Die falsche Ökonomie der agentenlosen Sicherheit für Mobilgeräte

Die falsche Ökonomie der agentenlosen Sicherheit für Mobilgeräte

Spread the love

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich im September 2022 in I veröffentlichtDG TECH (Gespräch).

Agentenlose Sicherheit für Mobilgeräte ist ein Ansatz, der Unternehmen Schutz vor Angriffen verspricht, ohne dass sie sicherheitsrelevante Software zu ihren mobilen Apps hinzufügen müssen. In diesem Artikel werden wir die Vor- und Nachteile dieses Ansatzes im Vergleich zu alternativen Mechanismen betrachten.

„Agentless“- und „No-Code“-Sicherheitsansätze werden allgemein als geeignet für den Schutz mobilzentrierter Unternehmen angepriesen, und es ist leicht einzusehen, warum dies bei Entwicklungs- und DevOps-Teams gleichermaßen Anklang findet. Wir alle kennen die Zeit, die für die Veröffentlichung neuer Versionen mobiler Apps benötigt wird, und, was noch wichtiger ist, wie lange es dauert, bis Benutzer ihre Apps vor Ort aktualisieren, sodass Unternehmen ältere Versionen mobiler Apps ausmustern können. Wenn Sie also überlegen, ob Sie Ihrer mobilen App ein neues SDK hinzufügen möchten, stellt sich die Frage: „Müssen wir das wirklich tun?“ wird sicher von jemandem gefragt!

Dieser Artikel wird Organisationen dabei helfen, diese Frage vernünftig und logisch zu beantworten, da die Bewertung nicht so einfach ist, wie Sie vielleicht denken. Schauen wir uns einige der wichtigsten Dinge an, die es zu beachten gilt.

Überlegung 1: Ist der gesamte API-Verkehr wirklich gleich?

Es gibt ein Argument dafür, dass der gesamte API-Verkehr gleich behandelt werden kann, unabhängig davon, woher er kommt oder besser gesagt, woher er zu kommen behauptet. So bequem dies zu glauben ist, so wahr ist es selten. Betrachten Sie zunächst die Variation der potenziellen Traffic-Quellen:

  • Menschen mit guter Absicht.
  • Menschen mit bösen Absichten.
  • Bots/Skripte mit guter Absicht.
  • Bots/Skripte mit böser Absicht.

Um eine Vorstellung von der Größenordnung zu geben, kommt der Imperva 2022 Bot Report zu dem Schluss, dass 42,3 % des Webverkehrs automatisiert sind und 27,7 % des Gesamtverkehrs von bösartigen Bots stammen. Dies impliziert, dass jede der oben genannten Kategorien eine beträchtliche Menge an Verkehr darstellt.

Betrachten Sie als Nächstes das Medium, das vom API-Datenverkehr verwendet wird. Mit Back-End-Servern kann über Folgendes kommuniziert werden:

  • Ein anderer Server.
  • Ein Webbrowser.
  • Eine Web-App.
  • Hat eine mobile App.
  • Ein Bot oder Skripte.

Sobald Sie erkennen, dass fast alle Quellen- und Medienkombinationen möglich sind, und Sie bedenken, dass jede Kombination ein anderes Risikoprofil hat, wird klar, dass der gesamte Web-API-Verkehr nicht gleich ist, und außerdem ist es äußerst wichtig, sicher wissen zu können, woher und woher API-Anfragen gekommen sind.

Mobilgeräte befinden sich am äußersten Ende des Risikospektrums, da Apps erhebliche Mengen an wertvoller Geschäftslogik enthalten und weil jeder sie herunterladen und so lange studieren kann, wie er möchte. Für Mobilgeräte ist es wichtig zu wissen, dass eine echte App, die in einer sicheren Umgebung ausgeführt wird, API-Anforderungen stellt.

Überlegung 2: Ist das Hinzufügen eines Agenten wirklich so schwierig?

Die meisten Dinge im Leben erfordern Kompromisse und Sicherheit ist nicht anders. Wenn es möglich wäre, die genaue Quelle und das Medium mit 100%iger Sicherheit zu bestimmen, indem Sie einfach jede API-Anfrage in Ihrer unterstützten Umgebung untersuchen, dann würden Sie das natürlich tun.

