據(jù)國(guó)外媒體報(bào)道，市場(chǎng)研究公司Gartner預(yù)計(jì)，明年75%的移動(dòng)應(yīng)用將無(wú)法通過(guò)最基本的安全測(cè)試。

Gartner近日表示，到2015年，大多數(shù)移動(dòng)應(yīng)用——無(wú)論是屬于Android、iOS還是Windows Phone生態(tài)系統(tǒng)——將仍然不具備基本的、可被企業(yè)接受的安全協(xié)議。

當(dāng)越來(lái)越多的員工選擇“自帶設(shè)備辦公”(BYOD)時(shí)，這為企業(yè)帶來(lái)了一個(gè)嚴(yán)重的問(wèn)題。員工是否應(yīng)該下載那些應(yīng)用呢?這些應(yīng)用沒(méi)有部署基本的安全協(xié)議，但可以訪問(wèn)企業(yè)的服務(wù)器或執(zhí)行某些業(yè)務(wù)功能。Gartner表示，如果出現(xiàn)這樣的情況，不僅可能讓企業(yè)的安全規(guī)定受到侵犯，也可能讓企業(yè)敏感的數(shù)據(jù)和網(wǎng)絡(luò)變得更易于受到攻擊。

Gartner首席研究分析師迪奧尼西奧•蘇墨勒(Dionisio Zumerle )在一份研究報(bào)告中表示：那些采用移動(dòng)計(jì)算和BYOD策略的企業(yè)正面臨安全威脅，除非他們同時(shí)采用移動(dòng)應(yīng)用安全測(cè)試和風(fēng)險(xiǎn)保障的方法和技術(shù)。大多數(shù)企業(yè)都缺乏移動(dòng)應(yīng)用安全方面的經(jīng)驗(yàn)，即使開展了應(yīng)用安全測(cè)試，也通常由開發(fā)商完成——后者更關(guān)心的是應(yīng)用的功能，而不是它們的安全性。”

蘇墨勒指出，現(xiàn)有的靜態(tài)應(yīng)用安全測(cè)試(SAST)和動(dòng)態(tài)應(yīng)用安全測(cè)試(DAST)供應(yīng)商將需要對(duì)他們的測(cè)試方法進(jìn)行修改和調(diào)整，以滿足移動(dòng)通信技術(shù)的需求。過(guò)去10年來(lái)，SAST和DAST這兩種測(cè)試方法一直在使用，但移動(dòng)應(yīng)用是一個(gè)新的挑戰(zhàn)，原因是其多樣性和對(duì)不斷發(fā)展的移動(dòng)操作系統(tǒng)的依賴性。

他認(rèn)為，除了SAST和DAST這兩種測(cè)試方法，面向移動(dòng)設(shè)備、基于行為分析的新型測(cè)試方法正在涌現(xiàn)。這些測(cè)試方法可以監(jiān)控圖形用戶界面，并運(yùn)行后臺(tái)應(yīng)用以檢測(cè)惡意或危險(xiǎn)行為。例如，如果一款音樂(lè)播放器應(yīng)用，可以訪問(wèn)用戶的聯(lián)系人列表或地理位置，則它可能是危險(xiǎn)的。

不過(guò)，這些措施不一定足夠——企業(yè)用戶還應(yīng)該確保其與移動(dòng)設(shè)備通信的服務(wù)器處于不斷測(cè)試和被保護(hù)的狀態(tài)。

蘇墨勒指出：“今天，90%以上的企業(yè)實(shí)施其移動(dòng)BYOD策略時(shí)采用了第三方商業(yè)應(yīng)用，而這應(yīng)該成為當(dāng)前應(yīng)用安全測(cè)試大展手腳的領(lǐng)域。應(yīng)用程序商店充斥了各種應(yīng)用，大部分證明其有效性并不是吹噓的，但企業(yè)和個(gè)人在使用時(shí)應(yīng)該注意它們的安全性，應(yīng)該下載并使用那些已成功應(yīng)用安全測(cè)試的應(yīng)用，而這些測(cè)試應(yīng)由專業(yè)的應(yīng)用安全測(cè)試服務(wù)提供商實(shí)施。”

Gartner預(yù)測(cè)，到2017年，“終端漏洞”將集中于智能手機(jī)和平板電腦上，“目前移動(dòng)設(shè)備提供的安全功能并不足以讓漏洞保持在最低程度。”此外，該研究公司建議，為了更好地保護(hù)數(shù)據(jù)，企業(yè)應(yīng)使用應(yīng)用套件—— 如軟件開發(fā)工具包(SDK)等。

Gartner還預(yù)測(cè)，到2017年，75%的移動(dòng)安全漏洞將是移動(dòng)應(yīng)用錯(cuò)誤配置的結(jié)果，如誤用個(gè)人云存儲(chǔ)同步企業(yè)數(shù)據(jù)。