Khi mà các thiết bị di động ngày càng trở nên không thể thiếu, các tổ chức ngày càng phụ thuộc nhiều vào các thiết bị di động như điện thoại thông minh và máy tính bảng để thực hiện các hoạt động kinh doanh. Mặc dù các giải pháp Quản lý Thiết bị Di động (MDM – Mobile Device Mangement) và Phòng chống Mối đe dọa Di động (MTD – Mobile Threat Device) đã trở thành công cụ tiêu chuẩn trong khâu phòng bị an ninh doanh nghiệp, nhưng vẫn còn một lỗ hổng nghiêm trọng bị bỏ ngỏ: chính là ứng dụng di động (the mobile applications themselves).

Kiểm duyệt ứng dụng di động (Mobile app vetting – MAV) chính là mảnh ghép còn thiếu cho một chiến lược bảo mật di động toàn diện.

MDM và MTD là chưa đủ

Các giải pháp Quản lý Thiết bị Di động (MDM) đóng vai trò quan trọng trong việc đảm bảo người dùng có thể truy cập vào tài nguyên doanh nghiệp từ thiết bị di động của họ. Các giải pháp MDM, như Microsoft Intune, cung cấp cho đội ngũ CNTT quyền kiểm soát tập trung đối với các thiết bị, cho phép thực hiện các chức năng như xóa dữ liệu từ xa (remote wiping), bắt buộc mã hóa (enforcing encryption), hạn chế cài đặt ứng dụng (restricting app installations) và giám sát việc tuân thủ một số chính sách bảo mật (monitoring compliance with some security policies). Tuy nhiên, mặc dù MDM giúp quản lý các thiết bị đầu cuối di động, chúng không cung cấp bảo mật toàn diện.

Các giải pháp Phòng chống Mối đe dọa Di động (MTD), chẳng hạn như Microsoft Defender, cũng được sử dụng để bảo vệ thiết bị di động và thường được tích hợp với MDM. MTD đóng vai trò then chốt trong việc ngăn chặn một trong những phương thức tấn công phổ biến nhất: tấn công lừa đảo (phishing). Điều này đặc biệt quan trọng, vì các thiết bị di động vốn có những rào cản trong việc phòng chống phishing. Ví dụ, người dùng máy tính để bàn có thể rê chuột lên liên kết để xem trước URL thực sự, nhờ đó phát hiện được các dấu hiệu nghi ngờ. Người dùng thiết bị di động thì không có khả năng này. MTD có thể giúp bảo vệ người dùng khỏi việc nhấp vào các liên kết nguy hiểm đó.

Tuy nhiên, bất chấp giá trị và công dụng của MDM và MTD, vẫn còn một khoảng trống lớn chưa được lấp đầy. Ngay cả sau khi đã triển khai cả hai giải pháp này, các nhóm bảo mật vẫn gặp khó khăn trong việc đánh giá khả năng bảo mật và mức độ rủi ro của chính các ứng dụng di động. Các ứng dụng này có thể chứa mã độc, thu thập dữ liệu người dùng cuối hoặc cấu kết với các ứng dụng khác. Do việc phát triển cẩu thả hoặc sử dụng các thành phần mã từ bên thứ ba, chúng có thể tạo ra hàng loạt lỗ hổng có thể khai thác. Ngay cả khi người dùng tải xuống ứng dụng cho mục đích cá nhân, thì không chỉ dữ liệu cá nhân bị ảnh hưởng — quyền truy cập vào tài nguyên doanh nghiệp và thông tin nhạy cảm cũng có thể bị lộ.

Dưới đây là một vài cách thông tin nhạy cảm có thể bị lộ:

• Người dùng cài đặt ứng dụng cá nhân trên thiết bị dùng cho cả công việc — không có sự tách biệt dữ liệu

• Chia sẻ clipboard cho phép ứng dụng đọc mọi thứ được sao chép từ Outlook, Teams và trình duyệt

• Lạm dụng SSO/OAuth giúp ứng dụng truy cập vào lịch công ty, danh bạ, thậm chí cả lưu trữ đám mây — chỉ vì người dùng bấm “Cho phép”

• Truy cập nền và đọc màn hình cho phép ứng dụng lấy nội dung, thông báo và tin nhắn mà không có dấu hiệu rõ ràng

• Nhật ký và bộ nhớ đệm của ứng dụng hợp pháp bị các ứng dụng khác quét qua bộ nhớ cục bộ và thu thập

Tất cả những điều trên là các cách mà ứng dụng có thể âm thầm mở ra cánh cửa làm rò rỉ dữ liệu doanh nghiệp — mà không cần phần mềm độc hại, lỗ hổng zero-day hay thậm chí người dùng biết gì về điều đó.

