无因素移动安全的虚假经济学
编者注:本文最初发表于 2022 年 9 月的 IDG TECH(谈话)。 移动无代理安全是一种承诺保护企业免受攻击的方法,而无需在其移动应用程序中添加任何与安全相关的软件。 在本文中,我们将比较采用这种方法与替代机制相比的优缺点。 “无代理”和“无令牌”安全方法经常被适当地推广以保护以移动为中心的业务,很容易看出为什么这会影响开发团队和 DevOps。 我们都熟悉发布新版本的移动应用程序所需的时间,更重要的是用户在现场更新其应用程序所需的时间,这使公司能够停止过时的移动应用程序版本。 因此,在考虑将新的 SDK 添加到您的移动应用程序时,“我们真的需要这样做吗?”的问题。 肯定会有人要的! 本文将帮助组织以合乎逻辑的方式回答这个问题,因为它并不像您想象的那么容易评估。 让我们看一下要记住的一些主要事项。 考虑 1:所有 API 访问真的平等吗? 有一种说法是,所有 API 访问都可以平等对待,无论它们来自哪里,或者更确切地说,它们声称来自哪里。 尽管相信很方便,但它很少是真的。 首先考虑潜在流量来源的多样性: 有良心的人。 背信弃义的人类。 机器人/真正的脚本。 恶意的机器人/脚本。 为了给出大小的想法, Imperva 2022 机器人 . 报告 它得出的结论是,42.3% 的网络流量是自动化的,而总流量的 27.7% 来自不良机器人。 这意味着上述每个类别都代表了大量的流量。 接下来,考虑 API 流量使用的代理。 可以通过以下任何方式联系后端服务器: 另一个服务器。 网页浏览器。 Web应用程序。 移动应用。 机器人或脚本。 一旦您意识到几乎所有来源和媒介组合都是可能的,并考虑到每种组合都有不同的风险状况,很明显并非所有 Net API 流量都是平等的,并且能够知道它是什么也非常重要充满信心。 …
