• (+84) 939 586 168
  • info@unitas.vn
  • (+84) 939 586 168
  • info@unitas.vn
  • Bài viết
  • 8 cách ứng dụng di động gây nguy hiểm cho doanh nghiệp của bạn: Làm thế nào để đối phó với các mối đe dọa
January 10, 2025

8 cách ứng dụng di động gây nguy hiểm cho doanh nghiệp của bạn: Làm thế nào để đối phó với các mối đe dọa

Liệu có thực sự khác biệt giữa việc các công ty thu thập dữ liệu thông qua ứng dụng di động và việc tội phạm mạng đánh cắp chúng, hay ranh giới này đã trở nên quá mờ nhạt?

Đối với tội phạm mạng, dữ liệu nhạy cảm là cánh cửa dẫn đến lợi nhuận và quyền lực, bất kể nguồn gốc của nó. Chúng xâm nhập ứng dụng di động để bán thông tin bị đánh cắp, thực hiện hành vi đánh cắp danh tính hoặc sử dụng dữ liệu đó để phát động các cuộc tấn công lớn hơn. Còn đối với các công ty, dữ liệu là cơ hội—cung cấp những thông tin có giá trị thúc đẩy việc ra quyết định, tạo ra trải nghiệm cá nhân hóa và hỗ trợ tiếp thị nhắm mục tiêu trên thiết bị di động.

Hiện nay, các ứng dụng di động và dữ liệu chúng thu thập được săn đón bởi nhiều nhóm đối tượng—từ doanh nghiệp tối ưu hóa quảng cáo, tội phạm mạng khai thác lỗ hổng bảo mật, đến các tổ chức quốc gia nhắm mục tiêu vào đối thủ. Mặc dù mục tiêu khác nhau, các ứng dụng di động đều có một điểm chung là rủi ro đối với bảo mật dữ liệu và quyền riêng tư.

Thực tế, đây là điều mà nhiều cá nhân và doanh nghiệp chưa sẵn sàng đối mặt. Chẳng hạn, mặc dù việc tuân thủ quy định và đào tạo an ninh mạng đã trở nên phổ biến, nhưng các chương trình hiện tại thường hiếm khi tập trung vào thiết bị và ứng dụng di động, cũng như không cung cấp các chiến lược và biện pháp thực tế để bảo mật chúng.

Quokka làm việc với một số doanh nghiệp và cơ quan chính phủ lớn nhất trên thế giới. Thông qua các giải pháp và dịch vụ của mình, Quokka đã thu thập được lượng lớn thông tin về các loại ứng dụng rủi ro thường xuất hiện trên thiết bị của người dùng. Quokka đã quét hàng triệu ứng dụng và phát hiện hàng trăm nghìn lỗ hổng bảo mật và quyền riêng tư. Điều này mang đến một góc nhìn độc nhất để đánh giá các mối đe dọa trong hệ sinh thái di động.

8 loại ứng dụng di động rủi ro

Dưới đây là tám loại ứng dụng di động rủi ro phổ biến nhất mà Quokka liên tục thấy gây nguy hại cho cá nhân và doanh nghiệp.

1. Overprivileged Apps

Dù vì mục đích lợi nhuận, sự sơ suất trong giai đoạn phát triển, hay ý đồ xấu, nhiều ứng dụng cố gắng yêu cầu quyền truy cập nhiều hơn mức cần thiết để thực hiện chức năng của chúng. Ví dụ, một ứng dụng mạng xã hội liên tục yêu cầu truy cập danh bạ của người dùng, hoặc một ứng dụng thể dục cố gắng truy cập vào micro của thiết bị.

2. Colluding Apps

Thoạt nhìn, các ứng dụng này có thể có vẻ vô hại. Tuy nhiên, chính sự phối hợp giữa chúng trên cùng một thiết bị mới tạo ra rủi ro đáng kể. Những ứng dụng này có thể “dựa hơi” các ứng dụng hiện có, hoặc được thiết kế bằng cách chia nhỏ chức năng thành nhiều thành phần riêng lẻ, sau đó triển khai trên cùng một thiết bị và hoạt động phối hợp với nhau.

Ví dụ, một ứng dụng có thể truy cập danh bạ, trong khi một ứng dụng khác có quyền truy cập dữ liệu vị trí. Riêng lẻ, chúng có thể không gây ra mối đe dọa nghiêm trọng, nhưng nếu phối hợp và chuyển dữ liệu đã thu thập được đến một thực thể duy nhất, chúng có thể thực hiện nhiều hành vi nguy hiểm.