Tốt hơn khi kết hợp: Kiểm duyệt ứng dụng di động của Quokka + Microsoft

Các ứng dụng di động đang ngày càng trở thành rủi ro nghiêm trọng đối với dữ liệu doanh nghiệp, danh tính người dùng, compliance posture và access controls. Đó là lý do tại sao các nhóm bảo mật không còn chỉ dựa vào device policies và các agent bảo vệ đầu cuối — họ đang mở rộng phạm vi bảo vệ để bao gồm cả mobile app behavior.

Các công cụ như Microsoft Intune và Defender đóng vai trò then chốt trong việc quản lý thiết bị và thực thi các biện pháp bảo vệ. Tuy nhiên, để có được phạm vi bảo vệ toàn diện, bạn cũng cần hiểu rõ các ứng dụng trên thiết bị thực sự đang làm gì. Q-scout bổ sung phần còn thiếu đó — phân tích các ứng dụng di động để phát hiện hành vi rủi ro, rò rỉ dữ liệu và các lỗ hổng về tuân thủ trước khi chúng trở thành vấn đề.

Q-scout cung cấp thông tin chuyên sâu về ứng dụng và các phân tích có thể hành động, giúp bạn bảo vệ tổ chức và lực lượng lao động di động khỏi nhiều loại rủi ro ứng dụng di động hơn. Khi được tích hợp với Microsoft Intune và Microsoft Defender, tổ chức sẽ được hưởng nhiều lợi ích bổ sung mà không làm gián đoạn hoạt động.

Lợi ích chính khi kết hợp Microsoft với Q-scout

Phát hiện nhiều loại ứng dụng di động rủi ro

Q-scout giúp đảm bảo rằng các ứng dụng đang chạy trên thiết bị — những phần mềm tương tác với lịch, danh bạ, tệp tin và dữ liệu doanh nghiệp nhạy cảm — không âm thầm tạo ra rủi ro thông qua mã của bên thứ ba được nhúng bên trong. Phần lớn ứng dụng di động hiện nay phụ thuộc nhiều vào SDK và dịch vụ của bên thứ ba, trong đó nhiều thành phần hoạt động với quyền truy cập rộng rãi nhưng lại ít bị kiểm soát. Với Q-scout, các nhóm bảo mật có thể nhìn thấy rõ những phụ thuộc ẩn này và có được câu trả lời rõ ràng:

• Dữ liệu có đang bị sử dụng sai mục đích không?

• Thông tin có đang bị rò rỉ đến các khu vực hoặc nhà cung cấp không được phê duyệt không?

• Ứng dụng có thực sự hoạt động đúng như những gì nó công bố không?

Q-scout thực hiện nhiều loại phân tích tĩnh và động chuyên sâu, được phát triển bởi nhóm Quokka. Công cụ này còn tiến hành phân tích động trên các thiết bị thật để kiểm tra hành vi thực tế của ứng dụng trong môi trường người dùng.

Q-scout có thể phát hiện:

• Shifty apps: Một số ứng dụng vượt qua kiểm duyệt của các kho ứng dụng một cách sạch sẽ, nhưng sau khi cài đặt mới tải về mã độc hoặc kích hoạt các tính năng ẩn. Các chiêu trò trì hoãn này thường được sử dụng để đánh cắp thông tin đăng nhập, session hijacking hoặc unauthorized access sau khi ứng dụng đã được người dùng tin tưởng.

• Colluding apps: Hai ứng dụng chia sẻ dữ liệu ngầm — một ứng dụng thu thập, ứng dụng kia truyền dữ liệu ra ngoài. Điều này cho phép rò rỉ dữ liệu, theo dõi vị trí hoặc né tránh chính sách mà không kích hoạt bất kỳ cảnh báo quyền truy cập nào.

• Ứng dụng kết nối đến các vị trí rủi ro: Một số ứng dụng trông có vẻ hợp pháp nhưng lại âm thầm giao tiếp với máy chủ đặt tại các quốc gia bị trừng phạt, khu vực không được phê duyệt hoặc nhà cung cấp đám mây ngoài phạm vi tuân thủ. Điều này làm tăng nguy cơ bị đánh cắp tài sản trí tuệ, vi phạm quy định và giám sát từ các quốc gia thù địch.

• Mối đe dọa zero-day: Hầu hết các giải pháp bảo mật di động hiện nay vẫn dựa vào signatures để nhận diện phần mềm độc hại. Tuy nhiên, các mối đe dọa hiện đại sử dụng SDK độc hại, runtime injection và dynamic code loading để tránh bị phát hiện. Q-scout được trang bị công cụ phát hiện ứng dụng độc hại tiên tiến, dựa vào hành vi thực tế của ứng dụng (app behavior) chứ không chỉ dựa vào bề ngoài.

