在設備上使用第三方應用程序
在智能手機、平板電腦、筆記本電腦和臺式電腦上評估、分發和使用第三方應用程序的建議
所有現代智能手機和許多其他設備都支持第三方應用程序。大多數還提供一個在線市場來安裝它們。允許用戶和設備訪問廣泛的應用程序具有明顯的優勢。但是,重要的是要考慮這些應用程序對設備和數據的風險。
本指南將幫助風險所有者和管理員為使用第三方應用程序創建組織策略,從而最大限度地降低風險,同時不限制效用。
為什么要保護第三方應用程序?
第三方軟件定期安裝在設備上,通常能夠讀取和/或修改該設備上的部分或全部用戶數據。
在某些情況下,應用程序也可以訪問您組織的數據。一旦第三方應用程序有機會訪問數據,就很難確切知道對這些數據做了什么。一些應用程序將有助于將您的本地數據同步到云服務,一些可能以不安全的方式處理它,而其他應用程序可能會在應用程序中使用第三方庫,這些庫有自己的安全風險。
通過制定概述允許的應用程序類型的組織策略,您將能夠更有效地管理與運行第三方代碼相關的風險。
準備第三方應用程序
組織自然會希望利用第三方應用程序提供的生產力優勢,因此您需要制定策略來平衡業務需求與信息風險。
我們建議分兩步思考這個問題:
1
最大限度地減少設備上出現惡意或不安全應用程序的可能性
2
最大限度地減少任何惡意或不安全的應用程序的影響
圖片
1. 減少使用惡意或不安全應用程序的可能性
理想情況下,將完全阻止惡意和不安全的代碼到達設備。在實踐中很難100% 確定,但可以采取多種措施。
允許列表和拒絕列表
針對惡意應用程序的主要防御措施之一是防止已知惡意應用程序在設備上執行。
大多數平臺使能夠強制執行哪些應用程序可以運行,但這可能涉及管理負擔,因為它需要手動批準哪些應用程序可以運行。也就是說,這是一種防止惡意代碼運行的高效策略,并且非常值得付出代價。
在具有應用程序市場的平臺上,將能夠配置設備,使其不會運行來自任何其他來源的應用程序。然后,您可以應用策略以僅允許安裝和運行已批準的應用程序,即所謂的允許列表。相反,您可以指定明確禁止的應用程序的拒絕列表。
允許列表是比拒絕列表更好的策略。它們可以在一個輕量級的審批流程中與軟件許可和采購活動結合起來。大多數平臺上的允許/拒絕列表可以使用移動設備管理進行配置。
在某些平臺上,應用程序可以通過各種機制交付,而不僅僅是官方市場。在這些情況下,可能需要手動配置受信任的代碼簽名者,或允許特定的應用程序哈希。例如,在Windows 10 上,可能希望結合使用App Locker和Windows Defender 應用程序控制,以確保只有您信任的應用程序才能運行。通常,您可以在“報告”模式,這實際上并不會阻止任何應用程序運行這些功能,但將有助于匯報的是目前在整個組織中使用和應用的范圍,你采用功能將被阻止,如果你以“強制”模式運行功能。
正式評估和保證
對第三方應用程序的安全性充滿信心的一種方法是對應用程序進行正式評估或利用現有的第三方評估。然而,這些可能是昂貴的、短暫的,并且可能無法為提供所需的保證。
許多組織提供應用程序評估數據庫,有時包括“風險評分”,可以使用它來告知政策。
還可以使用:
通用標準評估
商業產品保證評估產品報告
可以使用NIST 方法之類的方法執行內部評估,或者將評估外包給可能采用類似方法的第三方。
如果策略在批準新版本之前依賴于對應用程序的最新評估,則需要考慮如何處理應用程序中的安全漏洞以及如何快速采用新版本。
聲譽評估
正式評估通常昂貴、緩慢,而且收益有限。評估應用程序風險的一種經濟高效的方法是對應用程序背后的開發人員進行風險評估。通過了解開發人員的安全成熟度,包括歷史安全漏洞,可以估計將受到未來安全漏洞影響的可能性。
最終,應該致力于了解開發人員安全性的三個方面:
1應用程序或開發人員是惡意的可能性與從未聽說過的開發人員的應用程序相比,來自大型知名開發人員的應用程序不太可能是惡意的。
2涉及該開發人員或應用程序的安全漏洞的可能性使用來自具有良好記錄的開發人員的成熟、流行的應用程序將最大限度地降低應用程序易受攻擊的風險。
3妥協會產生什么影響應該盡量減少允許應用程序訪問的敏感數據量。還可以考慮哪些其他類型的組織正在使用該應用程序,以便在該應用程序遭到破壞時,數據只是更大數據集的一小部分。
應用商店檢查
大多數應用程序商店在添加和更新應用程序時都會檢查它們是否是惡意的。通過從這樣的商店獲取您的應用程序,您可以降低應用程序是惡意的風險。但是,這不是保證。大多數商店都在某個時候托管了惡意軟件,您應該采取額外的措施來進一步降低風險。
您應該考慮應用程序商店檢查要查找的內容。大多數檢查都是針對徹頭徹尾的惡意行為,例如短信欺詐。某些行為(例如將私有數據同步到云服務)可能在商店政策下允許,但在您的企業政策下不允許。閱讀應用程序的隱私政策可能會幫助您做出決定。這些通常也可以從分發應用程序的應用程序商店中獲得。