Các loại ứng dụng này rất khó phát hiện, khiến chúng trở thành một trong những danh mục ứng dụng nguy hiểm nhất. Hơn nữa, số lượng ứng dụng được cài đặt trên một thiết bị càng nhiều, xác suất và mức độ phức tạp của sự kết hợp ứng dụng nguy hiểm càng cao.

3. Harvester Apps

Những ứng dụng này nhắm đến việc trích xuất dữ liệu và thông tin từ thiết bị di động, thường không có sự đồng ý hay thậm chí là sự nhận biết của người dùng. Phần lớn chúng không được xây dựng với tiêu chí bảo mật, và mặc dù trông có vẻ vô hại, rủi ro thực sự nằm ở khối lượng dữ liệu khổng lồ mà chúng thu thập và các bên thứ ba không xác định mà chúng chia sẻ thông tin. Đây là mối quan tâm lớn đối với các tổ chức có yêu cầu cao về bảo mật và tuân thủ. Ví dụ, các ứng dụng mạng xã hội thường sử dụng thông tin này để phục vụ quảng cáo được nhắm mục tiêu.

4. Sloppy Apps

Các ứng dụng này được phát triển mà không tuân theo quy trình mã hóa bảo mật. Các nhà phát triển có thể bao gồm mật khẩu trực tiếp trong mã, sử dụng thư viện bên thứ ba mà không kiểm tra kỹ, hoặc phát hành ứng dụng mà không thực hiện thử nghiệm đầy đủ. Sự thiếu sót trong quy trình mã hóa này có thể khiến thiết bị dễ bị tổn thương, dẫn đến việc đánh cắp hoặc lạm dụng dữ liệu, gây rủi ro nghiêm trọng cho các tổ chức với yêu cầu bảo mật nghiêm ngặt.

5. Leaky Apps

Đây là những ứng dụng làm rò rỉ thông tin cá nhân, và số lượng ứng dụng gặp vấn đề này đang tăng lên từng ngày. Trong một số trường hợp, việc rò rỉ dữ liệu có thể không cố ý. Điều này có thể xảy ra khi nhà phát triển ứng dụng không đảm bảo an toàn cho truyền dữ liệu qua mạng hoặc lưu trữ dữ liệu trên thiết bị.

Ví dụ, một ứng dụng có thể cung cấp dịch vụ lọc cuộc gọi spam. Để thực hiện dịch vụ này, ứng dụng cần ghi lại các cuộc gọi và gửi chi tiết cuộc gọi hoặc dữ liệu tin nhắn về một dịch vụ trung tâm. Dịch vụ này có thể dễ bị tấn công đa hướng tinh vi, có mã hóa yếu, khóa mật mã dễ tổn thương, hoặc thậm chí không được bảo mật.

6. Shifty Apps

Đây là những ứng dụng thay đổi hành vi để tránh bị phát hiện hoặc giám sát. Một ví dụ là ứng dụng cho phép truy cập vào các bộ phim lậu. Sau khi bị các cửa hàng ứng dụng phát hiện và gỡ bỏ, nhà phát triển đã phát hành lại dưới danh nghĩa ứng dụng nấu ăn. Tuy nhiên, sau khi được tải về và cài đặt, ứng dụng này được cập nhật và tiếp tục cung cấp dịch vụ xem phim trái phép như trước. Dù hành vi này có thể được phát hiện thông qua phân tích sâu, nó vẫn có khả năng vượt qua các đợt kiểm tra ban đầu.

7. Chatty Apps

Các ứng dụng này thường sử dụng SMS để làm rò rỉ dữ liệu nhạy cảm. Chúng có thể làm rò rỉ nhật ký cuộc gọi bằng cách truyền hoặc lưu trữ chúng không an toàn, từ đó có nguy cơ làm lộ thông tin bí mật hoặc xâm phạm quyền riêng tư của người dùng.

8. Sticky Apps

Những ứng dụng này tiêu tốn không cần thiết pin và tài nguyên của thiết bị, thường xuyên chạy ngầm trong nền và thậm chí có thể thu thập, gửi dữ liệu đến nguồn bên ngoài. Nguyên nhân có thể do không tuân thủ các quy tắc phát triển và bảo mật đúng đắn.

Thách thức

Dù bạn phát triển ứng dụng nội bộ, phục vụ hoạt động kinh doanh, hay phụ thuộc vào thiết bị di động để vận hành, việc hiểu rõ các rủi ro và thách thức liên quan đến các mối đe dọa di động là điều cần thiết để bảo vệ dữ liệu nhạy cảm, duy trì sự liên tục trong kinh doanh và tuân thủ các quy định bảo mật.