So với đó, các giải pháp MTD như Microsoft Defender sử dụng signatures của malware đã được biết đến để so sánh với các ứng dụng được cài đặt trên thiết bị — tức là chỉ phát hiện được những mối đe dọa đã được xác định từ trước. Trong khi đó, Q-scout thu thập detailed intelligence và áp dụng machine learning để xác định các ứng dụng độc hại dựa trên behavior — bao gồm việc chúng đang kết nối đến đâu và cách chúng xử lý, biến đổi dữ liệu như thế nào.

Thiết lập các chính sách ứng dụng dựa trên rủi ro có thể thi hành

Q-scout cung cấp cho các nhóm CNTT và bảo mật những bằng chứng và quyền kiểm soát để quyết định ứng dụng nào được phép và lý do tại sao. Bạn có thể xác định các quy tắc tuân thủ rõ ràng dựa trên hành vi, quyền truy cập, SDK và hoạt động mạng trong ứng dụng, thay vì chỉ dựa vào danh tiếng của ứng dụng và nhà phát triển. Khi một ứng dụng vi phạm các quy tắc — chẳng hạn như rò rỉ dữ liệu sang các khu vực không được phê duyệt — Q-scout cung cấp cơ sở hợp lý để chặn ứng dụng, với thông tin chi tiết có thể kiểm tra được và có thể audit.

Phân tích Software Bill of Materials (SBOM)

Các nhà phát triển ứng dụng di động ngày càng phụ thuộc vào việc tận dụng mã nguồn của các nhà cung cấp bên thứ ba — và bất kỳ lúc nào cũng có thể xảy ra tình huống mã của bên thứ ba chứa lỗ hổng như OpenSSL, Log4J, hoặc outdated ad networks. Ngoài việc kiểm tra hash hoặc CVE của ứng dụng, Q-scout tự động xem xét mã nguồn cấu thành ứng dụng, bao gồm các libraries và SDK của bên thứ ba đi kèm với ứng dụng. Giải pháp này tạo ra một SBOM khi cần cho mọi ứng dụng tải xuống từ cửa hàng ứng dụng và thông báo cho quản trị viên về các ứng dụng có third-party libraries dễ bị tổn thương.

Kiểm duyệt ứng dụng trước khi rủi ro xâm nhập vào thiết bị

TikTok và DeepSeek không phải là những trường hợp ngoại lệ — chúng là minh chứng cho việc một ứng dụng di động có thể lan truyền nhanh chóng trước khi ai đó biết chính xác bên trong nó có gì. Và khi bảo mật bắt kịp, ứng dụng đó đã được cài đặt trên hàng ngàn thiết bị của nhân viên.

Với Q-scout, các nhóm có thể phân tích và phê duyệt ứng dụng trước khi chúng được cài lên thiết bị người dùng, trước khi chúng được liệt kê trong Intune, và trước khi rủi ro được đưa vào. Nếu làm điều này thủ công, bạn có thể xem xét xếp hạng ứng dụng, số lượng tải xuống, danh tiếng của nhà phát triển và các yếu tố khác. Tuy nhiên, mặc dù tất cả các yếu tố này có vẻ tốt, ứng dụng vẫn có thể mang lại rủi ro.

Q-scout có một bảng điều khiển kiểm duyệt ứng dụng di động, giúp các nhóm dễ dàng tải xuống và kiểm tra ứng dụng trước khi phê duyệt sử dụng.

Thiết lập kiểm duyệt ứng dụng liên tục

Phân tích ứng dụng ngày hôm qua sẽ không còn hữu ích nếu hôm nay một phiên bản mới được phát hành, mang theo những rủi ro bảo mật mới. Các ứng dụng di động luôn được cập nhật liên tục — những phiên bản mới sẽ mang theo các rủi ro mới. Các cuộc kiểm tra đột xuất và đánh giá hàng năm không đủ để ngăn chặn lỗ hổng. Đó là cách mà các backdoor có thể xâm nhập. Q-scout giữ một cái nhìn liên tục về hành vi và rủi ro của ứng dụng. Khi có sự thay đổi, các nhóm bảo mật sẽ được cảnh báo. Dù là một cuộc gọi API mới, một third-party library được cập nhật, hay sự thay đổi trong lưu lượng truy cập ra ngoài, Q-scout sẽ ngay lập tức đánh dấu vấn đề.

Triển khai không cần agent

Q-scout thực hiện phân tích sâu về ứng dụng mà không cần cài đặt agent — không làm tăng tải cho các thiết bị, không làm gián đoạn người dùng. Các ứng dụng được phân tích trên cloud thông qua static và dynamic analysis, bao gồm hành vi chạy trong môi trường sandbox. Điều này có nghĩa là bạn sẽ có được hồ sơ rủi ro rõ ràng trước khi ứng dụng được cài lên thiết bị. Khi kết hợp với Microsoft Intune và Microsoft Defender, Q-scout thực thi chính sách trên các thiết bị được quản lý — chặn (block), cảnh báo (alert) hoặc đánh dấu (flag) các ứng dụng dựa trên rủi ro thực tế, không phải giả định.

