击。 但是,与此框中的所有其他工具一样,它并不能解决所有问题。 执行特定任务总是需要专门的工具。 他们经常靠自己实现成本节约,这不仅证明了他们的个人成本是合理的,而且从来没有像现在这样更真实。

如果您有兴趣了解更多信息,或者想了解部署移动安全代理是多么容易,请 要求与我们的一位安全专家会面.

*** 这是博主网络分享的安全博客 aprof 的博客 由大卫斯图尔特撰写。 阅读原文: https://blog.approov.io/the-false-economics-of-agentless-security-for-mobile

#无因素移动安全的虚假经济学

Leave a Comment

Your email address will not be published. Required fields are marked *