Đối với các nhà cung cấp ứng dụng và đội ngũ an ninh tại các tập đoàn hoặc cơ quan chính phủ, việc điều hướng hệ sinh thái di động hiện đại ngày nay gặp phải nhiều thách thức:

  • Phát hiện và ngăn ngừa rủi ro từ chuỗi cung ứng:
    Nhiều ứng dụng được xây dựng bằng cách sử dụng các framework quản lý và thư viện bên thứ ba nhằm tăng tốc độ phát triển. Tuy nhiên, điều này có thể khiến mã nguồn bị lộ ra các lỗ hổng, gia tăng nguy cơ bị tấn công chuỗi cung ứng, từ đó ảnh hưởng đến bảo mật và quyền riêng tư của tổ chức cũng như lực lượng lao động.
  • Theo kịp sự thay đổi mã nguồn liên tục:
    Các phương pháp phát triển Agile và CI/CD khiến ứng dụng được cập nhật thường xuyên, đồng nghĩa với việc rủi ro mới có thể xuất hiện trong mỗi lần phát hành. Ngay cả những ứng dụng đáng tin cậy cũng có thể trở nên dễ bị tổn thương nếu mã nguồn bên thứ ba không được kiểm tra kỹ. Sự thay đổi không ngừng này đặt ra thách thức lớn cho các doanh nghiệp khi họ phải liên tục theo dõi các mối đe dọa mới và đảm bảo tuân thủ các tiêu chuẩn bảo mật.
  • Đối mặt với việc giảm khả năng quan sát và kiểm soát trong môi trường đám mây và SaaS:
    Với sự mở rộng sử dụng ứng dụng SaaS, các đội ngũ an ninh thường thiếu quyền kiểm soát hoặc khả năng quan sát các thiết bị đang truy cập tài nguyên doanh nghiệp như email, hệ thống CRM, hoặc ERP. Sự thiếu hụt này gia tăng rủi ro bảo mật và khiến việc thực thi các biện pháp kiểm soát trở nên khó khăn hơn.
  • Cân bằng giữa tiện ích người dùng và bảo mật:
    Đạt được sự cân bằng hợp lý giữa bảo mật và tính tiện dụng là điều rất quan trọng. Nếu các biện pháp bảo mật quá phức tạp hoặc tốn thời gian, nhân viên có thể tìm cách vượt qua chúng, dẫn đến giảm năng suất và làm suy yếu các nỗ lực bảo mật tổng thể.
  • Cân bằng giữa bảo mật tập trung và quyền riêng tư:
    Mặc dù việc thực thi khả năng quan sát và quản lý là rất quan trọng để bảo vệ dữ liệu doanh nghiệp, nhưng việc vượt qua giới hạn và xâm phạm quyền riêng tư của nhân viên có thể tạo ra rủi ro cho doanh nghiệp. Ví dụ, nếu nhân viên cảm thấy các hoạt động cá nhân của họ, chẳng hạn như sử dụng ứng dụng hẹn hò trên thiết bị cá nhân, đang bị giám sát, điều này có thể làm suy giảm lòng tin, giảm tỷ lệ chấp nhận, làm giảm năng suất và thậm chí dẫn đến các vấn đề pháp lý hoặc không tuân thủ. Việc tìm kiếm sự cân bằng đúng đắn là điều cần thiết để duy trì an ninh mà không làm tổn hại đến quyền riêng tư hoặc lòng tin của nhân viên.

Hướng dẫn & Cân nhắc

Dành cho Đội ngũ An ninh trong Doanh nghiệp và Cơ quan Chính phủ

Giáo dục Người Dùng

Đào tạo người dùng là rất quan trọng

Giáo dục người dùng là một phần thiết yếu trong bảo mật. Hơn bao giờ hết, việc đào tạo cần tập trung vào các mối đe dọa đặc thù cho thiết bị di động, các ứng dụng rủi ro, và hành vi của người dùng. Ví dụ, hành động sideloading (cài ứng dụng không thông qua cửa hàng chính thức) là một hành vi rủi ro thường bị người dùng bỏ qua để nâng cao chức năng hoặc tiếp cận các ứng dụng không có trong các cửa hàng ứng dụng được phê duyệt.

Nhân viên cần được hướng dẫn:

  • Tải ứng dụng từ đâu.
  • Ứng dụng nào nên tránh.
  • Cách kiểm tra quyền truy cập.
  • Dấu hiệu cảnh báo các mối đe dọa tiềm ẩn.