安全應用
在可以從應用程序商店外部安裝應用程序的平臺上,您可能需要考慮使用 安全應用程序或防病毒軟件 來降低執行惡意代碼的風險。但是,這種方法只會降低風險,并不能完全消除風險。
支持和安全更新
在您的設備上使用第三方應用程序時,您應該定期更新它們以確保包含最新的安全修復程序。有關 這方面的進一步建議,請參閱 使您的設備和應用程序保持最新狀態。
2. 減少使用惡意或不安全應用程序的影響
如果發現使用的應用程序是惡意的或不安全的,方法的第二部分應該減少妥協的影響。
將工作和個人應用拆分到不同的空間
大多數平臺都為組織提供了一種配置容器或工作配置文件的方法,以將個人應用程序和工作數據分開。
雖然這些空間并非不可滲透,但它們降低了任意第三方應用程序可以訪問并可能危及敏感工作數據的風險。如果您對這種分離提供的安全級別感到滿意,您組織的第三方應用程序策略可以更加自由。
這些空間通常是平臺自帶設備 (BYOD) 功能的一部分。如果您正在考慮這種方法,您應該閱讀我們關于 BYOD的指南。
將有風險的應用程序限制為僅適用于需要它們的個人的政策
許多移動設備管理產品允許您準確決定允許哪些用戶安裝和使用應用程序。
如果您認為有風險的應用程序,但某些用戶對它們有強烈的業務需求,您可以考慮只允許這些用戶訪問。
例如,如果您想讓您的社交媒體團隊使用將聯系人列表同步到云的應用程序,您可能只想為社交媒體團隊啟用這些應用程序,并設置一些程序控制來限制這些用戶的內容‘ 聯系人列表。
限制訪問第三方應用程序的網絡架構
使用第三方應用程序時,某些網絡架構可能會變得更加危險。
例如,如果您的設備具有對核心網絡的設備范圍的 VPN 訪問權限,那么所有第三方應用程序也將能夠訪問該核心網絡。如果該網絡上存在任何未受保護的數據,則這些應用程序可能能夠訪問該數據。
如果您在網絡設計中采用了零信任方法,這需要對每個連接進行身份驗證,那么您的系統將更能抵御此類攻擊。
高權限應用
某些應用程序,例如安全產品和管理服務,將以更高的權限運行。這些應用程序對您的數據構成更高的風險,因為它們可能具有更廣泛的訪問權限,或者受到較少控制以限制入侵的影響。您應該更仔細地考慮這些應用程序的安全性。
如何管理第三方應用程序
為了幫助您在組織的設備上使用第三方應用程序,您應該:
與利益相關者就可接受的風險水平達成一致
首先,您應該與主要利益相關者就您的組織可接受的風險水平達成一致。例如:
哪些應用行為將被禁止或存在高風險(例如訪問與您的全球地址列表同步的設備上的聯系人)?
您將如何評估供應商的信譽?
應用程序是否可能難以遵守任何有關審核存儲數據的規定(例如信息自由請求)?
制定申請審批流程
您可以制定一個流程,根據您同意的可接受風險級別評估應用程序(請參閱上一點)。
您應該根據用戶生產力需求平衡您的評估:
該流程應根據需要包括來自采購、法律、安全、IT 管理員和用戶代表的人員。
將此流程集成到您的標準軟件資產管理例程中并并行運行評估。
使流程快速、輕量且響應迅速,以確保用戶感覺流程得到了良好的服務。
您可以使用第三方評估來幫助您做出決定,但不要完全依賴它們。
決定您將如何處理軟件更新。大多數流行的移動應用程序每月至少更新一次,您應該能夠處理這個問題。
定期重新審查您已批準的應用程序,以防情況發生變化。
您應該能夠將大多數常規業務應用程序批準到您的應用程序目錄中供任何人使用。
對于您認為有風險的應用程序,您可能希望只允許有強烈業務需求的用戶安裝它們。
作為安全審查的一部分,請查看涉及應用程序或開發人員的歷史安全事件,以及您認為相關的任何其他來源。
使用架構方法來限制風險
如果用戶對應用程序的要求可能存在不可接受的風險級別,則可能存在可以降低風險級別的架構方法:
某些平臺可能提供企業管理第三方應用程序可以使用 MDM請求哪些權限的能力。您可以使用這些功能來防止有風險的應用訪問工作數據。
如果平臺支持,我們建議不要讓用戶安裝來自精選應用商店之外的任意軟件。請遵循我們特定于平臺的指南,以獲取有關如何實現此目標的建議。企業應用程序目錄通常為平臺提供安全性和靈活性的良好平衡。
除非第三方應用正在執行與工作相關的功能,否則不允許第三方應用訪問工作數據。這可以通過使用企業所有、個人啟用 (COPE)方法或自帶設備 (BYOD)方法來實現。在這兩種情況下,您都可以讓用戶在受信任的工作空間之外安裝風險較高的應用程序,從而禁止這些應用程序訪問工作數據。
某些平臺可能會提供額外的日志記錄功能,使您能夠采取信任和驗證的方法。
如果使用容器,理想的方法是將個人容器作為工作配置文件的一部分(例如,具有 Android Enterprise 工作配置文件配置的完全托管設備),而不是在個人設備上擁有工作容器,反之亦然通常更簡單。作為妥協(例如,對于需要管理員權限的開發人員),您可以擁有單獨的虛擬機供個人使用或風險較高的行為。