Mở rộng khả năng quan sát bảo mật

Đặc biệt đối với các doanh nghiệp lớn, sự kết hợp của các ứng dụng có thể hiện diện trên bất kỳ thiết bị nào là rất lớn. Ví dụ, nếu bạn có 1.000 người dùng, có thể có từ 5.000 đến 7.000 ứng dụng khác nhau được sử dụng trên tất cả các thiết bị, và mỗi người dùng sẽ có sự kết hợp ứng dụng riêng biệt dựa trên sở thích của họ. Q-scout cung cấp khả năng quét tự động, giúp các nhóm kiểm tra tất cả các ứng dụng đang hoạt động.

Cách hoạt động của tích hợp giữa Microsoft và Q-scout

Q-scout tích hợp với Microsoft Intune thông qua Microsoft Graph API, cho phép các security teams liên tục giám sát và đánh giá các ứng dụng di động được cài đặt trên các thiết bị được quản lý bởi Intune. Tích hợp này giúp tự động đồng bộ hóa danh sách ứng dụng từ Intune vào nền tảng Q-scout, nơi mỗi ứng dụng sẽ được phân tích về rủi ro bảo mật và quyền riêng tư. Việc đồng bộ này diễn ra liên tục, vì vậy khi có ứng dụng được thêm mới, cập nhật, sửa đổi hoặc gỡ bỏ, quản trị viên Q-scout luôn có được cái nhìn cập nhật nhất về các ứng dụng hiện diện.

Các chức năng mà nhóm bảo mật có thể thực hiện:

• Đồng bộ liên tục với Intune (Continuously sync with Intune):
  Q-scout sử dụng Graph API để thường xuyên lấy dữ liệu ứng dụng—bao gồm định danh ứng dụng, phiên bản, thông tin nhà phát hành và liên kết với thiết bị từ các điểm cuối được Intune quản lý.

• Đánh giá rủi ro tự động (Automated risk assessment):
  Mỗi ứng dụng được phát hiện trong môi trường sẽ được Q-scout thực hiện cả static và dynamic analysis, bao gồm kiểm tra third-party SDK, quyền truy cập, điểm đến mạng và hành vi sử dụng.

• Hiển thị và cảnh báo dựa trên chính sách (Policy driven visibility and alerts):
  Khi một ứng dụng không đạt ngưỡng an toàn đã được xác định, Q-scout sẽ tạo cảnh báo và phân loại rủi ro trong bảng điều khiển, giúp quản trị viên thực hiện hành động phù hợp.

• Phân tích chuyên sâu và phản ứng nhanh (Rapid drill down and response):
  Từ bảng điều khiển của Q-scout, quản trị viên có thể đi sâu vào hồ sơ rủi ro chi tiết của một ứng dụng mà không cần phải tự dò tìm thủ công qua các báo cáo thiết bị hoặc chuyển đổi qua nhiều công cụ.

Tích hợp này đảm bảo rằng khi các ứng dụng được cài đặt (install), cập nhật (update) hoặc gỡ bỏ (remove) trên toàn bộ thiết bị di động của doanh nghiệp, Q-scout luôn cung cấp một cái nhìn thời gian thực, chính xác về rủi ro ứng dụng, phù hợp với chính sách doanh nghiệp và yêu cầu tuân thủ dành cho thiết bị di động.

Một hệ sinh thái bảo mật di động hoạt động hài hòa

Bảo mật di động đòi hỏi một cách tiếp cận theo nhiều lớp (layered approach), và Q-scout lấp đầy khoảng trống quan trọng mà các giải pháp MDM và MTD truyền thống còn bỏ sót.

Bằng cách cung cấp cái nhìn toàn diện (comprehensive visibility) về các rủi ro từ ứng dụng di động, khả năng kiểm định ứng dụng (vetting) tự động, và giám sát liên tục các bản cập nhật ứng dụng, Q-scout giúp các tổ chức chủ động quản lý các rủi ro bảo mật tiềm ẩn trong hàng nghìn ứng dụng trên toàn bộ thiết bị di động của doanh nghiệp.

Việc tích hợp với Microsoft Intune và Defender tạo nên một hệ sinh thái mạnh mẽ, nơi quản lý thiết bị di động (MDM), phòng thủ mối đe dọa di động (MTD), và bảo mật ứng dụng di động cùng hoạt động nhịp nhàng, bổ trợ lẫn nhau.

Thông tin hãng cung cấp giải pháp

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks ….

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!