Các khóa đào tạo nên được cá nhân hóa cho từng nhân viên, nhấn mạnh cách dữ liệu của họ có thể bị lộ và những tác động cá nhân có thể xảy ra. Đào tạo cũng cần phù hợp với vai trò cụ thể, rủi ro, ứng dụng, và các hành động mà họ cần thực hiện để đảm bảo an toàn. Khi được trang bị kiến thức này, nhân viên có thể giúp giảm thiểu nguy cơ và tăng cường thế trận bảo mật tổng thể của tổ chức.

Đào tạo người dùng không đủ để đảm bảo an toàn

Mặc dù đào tạo người dùng là rất quan trọng, nhưng điều đó không đủ để đảm bảo bảo mật. Một số lý do bao gồm:

  • Bảo mật phức tạp và luôn thay đổi:
    Thật khó để người dùng luôn cập nhật các cấu hình đúng, bản vá lỗi hiện tại, và nâng cấp cần thiết. Họ không thể đánh giá mức độ an toàn của ứng dụng chỉ dựa vào thông tin trên cửa hàng ứng dụng. Điều này còn chưa kể đến việc các quản trị viên CNTT phải xem xét và phê duyệt hàng trăm ứng dụng cho lực lượng lao động một cách kịp thời.
  • Bảo mật không phải là ưu tiên của người dùng:
    Hầu hết nhân viên tập trung vào trách nhiệm cốt lõi của họ là hoàn thành công việc; bảo mật thường không nằm trong mô tả công việc của họ.
  • Con người mắc lỗi:
    Ngay cả những người làm trong lĩnh vực công nghệ, dù đã được đào tạo về các quy tắc bảo mật bắt buộc, đôi khi vẫn không tuân thủ các thực hành bảo mật tốt nhất.

App Vetting

App Vetting là Điều Cần Thiết

App Vetting đảm bảo rằng các ứng dụng trên thiết bị di động của nhân viên đáp ứng các tiêu chuẩn bảo mật và tuân thủ quyền riêng tư. Tuy nhiên, các quy trình kiểm tra thủ công thường tốn thời gian, dễ xảy ra sai sót, và khó bắt kịp với tốc độ cập nhật và phát hành nhanh chóng trong hệ sinh thái ứng dụng di động. Với sự xuất hiện của các colluding app và thay đổi liên tục, nhiệm vụ này trở nên khó khăn hơn nữa. Các thiết bị của người dùng có thể chứa vô số phiên bản và tổ hợp ứng dụng khác nhau tại bất kỳ thời điểm nào.

Giải pháp:

Sử dụng hệ thống kiểm tra ứng dụng tự động dựa trên Contextual Mobile Security Intelligence. Các tổ chức có thể:

  • Củng cố thế trận bảo mật.
  • Giảm nguy cơ từ các mối đe dọa ứng dụng di động.
  • Đảm bảo tuân thủ mà không làm quá tải đội ngũ an ninh.

Đối Với Nhà Phát Triển Ứng Dụng

Đối với các nhà phát triển, điều quan trọng là phải triển khai các kiểm soát và thực hành bảo mật trong suốt vòng đời phát triển phần mềm (SDLC – Software Deployment Lifecycle). Phương pháp bảo mật cần được thiết kế để xử lý các mối đe dọa và liên tục thích ứng khi các mối đe dọa và mã nguồn tiếp tục thay đổi. Từ việc kiểm tra thư viện ở giai đoạn đầu phát triển đến thử nghiệm sau khi sản xuất, bảo mật cần trở thành một phần không thể thiếu trong quy trình.

Các kỹ thuật quan trọng cần áp dụng:

  • Phân tích đa tầng:
    Để đảm bảo tính bảo mật của ứng dụng, cần kết hợp phân tích tĩnh (static analysis), động (dynamic analysis), và phân tích hành vi tương tác (interactive behavioral analysis). Các đội ngũ bảo mật cần thiết lập các lớp phòng thủ, phân tích chúng, và khắc phục mọi lỗ hổng.
  • Kiểm tra xâm nhập (Penetration Testing):
    Kiểm tra xâm nhập là một cơ chế quan trọng để xác nhận các biện pháp kiểm soát bảo mật hiện có và xác định các lỗ hổng tiềm ẩn. Với các quy trình phát triển nhanh (CI/CD), nhóm phát triển có thể phát hành ứng dụng hàng tuần hoặc thậm chí thường xuyên hơn. Mặc dù không thể thực hiện kiểm tra xâm nhập hàng tuần, nhưng cần thực hiện định kỳ.
  • Thử nghiệm ứng dụng:
    Công nghệ như bảo vệ ứng dụng tự động trong thời gian chạy (Runtime Application Self-Protection – RASP) có thể cung cấp các biện pháp bảo vệ quan trọng. Các kiểm soát này cho phép phát hiện và ngăn chặn các cuộc tấn công khi ứng dụng đang chạy.