Eine solche Gewissheit ist jedoch nicht möglich, und das Beste, was man hoffen kann, ist, dass die Mehrheit der betrügerischen Anfragen aufgedeckt wird, diejenigen, die durchkommen, nicht allzu groß sind und dass falsch positive Zahlen (Identifizierung betrügerischer Anfragen, die sich später herausstellen um von echten Benutzern zu sein) wirken sich nicht zu sehr auf Ihr Kundenerlebnis aus.

Wenn es angesichts dieser Unsicherheiten sehr einfach wäre, einen Software-Agenten in Ihre mobile App einzufügen, der Ihrem Backend mit jeder API-Anfrage signalisiert, dass die mobile App vorhanden, unverändert ist, nicht von einem Hacker auf einem kompromittierten Gerät manipuliert wird und kein Bot oder Skript ist, scheint dies ein solider Schritt zu sein, um Sicherheit am Rand zu schaffen.

Es wird viel Wert auf die „Kosten“ des Hinzufügens von Software-Agenten zur mobilen App gelegt, aber die wirklichen „Kosten“ sind der Kompromiss zwischen der Einfachheit und dem Wert, den dies für Ihr gesamtes Sicherheitsrisikoprofil bringt.

Überlegung 3: Können Sie ein mobiles Geschäft ohne Kontext sichern?

Um den vorherigen Punkt zu erweitern, gibt es eine Reihe von Sicherheitsrisiken im Zusammenhang mit mobilen Apps:

  • Geänderte oder neu gepackte Versionen Ihrer App.
  • Ihre Original-App, die auf einem kompromittierten Mobilgerät ausgeführt wird.
  • Ihre echte App wird von einem Angreifer manipuliert.
  • Ein automatisiertes Skript oder Bot, das sich als Ihre echte mobile App ausgibt und gültige Benutzer- und App-Anmeldeinformationen verwendet.

Es ist nicht glaubwürdig, sich vorzustellen, dass Sie zwischen jedem der oben genannten 4 Fälle unterscheiden können, nur anhand dessen, was Sie in einer API-Anfrage alleine sehen. Es wird oft gesagt, dass der Kontext in der Sicherheit alles ist, und diese Situation ist ein Paradebeispiel dafür.

Jeder Backend-Verhaltensanalyseansatz muss sich eine Abfolge von API-Anforderungen und deren Timing ansehen, um zu irgendeiner Schlussfolgerung zu gelangen. Dies erfordert, dass sich die Analyse selbst trainiert, und selbst dann, wenn sie auf Live-Verkehr angewendet wird, besteht die Gefahr von Fehlalarmen – wenn ein gültiges Verhalten außerhalb des vorherigen Trainings liegt und abgelehnt wird. Darüber hinaus können bei erheblichen Upgrades Ihrer Plattform die vorherigen Trainingsdaten für einen bestimmten Zeitraum ungültig werden und dazu führen, dass der Service für echte Kunden unterbrochen wird und schändliche Aktivitäten unbemerkt ablaufen.

Um sicherzustellen, dass Sie nur Anfragen von echten Benutzern verarbeiten, die echte Apps auf sicheren mobilen Geräten ausführen, müssen Sie Kontext haben; Sie müssen einen positiven Sicherheitsansatz haben, der auf einem nicht fälschbaren Beweis basiert, dass die Anfrage das ist, was sie sagt, und von dort kommt, wo sie herkommt.

Überlegung 4: Wann müssen Sie Ihre mobile App aus Sicherheitsgründen aktualisieren?

Ein weiteres Argument gegen das Hinzufügen eines Software-Agenten zu einer mobilen App ist, dass Sie Ihr Handy aktualisieren müssen, wenn neue Bedrohungen auftauchen, oder Sie Ihre Sicherheitsrichtlinie anpassen möchten. Wenn dies für mobile Lösungen gilt, die Sie sich ansehen, sollten Sie dies sicherlich in Betracht ziehen.

Wenn jedoch geringfügige Anpassungen an Sicherheitserkennungen und -richtlinien sofort drahtlos an bereitgestellte mobile Apps übermittelt werden können, wird dieses Argument gegen Software-Sicherheitsagenten in mobilen Apps erheblich verringert.

