阻止恶意攻击者攻击您的移动应用

尽管企业已经增加了对云、网络和 Webapplication保护的投资，但许多企业仍然以对待传统端点（如企业拥有的和 BYOD 的台式机和笔记本电脑）的方式对待移动applications。

然而，移动环境可能会带来独特的挑战，使这些系统面临风险。 例如，攻击者通常会采用以下方法来破坏设备、窃取数据、获取特权访问权限并滥用application：

• 重新包装移动应用程序
• 注入恶意软件
• 劫持挂钩框架
• 执行覆盖攻击

一旦恶意行为者控制了移动应用程序，他们就有可能从移动端application开始，使用自动攻击对服务器端applications发起攻击。 在这里，他们可以执行各种恶意机器人攻击，例如撞库攻击、账户接管、抓取等。

任何安全程序的主要目标都是保护环境免受损害，但这一最终状态通常首先由满足合规性标准的需要所驱动，例如：

• 隐私： GDPR、CCPA
• 付款： EMVCo SBMP、PCI-DSS 和 PSD2
• 健康记录： 健康保险隐私及责任法

鉴于这一现实，Google Cloud 和 F5 的专家齐聚一堂，举办网络研讨会，讨论这些挑战，并为云工程、应用程序开发人员、运营团队和安全专业人员提供前进的道路，共同确保在其 DevSecOps 计划中充分管理移动应用程序的安全。

这里的大局部分是选择正确的基础设施，以支持当今现代、自适应移动应用程序的需求，同时将安全性和隐私无缝扩展到最终用户，而不会影响用户体验。 同样重要的是保护 CI/CD 管道的交付过程免受中断和延迟。

在网络研讨会上，ActualTech Media 的主持人Jess Steinbach向 Google Cloud 战略技术合作伙伴经理Joshua Haslett和 F5 网络安全推广员Peter Zavlaris介绍了几种场景。

商业领导力

仅仅因为一个组织遵守一项或多项法规或标准并不意味着他们的移动应用程序的风险和法律影响就消失。 同样，移动风险状况需要与传统网络应用程序以不同方式看待，但仍需纳入更大的风险图景中。

该小组还讨论了当移动应用程序有可能被不良行为者接管时，企业领导者如何加强帮助确定和计算企业风险的变化。

IT 和安全运营

IT 和安全团队有机会进行合作，以更好地为他们需要对其基础设施所做的某些改变做好准备，从而成功地将移动应用程序安全性集成到他们的开发和交付生命周期中。

当然，目标是在不对工具、交付、团队结构或运营产生重大影响的情况下做到这一点。 该小组讨论了使用低代码技术来部署和配置移动应用程序安全，以及以前的渗透测试或审计的结果如何帮助他们制定包含其移动应用程序的更强大的 AppSec 程序的策略、规划和沟通。

工程和开发人员运营

为了帮助该群体更好地了解他们正在构建的移动应用程序是如何受到攻击的，专家组描述了应用程序重新打包和挂钩攻击的工作原理，并分享了一些关于工程和运营团队如何协调努力以更好地保护他们的应用程序免受这些威胁的实际想法。

值得庆幸的是，小组还介绍了工程团队如何通过清晰的了解和计划解决移动应用程序中的安全风险，在 CI/CD 管道中找到隐藏的好处。 有时，安全不仅仅是减轻风险——在这种情况下，它还可以改善流程和结果。

该小组还讨论了一些现实世界的例子，以帮助证明将移动技术纳入更广泛的 CI/CD 和 DevSecOps 流程的必要性：

• 保持合规性： 这些团队能够满足 GDPR 和 HIPAA 等监管要求，而且对移动应用程序的交付和维护几乎没有影响。
• 简化操作： IT 运营可以更好地处理日益增加的移动威胁，而不会让团队精疲力竭，并利用彼此之间以及与执行领导团队之间的最佳实践进行沟通。
• 应用内威胁防御： DevOps 团队可以持续监控和评估 AppSec 态势，以成功防御运行时针对其应用程序的威胁，并与 SecOps 团队交换关键信息，以实现最佳响应。