Cách Quokka Hỗ Trợ

Hiện nay, có vô số ứng dụng di động có thể gây nguy hiểm cho tài sản của người dùng và doanh nghiệp. Với các giải pháp của Quokka, các đội ngũ an ninh có thể đón đầu những mối đe dọa lan rộng này. Quokka cung cấp khả năng quan sát bảo mật và thông tin chi tiết có thể hành động, giúp bảo vệ tổ chức khỏi các lỗ hổng di động và khai thác zero-day.

Được hỗ trợ bởi Contextual Mobile Security Intelligence, Quokka giúp các tổ chức hiểu rõ rủi ro một cách chính xác, từ đó đưa ra quyết định dựa trên dữ liệu để bảo vệ hệ sinh thái di động một cách chủ động.

Giải Pháp Quokka

Q-Vet

  • Tính năng:
    Q-Vet phát hiện các rủi ro bảo mật và quyền riêng tư từ ứng dụng di động, xác định các ứng dụng độc hại, colluding hoặc có lỗ hổng thông qua việc quét các ứng dụng đã được duyệt trên cửa hàng ứng dụng mà KHÔNG CẦN ĐẾN MÃ NGUỒN.
  • Lợi ích:
    • Giúp các doanh nghiệp có thể triển khai sử dụng những ứng dụng an toàn, đã qua kiểm duyệt theo các tiêu chí bảo mật của doanh nghiệp.
    • Đảm bảo nhân viên được bảo vệ mà không xâm phạm quyền riêng tư.
    • Khả năng quét và đưa ra quyết định nhanh chóng mà không cần nhiều kiến thức hay kỹ năng chuyên môn trong lĩnh vực bảo mật di động.
    • Cung cấp thông tin tình báo ứng dụng cần thiết cho đội ngũ bảo mật để đưa ra quyết định dựa trên rủi ro về ứng dụng nào người dùng cuối có thể cài đặt khi truy cập dữ liệu công ty.

Q-Mast

  • Tính năng:
    Q-Mast tích hợp kiểm tra bảo mật tự động vào quy trình phát triển nhanh (CI/CD pipeline), nhanh chóng xác định các lỗ hổng và điểm yếu trong mã nguồn với các phân tích toàn diện:

    • Phân tích tĩnh (SAST)
    • Phân tích động (DAST)
    • Phân tích hành vi tương tác (IAST)
    • Phân tích thực thi theo lộ trình ép buộc (Forced-Path Execution App Analysis)
  • Lợi ích:
    • Xác định chính xác các vấn đề trong mã nguồn.
    • Đảm bảo tiêu chuẩn cao hơn về quyền riêng tư và bảo mật, bao gồm các tiêu chuẩn NIAP, NIST, OWASP MASVS.

Thông tin về hãng cung cấp giải phép

TIN TỨC TRƯỚC External Attack Surface Management – Gaining the Upper Hand TIN TIẾP THEO IAM, ZTA và PAM: Vai trò của Quản lý Danh tính và Truy cập (IAM) trong Bảo mật

Tin tức mới nhất

Tags

Danh mục

Lưu trữ

Post: 8 cách ứng dụng di động gây nguy hiểm cho doanh nghiệp của bạn: Làm thế nào để đối phó với các mối đe dọa

Post: 8 cách ứng dụng di động gây nguy hiểm cho doanh nghiệp của bạn: Làm thế nào để đối phó với các mối đe dọa

Post: 8 cách ứng dụng di động gây nguy hiểm cho doanh nghiệp của bạn: Làm thế nào để đối phó với các mối đe dọa

Unitas Việt Nam

Trụ sở Hồ Chí Minh

  • 97-99-101 Nguyễn Công Trứ, Q.1, TP. Hồ Chí Minh.
  • (+84) 939 586 168
  • info@unitas.vn

Chi nhánh Hà Nội

  • Tầng 5, số 17, Ngõ 167 Tây Sơn, Q. Đống Đa, TP. Hà Nội
  • (+84) 939 586 168
  • info@unitas.vn

Các liên kiết

Bản quyền © 2024 bởi Unitas Việt Nam.