Wenn sensible Daten wie App-Geheimnisse für den API-Zugriff und Zertifikate für das API-Pinning just-in-time an bereitgestellte Apps geliefert werden können, sieht das Argument gegen Software-Agenten schwach aus.

Sehen wir uns Ihre tatsächlichen Kosten an

Wenn „agentenlose“ Sicherheit für API-zentrierte Unternehmen mit einem starken mobilen Element vorgeschlagen wird, konzentriert sich die vorgeschlagene Kostenüberlegung auf die Entwicklungs-, Überwachungs- und Verwaltungskosten für den Umgang mit zusätzlicher Software in Ihren mobilen Apps. Das ist natürlich mit echten Kosten verbunden, aber wenn diese Kosten relativ niedrig sind und Sie echte Gewissheit über die Richtigkeit und Authentizität Ihrer eingehenden API-Anfragen haben, lohnt es sich wahrscheinlich.

Die wahren Kosten für den Versuch, die Sicherheit des mobilen Datenverkehrs nur am Backend zu bewältigen, sind die Kosten für den Umgang mit:

  • Datenverkehr, der sich zwischen Gut und Böse bewegt, bei dem Ihre Analyse-Engine sich nicht sicher ist und Ihnen eine Punktzahl gibt, die Sie dazu zwingt, weitere automatisierte Analysen oder, schlimmer noch, menschliche Eingriffe durchzuführen.
  • Datenverkehr, der ein falsch positives Ergebnis Ihrer Analyse-Engine erzeugt, was zu Situationen führt, in denen Originale abgelehnt oder weiteren Sicherheitsprüfungen unterzogen werden, was die Kundenzufriedenheit verringert.

Es ist sehr wichtig, dass Sie bei der Bewertung potenzieller Sicherheitslösungen für API- und Mobilgeräteschutz alle damit verbundenen Kosten berücksichtigen. Es ist verlockend, nur die Entwicklungsimplikationen jeder Lösung zu betrachten, aber denken Sie daran, dass Ihre Plattform viel länger in Produktion sein wird als in der Entwicklung, und Sie müssen die gesamten Lebenszykluskosten Ihrer Entscheidungen berücksichtigen.

Zusammenfassung

Bei Sicherheit ging es schon immer um Schutzebenen. Es ging nie um Shift Left (sichere Codeentwicklung) oder Shield Right (sichere Bereitstellung), sondern um eine Mischung aus beidem. Ähnliches gilt für die Kostenauswirkungen von Sicherheitslösungen – Sie müssen die anfallenden Entwicklungskosten sowie die Kosten für den Betrieb, die Überwachung und die Verwaltung Ihrer Plattform durchdenken.

Darüber hinaus sollten Sie daran denken, dass es auch sehr kostengünstig ist, Bedrohungen in Ihrer bereitgestellten Infrastruktur so früh wie möglich zu stoppen. Warum sollten Sie schließlich die Kosten für die Verarbeitung des Datenverkehrs in Ihrem Backend haben, wenn Sie bereits am Rand erkennen können, dass er nicht von einer echten und vertrauenswürdigen Quelle stammt?

Es gibt einen Platz für die Backend-API-Verkehrsanalyse als ein Tool in Ihrer Toolbox, um Ihre Plattform vor den vielen und unterschiedlichen Angriffen zu schützen, denen sie ausgesetzt sein wird. Aber es löst, wie jedes andere Tool in dieser Box, nicht jedes Problem. Spezialisierte Werkzeuge wurden schon immer für bestimmte Aufgaben benötigt. Sie bringen oft allein Kosteneinsparungen, die ihre individuellen Kosten mehr als rechtfertigen, und das war noch nie so wahr wie jetzt.

Wenn Sie mehr wissen möchten oder wissen möchten, wie einfach die Bereitstellung eines mobilen Sicherheitsagenten sein kann, fordern Sie bitte ein Treffen mit einem unserer Sicherheitsexperten an.

*** Dies ist ein syndizierter Blog des Security Bloggers Network von Approov Blog, der von David Stewart verfasst wurde. Lesen Sie den Originalbeitrag unter: https://blog.approov.io/the-false-economics-of-agentless-security-for-mobile

Leave a Comment

Your email address will not be published.