Mobile Anwendungen haben die Oberhand über die Mobilität gewonnen, das sind keine Nachrichten mehr. Da die meisten Organisationen mobile Apps nutzen, um die Online-Erfahrung ihrer Benutzer zu verbessern, entwickelt sich das gesamte mobile Ökosystem entsprechend weiter. Cyberkriminelle und gierige Personen betrachten mobile Anwendungen als eine Möglichkeit, aus der sie Geld erzielen können. Hingegen für die Regierung stellen Anwendungen ein großes Risiko für den Datenschutz dar. Und die Benutzer vertrauen auf die Fähigkeiten der Unternehmen, ihre persönlichen Informationen sicher zuhalten.
Die Implementierung von Sicherheitsmaßnahmen für mobile Anwendungen ist eine komplexe Aufgabe. Zu viele Einschränkungen führen zu Frustration und Nichtzufriedenstellung der Nutzererfahrung. Wenn Sie jedoch keine angepassten Sicherheitsschritte bereitstellen, werden vertrauliche Daten der Öffentlichkeit ausgesetzt. Die von Pradeo angebotene Technologie Runtime Application Self-Protection (RASP) wurde entwickelt, um Anwendungsdaten und Transaktionen strikt zu schützen, ohne die Benutzererfahrung und die App-Leistung zu beeinträchtigen.
Pradeo RASP ist ein gebrauchsfertiges Selbstschutz-SDK, das in mobile Anwendungen eingebettet werden kann. Es basiert auf einer präzisen Verhaltenserkennungsfunktion der Pradeo Security Engine, um die Integrität der Umgebung zu analysieren und zu ermitteln, in der sie ausgeführt wird. Sobald SDK in einem Anwendungscode eingebettet wird, ermöglicht es ihm tiefe Einblicke auf die umliegenden Bedrohungen zu gewinnen und seine Ausführung entsprechend anzupassen.
Lasst uns über einen allgemeinen Anwendungsfall nachdenken. Eine Person, die wir Jay nennen, ist ein Kunden einer großen Bank, der seine Mobile Banking-Anwendung verwendet, genau wie 43% aller Handybesitzer, die ein Bankkonto haben (Quelle: US Federal Reserve System). Jay hat auf seinem Smartphone neben seiner Banking-App einige Spieleanwendungen installiert. Jay ahnt nichts, jedoch befindet sich eine versteckte Malware auf seinem Handy, die in der Lage ist jeden Tastendruck von seiner Tastatur (Keylogger) aufzuzeichnen und diesen zu einem entfernten Server zuzusenden. Wenn Jay seine Banking-App öffnet, um seinen Kontostand abzufragen oder eine Überweisung zu tätigen, gibt es zwei mögliche Szenarien:
Die Sektoren der Finanzen, Gesundheit, Regierung, Energie, Einzelhandel sind äußerst sensible Bereiche, die durch die Anforderungen der Industrie, internen Sicherheitsrichtlinien und Bestimmungen starken Sicherheitsbeschränkungen unterliegen.
Die Konzentration auf Finanzdienstleistungen, mobiles Banking und die starke Akzeptanz des Online-Zahlungsverkehrs hat in den letzten Jahren zu einer erheblichen Zunahme von Betrug durch mobile Nutzer geführt. RSA Fraud & Risk Intelligence Service hat festgestellt, dass heutzutage 71% der Betrugsfälle mobil sind. Infolgedessen ändern die Behörden bestehende Gesetze und veröffentlichen neue Gesetze, um die Finanzaktivitäten im Mobilfunkbereich gezielt zu steuern.
In Europa wurde die zweiten Richtlinien über Zahlungsdienste (Payment Service Directive, PSD2) Anfang 2018 von der Europäischen Bankenaufsichtsbehörde veröffentlicht. Die neue Richtlinie zielt auf die Harmonisierung des Schutzes elektronischer Zahlungen und der Finanzdaten der Verbraucher ab, gleichzeitig werden die Innovation und eine bessere Erfahrung der Nutzer gefördert. Die PSD2-Artikel 4, 7, 8 und 9 schreiben vor, dass die europäischen Banken, Zahlungsdienstleister (PSP) und jedes andere Unternehmen, das Finanzdaten behandelt, ihre mobilen Dienste durch die Implementierung einer starken Authentifizierung und die Sicherung der Ausführungsumgebung absichern müssen.
In den Vereinigten Staaten hat der Federal Financial Institutions Examination Council (FFIEC) vor kurzem einen Anhang zur Broschüre "Retail Payment Systems" mit dem Titel "Mobile Financial Services" herausgegeben, der sich mit dem Mobile Banking befasst. In Abschnitt 5.B des Anhangs werden Organisationen aufgefordert, die Risiken für mobile Anwendungen zu reduzieren, indem sie eine starke Authentifizierung implementieren, Anti-Malware-Funktionen einbetten und Sicherheitsänderungen und anomales Verhalten nachverfolgen.
Beide Regelungen, und auch die nicht in diesem Artikel erwähnt wurden, erfordern die Verwendung einer Sicherheitslösung für Anwendungen, um die Sicherheit sensibler Daten durch mobile Apps zu gewährleisten.
Robuste Verteidigung: Mobile Anwendungen sind der Umgebung ausgesetzt, in der sie ausgeführt werden. Wenn eine Malware auf einem Gerät gehostet wird, kann sie lokal verwendete Daten ansammeln. Eine starke Authentifizierung geht Hand in Hand mit einer zuverlässigen Erkennung mobiler Bedrohungen, um die Sicherheit der Ausführungsumgebung zu gewährleisten. Pradeo Security analysiert und stellt die Geräteintegrität (durch Analyse der Anwendungen, des Netzwerks und des Betriebssystems) fest, bevor die von ihr geschützte Anwendung gestartet wird. Dies garantiert, dass die Ausführung keinen Datendiebstahl und Betrug verursacht.
Präzise Bedrohungsanalyse: Die Cyber-Bedrohungslandschaft entwickelt sich im rasanten Tempo. Immer mehr Unternehmen verwenden SIEM-Lösungen, um die Sicherheitsereignisse in ihrer IT-Umgebung zu gruppieren und zu analysieren. Pradeo Security RASP liefert aktuelle mobile Sicherheitsdaten an SIEM-Datenbanken, sodass Sicherheitsteams genaue Einblicke auf die Bedrohungen erhalten, die auf mobilen Geräten lauern.
Automated real-time security: Mobile devices status changes constantly. A safe environment can suddenly become threatening if connected to an unsecure WiFi or exposed to a malware, and vice versa. Once embedded within a mobile application source code, Pradeo Security RASP SDK constantly tracks devices security level to provide real-time protection. It does it automatically, according to the parameters defined in the remote management platform.
Anpassbare Sicherheitsrichtlinien: Jede Branche hat spezifische Sicherheitsanforderungen. Eine Ausführungsumgebung, die als sicher für eine Gaming-App gilt, bedeutet nicht, dass sie sicher für eine Banking-App ist. Pradeo Security bietet eine Reihe von vordefinierten und vollständig anpassbaren Sicherheitsrichtlinien, um sich präzise an jede Anforderung anzupassen.
Positive Benutzererfahrung: Benutzer erwarten heute, dass Unternehmen eine optimale Benutzererfahrung bieten und gleichzeitig den Schutz ihrer Daten gewährleisten. Pradeo Security führt transparente Sicherheitsprüfungen durch, ohne den Batterieverbrauch und die Systemfunktionalität zu beeinträchtigen.
Für weitere Informationen zu dieser Lösung, kontaktieren Sie xenia.tews@pradeo.com
Das könnte Sie auch interessieren: