امن سازی برنامه موبایل

۶ راهکار برای امن سازی برنامه موبایل

۶ راهکار برای امن سازی برنامه موبایل

۶ راهکار برای امن سازی برنامه موبایل

گوشی ها به ما اجازه می دهند خیلی از کار ها را به صورت آنلاین انجام دهیم.. میتوانیم کار های بانکی را انجام دهیم ، وزن خود و ساعات فعالیت ورزشی را دنبال کنیم، وسایل خونه خود را کنترل کنیم در اینترنت چیز هایی که میخواهیم پبدا کنیم ، خرید کنیم ، بفروشیم یا حتی کار های شرکت را در خانه مان انجام دهیم.در این موارد امن سازی برنامه موبایل شما اهمیت بالایی دارد.برنامه هایی به API ها و سرور ها وصل می شوند تا داده ها ، سرویس ها را ارائه دهند .

همه توضیحات بالا در صورتی اجرا می شود که امن سازی برنامه موبایل انجام گیرد  و اگر از لحاظ امنیتی امن نباشد، برنامه های خود، سیستم های خود، اطلاعات مشتریان و حتی شهرت خود  را به خطر می اندازید. چون دزد های دیجیتال و هکر ها منتظر فرصتی برای سوء استفاده هستند .

برنامه ها و گوشی ها یک هدف بسیار بزرگ برای هکر ها و کرکر ها هستند “در صورتی که امن سازی برنامه موبایل می تواند از این موضوع جلو گیری کند” .

گزارش سال ۲۰۱۶ ارکسان در خصوص امن سازی برنامه موبایل:

Arxan Technology’s 2016 State of App Security گزارش کرده است ۲۰% برنامه های تست شده خطرات عمده امنیتی OWASP  را دارا بودند .

کلمه OWASP مخفف شده Open Web Application Security Protocol Project است و یک متدولوژی یا بهتر بگوییم یک پروژه غیر دولتی است که در آن به شما به عنوان یک کارشناس برنامه نویس تحت وب ، معیارهایی که بایستی برای امن تر شدن نرم افزار خود بکار ببرید صورتی که تشریح شده است.

OWASP یک متدولوژی است ، یعنی راهکار را به ما نشان می دهد ، این متدولوژی منحصر به شرکت یا فرد یا سازمان خاصی نبوده و نیست و یک پروژه کاملا متن باز (Open Source ) است که هر کسی در هر جای دنیا می تواند به آن بپیوندد و در آن شرکت کند

ارکسان همچنین گزارش داده حدود ۵۰% شرکت ها هیچ هزینه ای نسبت به امن سازی برنامه موبایل نکرده اند .

رتبه بندی گارتنر برای برنامه های تست امنیت اپلیکیشن موبایل
امن سازی برنامه های موبایل رتبه بندی گارتنر برای برنامه های تست امنیت اپلیکیشن

هکر هایی که هدف تخریب و تغییر منابع در برنامه های موبایلی دارند می توانند :

  • هکر ها بد افزار ها را درون کد برنامه و درون دستگاه میزبان قرار می دهد تا به داده های میزبان دسترسی پیدا کنند و  از طریق اطلاعات بدست آمده رمز و پسورد های مورد نیاز را جمع اوری می کنند.
  • در کد برنامه شما دخالت می کنند یا کپی می کنند و با مهندسی معکوس برنامه مخرب حاوی بد افزار را قرار میدهد  .
  • اطلاعات مهم را که  از طریق امواج رادیویی در حال انتقال است رهگیری و یا قطع می کنند.
  • دزدیدن اطلاعات مشتریان برای دزدن هویت یا اهداف کلاهبرداری .
  • صاحب شدن دارایی های تجاری خصوصی .
  • دسترسی به IPشما را و شبکه back-end  شما به خطر می افتد .

برنامه های موبایل و APIها امکان این را دارند تا سیستم ها و داده ها را آسیب پذیر کنند.

در صورتی  این اتفاق می افتد که استاندارد های امن سازی برنامه موبایل اجرا نشود.

مشتریان انتظار دارند تا برنامه ها امن باشند ، و می توان این اعتماد را به راحتی از بین برد .برای برنامه هایی که با مقدار زیادی داده کار می کنند یا برنامه های مالی و مراقبت های بهداشتی نقش پر رنگ تری دارند.

چه کار هایی برای امن سازی برنامه موبایل باید انجام داد ؟

اگر شما برنامه ای در حال ساخت دارید یا در مارکت موجود است ، احتمالا شما به اینکه چطور برنامه خود ، داده های خود و داده های مشتریانتان را امن کنید فکر نمی کنید.

در این قسمت چند تا راه کار برای امن سازی برنامه شما وجود دارد که توسط متخصصین تعریف شده.

امن سازی برنامه های موبایل
آیا نباید بیشتر حواستان به امنیت موبایل هایتان باشد؟

     ۱-کد برنامه خود را از پایه امن سازی کنید .

مانند هر پروژه نرم افزاری ، امن سازی برنامه موبایل باید جزو اولویت های اول باشد. هر چند نرم افزار های خود گوشی با نرم افزار های وب فرق دارند ، در حالتی که داده و نرم افزار به طور امن بر روی سرور قرار دارد و مرورگر فقط یک راه ارتباطی است.

اما برنامه های native وقتی دانلود می شوند کد ها درون دستگاه سیو می شود.این کار باعث می شود در دسترس تر باشد، برای کسانی که هدفشان تخریب و دست کاری است.تعداد زیادی آسیب و ضعف در کد های یک برنامه میتوان یافت ،اما اینجا جایی نیست که شرکت ها تمرکز امنیتی خود را قرار می دهند.

