PonemonInstitute的最新调查提供了一些可量化的数字来说明许多信息安全专业人士已经意识到的一个趋势:企业没有在移动应用程序安全上投入足够的资金。《移动应用不安全状况》报告(由IBMSecurity赞助)显示,在平均3400万美元的移动应用程序开发支出中,只有6%(即200万美元)用于安全目的。也许更令人沮丧的是,调查发现,在接受调查的400家企业中,50%的企业表示他们的移动应用程序开发预算中没有安全预算,而40%的企业表示他们的移动应用程序中没有漏洞扫描器。根据IBMSecurity的说法,这些数据揭示了开发自己的移动应用程序的公司及其客户的令人不安的趋势。IBMSecurity移动管理副总裁JimSzafranski表示:“对于扫描移动应用程序漏洞的60%的企业来说,只要他们没有发现问题,客户可能就没事了,但现实是“他们正在寻找漏洞——几乎是三分之一。因此,那些不扫描漏洞的40%的企业面临风险,他们可能正在发布包含漏洞的移动应用程序。”Szafranski说,这项研究没有解决公司是否在发现漏洞后修复漏洞的问题。“我猜他们会修复漏洞,但这纯粹是猜测,”他说。根据Ponemon的调查,对移动设备的威胁不一定是已知的恶意软件被放入这些新兴应用程序中。调查显示,各种软件漏洞在移动应用程序中普遍存在,例如SSL库中的Heartbleed。“这里的一个很大的问题是构建这些移动应用程序的成熟度Szafranski说,“如果这些漏洞被利用,您会将这些设备上的业务数据和客户数据置于危险之中。”近年来,企业对移动应用程序的使用呈指数级增长。然而,事故应用开发中缺乏安全关注而导致的移动电商诈骗等问题也给企业造成了巨大损失。、改进、推出、改进周期发生在六个月内,而不是两年。”调查显示,77%的受访用户认为他们总是“急于发布应用程序”。这至少部分解释了73%的受访者表示他们缺乏对安全编码实践的培训和理解。此外,82%的受访者认为,尽管缺乏对安全应用程序开发的投资,但移动应用程序的使用会给他们的公司带来风险。根据这项研究,IBMSecurity断言,如果公司想减少他们的安全责任,就应该控制员工对移动应用程序的使用。但这种控制现实吗?“这是一个很好的问题,因为移动性非常个人化,在很多情况下,技术的消费化会让你的用户领先于你,”Szafranski说,“但肯定有办法提高可见性和对移动使用的控制。”即使有适当的BYOD和移动设备管理策略来防止不安全的网络或从不受信任的来源下载不安全的应用程序,合法授权的应用程序可能会给用户带来风险,因为这些应用程序可能包含隐藏但可利用的漏洞。因此,企业应投入更多资源来保护安全移动应用程序开发。