اجزای شبکه و داده های امنیتی قسمت بسیار مهمی در بحث امنیت هستند. اما امن سازی برنامه موبایل باید با خود برنامه شروع شود.آسیب ها می توانند توسط خطای مهندس ، عدم تست کد و شکست خوردن در تست آن ، یا برنامه شما توسط  یک هکر هدف قرار بگیرد.

نکاتی اساسی برای امن سازی برنامه موبایل:

  • کد خود را رمزگذاری کنید. کد شما باد یک راز باشد! و خیلی سخت خوانده شود. مدرن باشید! یک الگوریتم خوب و APIرمزگذاری میتواند کمک کند.
  • کد خود را برای آسیب پذیری ها چک کنید ،منبه کد را سکن کنید.
  • برنامه شما باید به روزرسانی شود و پچ شود . مهندسی کردن کد برای سرعت بالا مهم است !
  • حواستان به چیز هایی مانند اندازه فایل ، زمان بالا آمدن ، کارایی و مصرف داده و باطری باشد . درست است شما میخواهید برنامه تان را امن کنید اما نباید کارایی را پایین بیارید یا مصرف را بالا ببرید

     ۲-اتصال شبکه خود را در back-end امن کنید.

سرور ها و سرور های کلود که به API های برنامه ها دسترسی دارند باید امنیت داشته باشند تا از داده ها محافظت کنیم و از دسترسی غیر مجاز جلوگیری کنیم.

API ها و کسانی که دسترسی بهشون داده می شود باید تایید بشوند تا از استراق سمع جلوگیری شود.

نکات:

  • Containerization یک روش رمزگذاری است که از اطلاعات و اسناد محافظت میکند.
  • با متخصص امنیت مشاوره داشته باشید تا تست نفوذ و آسیب پذیری های شما را در بیارد تا شما از داده های درست با روشی درست محافظت می کنید.

     ۳-شناسایی، تأییدیه، و اقدامات مجوز گیری را در جای خود قرار دهید

تکنولوژی شناسایی و  تایید به کاربران کمک می کند تا خود را به برنامه معرفی کنند و این کار امنیت برنامه موبایلی شما را بالا تر می رود.

نکات:

  • OAuth2 یک پروتوکل پر کاربرد و معروفی است که اتصالات را امن می کند. این پروتوکل هر بار که کاربر بخواهد وارد برنامه شود از یک کد که همان موقع به وجود آمده (و بعد از استفاده آن کد غیر قابل استفاده می شود) . مانند سوالات ۲مرحله ای SMS.
  • JSON داده ها را رمزنگاری میکند . این روش مناسب گوشی های همراه است به دلیل سبک بودن رمزنگاری و امنیت خوب.
گزارش سال 2017 شرکت DevOps
طبق گزارش Devops نیمی از توسعه دهندگان اپلیکیشن معتقدند وقت کافی برای امن سازی برنامه هایشان را ندارند

     ۴-نرم افزار خود را تست کنید!!تست کنید!!!تست کنید!!!!

تست کردن برنامه برای توسعه آن یکی از مهم ترین کار هایی است که انجام می شود.

برنامه ها به سرعت در حال انتشار هستند ، چه چیزی مهم است تا شما در مارکت جایگاه دلخواه را کسب کنید.

وقتی شما دارید برنامه را تست می کنید که ببینید کارایی آن چطور است ، متخصصین توصیه می کنند که از لحاظ امنیتی هم آنرا تست کنید.

با این کار شما میتوانید ضعف ها و آسیب پذیری ها را در بیارید و سپس قبل از عرضه آن ها را درست می کنیم و بعد آن را منتشر می کنیم.

     ۵-کاربران:از دستگاه های خود محافظت کنید

سازندگان برنامه ها نمی توانند شما را از لحاظ امنیتی مطمئن کنند اما در قسمت پایین چند نکته برای جلوگیری از  دزدی هویت ، مشکلات امنیتی و … .

نکات:

  • از دستگاه های روت شده با جیل برک استفاده نکنید. این کار باعث می شود امنیت درون ساخت خود دستگاه حذف شود و آسیب پذیری آن بالا می رود.
  • برنامه ها را فقط از منابع قابل اعتماد دانلود کنید ، مانند آپ ستور های قابل اعتماد.

نکات:

  • تست نفوذ ضعف های برنامه را مشخص میکند و با رفع آن ها ، امنیت برنامه را میتوانیم افزایش دهیم.
  • شبیه ساز ها برای دستگاه ها و سیستم عامل ها و موتور های جست و جو به شما این اجازه را می دهند تا آن ها را در فضای شبیه ساز شده تست کنید.

     ۶-اگر شما شرکتی دارید که کارمندان شما دستگاه های شخصی خود را می اورند ، شما باید بیشتر مراقب باشید.

شرکت هایی که به کارمندان خود اجازه می دهند دستگاه های خود را بیاورند  خود می تواند یک نوع خطر ایجاد کند. Mobile device management  ها بیش تر مواقع ارزش سرمایه گذاری را دارند مثل

Air watch Mobile Iron

 

نکات:

  • از VPN استفاده کنید تا اتصال امن را برقرار کند  و احتمال آسیب پذیری را کمتر کنید.
  • دسترسی به دستگاه هایی که ناشناس هستند و تعریف نشده اند، ندهید. دستگاه هایی که امن هستند را با دیواره آتش ، ویروس کش مجهز کنید.
  • دستگاه خود را مجهز به سیستمی کنید که از خطر های احتمالی مطلع شود و از انها جلوگیری کند. درون برنامه ها میتوان کد هایی نوشت  تا از تغییرات نا خواسته وخطرناک جلوگیری کند .

و حتی میتوان دستگاه را مجهز به سیستمی کنید که اگر دستگاهی دزدیده یا گم شد داده ها و فایل های مهم را پاک کند .

 

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *