在設(shè)備上使用第三方應(yīng)用程序

　　在智能手機、平板電腦、筆記本電腦和臺式電腦上評估、分發(fā)和使用第三方應(yīng)用程序的建議

　　所有現(xiàn)代智能手機和許多其他設(shè)備都支持第三方應(yīng)用程序。大多數(shù)還提供一個在線市場來安裝它們。允許用戶和設(shè)備訪問廣泛的應(yīng)用程序具有明顯的優(yōu)勢。但是，重要的是要考慮這些應(yīng)用程序?qū)υO(shè)備和數(shù)據(jù)的風險。

　　本指南將幫助風險所有者和管理員為使用第三方應(yīng)用程序創(chuàng)建組織策略，從而最大限度地降低風險，同時不限制效用。

　　為什么要保護第三方應(yīng)用程序？

　　第三方軟件定期安裝在設(shè)備上，通常能夠讀取和/或修改該設(shè)備上的部分或全部用戶數(shù)據(jù)。

　　在某些情況下，應(yīng)用程序也可以訪問您組織的數(shù)據(jù)。一旦第三方應(yīng)用程序有機會訪問數(shù)據(jù)，就很難確切知道對這些數(shù)據(jù)做了什么。一些應(yīng)用程序?qū)⒂兄趯⒛谋镜財?shù)據(jù)同步到云服務(wù)，一些可能以不安全的方式處理它，而其他應(yīng)用程序可能會在應(yīng)用程序中使用第三方庫，這些庫有自己的安全風險。

　　通過制定概述允許的應(yīng)用程序類型的組織策略，您將能夠更有效地管理與運行第三方代碼相關(guān)的風險。

　　準備第三方應(yīng)用程序

　　組織自然會希望利用第三方應(yīng)用程序提供的生產(chǎn)力優(yōu)勢，因此您需要制定策略來平衡業(yè)務(wù)需求與信息風險。

　　我們建議分兩步思考這個問題：

　　1

　　最大限度地減少設(shè)備上出現(xiàn)惡意或不安全應(yīng)用程序的可能性

　　2

　　最大限度地減少任何惡意或不安全的應(yīng)用程序的影響

　　圖片

　　1. 減少使用惡意或不安全應(yīng)用程序的可能性

　　理想情況下，將完全阻止惡意和不安全的代碼到達設(shè)備。在實踐中很難100% 確定，但可以采取多種措施。

　　允許列表和拒絕列表

　　針對惡意應(yīng)用程序的主要防御措施之一是防止已知惡意應(yīng)用程序在設(shè)備上執(zhí)行。

　　大多數(shù)平臺使能夠強制執(zhí)行哪些應(yīng)用程序可以運行，但這可能涉及管理負擔，因為它需要手動批準哪些應(yīng)用程序可以運行。也就是說，這是一種防止惡意代碼運行的高效策略，并且非常值得付出代價。

　　在具有應(yīng)用程序市場的平臺上，將能夠配置設(shè)備，使其不會運行來自任何其他來源的應(yīng)用程序。然后，您可以應(yīng)用策略以僅允許安裝和運行已批準的應(yīng)用程序，即所謂的允許列表。相反，您可以指定明確禁止的應(yīng)用程序的拒絕列表。

　　允許列表是比拒絕列表更好的策略。它們可以在一個輕量級的審批流程中與軟件許可和采購活動結(jié)合起來。大多數(shù)平臺上的允許/拒絕列表可以使用移動設(shè)備管理進行配置。

　　在某些平臺上，應(yīng)用程序可以通過各種機制交付，而不僅僅是官方市場。在這些情況下，可能需要手動配置受信任的代碼簽名者，或允許特定的應(yīng)用程序哈希。例如，在Windows 10 上，可能希望結(jié)合使用App Locker和Windows Defender 應(yīng)用程序控制，以確保只有您信任的應(yīng)用程序才能運行。通常，您可以在“報告”模式，這實際上并不會阻止任何應(yīng)用程序運行這些功能，但將有助于匯報的是目前在整個組織中使用和應(yīng)用的范圍，你采用功能將被阻止，如果你以“強制”模式運行功能。

　　正式評估和保證

　　對第三方應(yīng)用程序的安全性充滿信心的一種方法是對應(yīng)用程序進行正式評估或利用現(xiàn)有的第三方評估。然而，這些可能是昂貴的、短暫的，并且可能無法為提供所需的保證。

　　許多組織提供應(yīng)用程序評估數(shù)據(jù)庫，有時包括“風險評分”，可以使用它來告知政策。

　　還可以使用：

　　通用標準評估

　　商業(yè)產(chǎn)品保證評估產(chǎn)品報告

　　可以使用NIST 方法之類的方法執(zhí)行內(nèi)部評估，或者將評估外包給可能采用類似方法的第三方。

　　如果策略在批準新版本之前依賴于對應(yīng)用程序的最新評估，則需要考慮如何處理應(yīng)用程序中的安全漏洞以及如何快速采用新版本。

　　聲譽評估

　　正式評估通常昂貴、緩慢，而且收益有限。評估應(yīng)用程序風險的一種經(jīng)濟高效的方法是對應(yīng)用程序背后的開發(fā)人員進行風險評估。通過了解開發(fā)人員的安全成熟度，包括歷史安全漏洞，可以估計將受到未來安全漏洞影響的可能性。

　　最終，應(yīng)該致力于了解開發(fā)人員安全性的三個方面：

　　1應(yīng)用程序或開發(fā)人員是惡意的可能性與從未聽說過的開發(fā)人員的應(yīng)用程序相比，來自大型知名開發(fā)人員的應(yīng)用程序不太可能是惡意的。

　　2涉及該開發(fā)人員或應(yīng)用程序的安全漏洞的可能性使用來自具有良好記錄的開發(fā)人員的成熟、流行的應(yīng)用程序?qū)⒆畲笙薅鹊亟档蛻?yīng)用程序易受攻擊的風險。

　　3妥協(xié)會產(chǎn)生什么影響應(yīng)該盡量減少允許應(yīng)用程序訪問的敏感數(shù)據(jù)量。還可以考慮哪些其他類型的組織正在使用該應(yīng)用程序，以便在該應(yīng)用程序遭到破壞時，數(shù)據(jù)只是更大數(shù)據(jù)集的一小部分。

　　應(yīng)用商店檢查

　　大多數(shù)應(yīng)用程序商店在添加和更新應(yīng)用程序時都會檢查它們是否是惡意的。通過從這樣的商店獲取您的應(yīng)用程序，您可以降低應(yīng)用程序是惡意的風險。但是，這不是保證。大多數(shù)商店都在某個時候托管了惡意軟件，您應(yīng)該采取額外的措施來進一步降低風險。

　　您應(yīng)該考慮應(yīng)用程序商店檢查要查找的內(nèi)容。大多數(shù)檢查都是針對徹頭徹尾的惡意行為，例如短信欺詐。某些行為（例如將私有數(shù)據(jù)同步到云服務(wù)）可能在商店政策下允許，但在您的企業(yè)政策下不允許。閱讀應(yīng)用程序的隱私政策可能會幫助您做出決定。這些通常也可以從分發(fā)應(yīng)用程序的應(yīng)用程序商店中獲得。

　　安全應(yīng)用

　　在可以從應(yīng)用程序商店外部安裝應(yīng)用程序的平臺上，您可能需要考慮使用 安全應(yīng)用程序或防病毒軟件 來降低執(zhí)行惡意代碼的風險。但是，這種方法只會降低風險，并不能完全消除風險。

　　支持和安全更新

　　在您的設(shè)備上使用第三方應(yīng)用程序時，您應(yīng)該定期更新它們以確保包含最新的安全修復程序。有關(guān) 這方面的進一步建議，請參閱 使您的設(shè)備和應(yīng)用程序保持最新狀態(tài)。

　　2. 減少使用惡意或不安全應(yīng)用程序的影響

　　如果發(fā)現(xiàn)使用的應(yīng)用程序是惡意的或不安全的，方法的第二部分應(yīng)該減少妥協(xié)的影響。

　　將工作和個人應(yīng)用拆分到不同的空間

　　大多數(shù)平臺都為組織提供了一種配置容器或工作配置文件的方法，以將個人應(yīng)用程序和工作數(shù)據(jù)分開。

　　雖然這些空間并非不可滲透，但它們降低了任意第三方應(yīng)用程序可以訪問并可能危及敏感工作數(shù)據(jù)的風險。如果您對這種分離提供的安全級別感到滿意，您組織的第三方應(yīng)用程序策略可以更加自由。

　　這些空間通常是平臺自帶設(shè)備 （BYOD） 功能的一部分。如果您正在考慮這種方法，您應(yīng)該閱讀我們關(guān)于 BYOD的指南。

　　將有風險的應(yīng)用程序限制為僅適用于需要它們的個人的政策

　　許多移動設(shè)備管理產(chǎn)品允許您準確決定允許哪些用戶安裝和使用應(yīng)用程序。

　　如果您認為有風險的應(yīng)用程序，但某些用戶對它們有強烈的業(yè)務(wù)需求，您可以考慮只允許這些用戶訪問。

　　例如，如果您想讓您的社交媒體團隊使用將聯(lián)系人列表同步到云的應(yīng)用程序，您可能只想為社交媒體團隊啟用這些應(yīng)用程序，并設(shè)置一些程序控制來限制這些用戶的內(nèi)容‘ 聯(lián)系人列表。

　　限制訪問第三方應(yīng)用程序的網(wǎng)絡(luò)架構(gòu)

　　使用第三方應(yīng)用程序時，某些網(wǎng)絡(luò)架構(gòu)可能會變得更加危險。

　　例如，如果您的設(shè)備具有對核心網(wǎng)絡(luò)的設(shè)備范圍的 VPN 訪問權(quán)限，那么所有第三方應(yīng)用程序也將能夠訪問該核心網(wǎng)絡(luò)。如果該網(wǎng)絡(luò)上存在任何未受保護的數(shù)據(jù)，則這些應(yīng)用程序可能能夠訪問該數(shù)據(jù)。

　　如果您在網(wǎng)絡(luò)設(shè)計中采用了零信任方法，這需要對每個連接進行身份驗證，那么您的系統(tǒng)將更能抵御此類攻擊。

　　高權(quán)限應(yīng)用

　　某些應(yīng)用程序，例如安全產(chǎn)品和管理服務(wù)，將以更高的權(quán)限運行。這些應(yīng)用程序?qū)δ臄?shù)據(jù)構(gòu)成更高的風險，因為它們可能具有更廣泛的訪問權(quán)限，或者受到較少控制以限制入侵的影響。您應(yīng)該更仔細地考慮這些應(yīng)用程序的安全性。

　　如何管理第三方應(yīng)用程序

　　為了幫助您在組織的設(shè)備上使用第三方應(yīng)用程序，您應(yīng)該：

　　與利益相關(guān)者就可接受的風險水平達成一致

　　首先，您應(yīng)該與主要利益相關(guān)者就您的組織可接受的風險水平達成一致。例如：

　　哪些應(yīng)用行為將被禁止或存在高風險（例如訪問與您的全球地址列表同步的設(shè)備上的聯(lián)系人）？

　　您將如何評估供應(yīng)商的信譽？

　　應(yīng)用程序是否可能難以遵守任何有關(guān)審核存儲數(shù)據(jù)的規(guī)定（例如信息自由請求）？

　　制定申請審批流程

　　您可以制定一個流程，根據(jù)您同意的可接受風險級別評估應(yīng)用程序（請參閱上一點）。

　　您應(yīng)該根據(jù)用戶生產(chǎn)力需求平衡您的評估：

　　該流程應(yīng)根據(jù)需要包括來自采購、法律、安全、IT 管理員和用戶代表的人員。

　　將此流程集成到您的標準軟件資產(chǎn)管理例程中并并行運行評估。

　　使流程快速、輕量且響應(yīng)迅速，以確保用戶感覺流程得到了良好的服務(wù)。

　　您可以使用第三方評估來幫助您做出決定，但不要完全依賴它們。

　　決定您將如何處理軟件更新。大多數(shù)流行的移動應(yīng)用程序每月至少更新一次，您應(yīng)該能夠處理這個問題。

　　定期重新審查您已批準的應(yīng)用程序，以防情況發(fā)生變化。

　　您應(yīng)該能夠?qū)⒋蠖鄶?shù)常規(guī)業(yè)務(wù)應(yīng)用程序批準到您的應(yīng)用程序目錄中供任何人使用。

　　對于您認為有風險的應(yīng)用程序，您可能希望只允許有強烈業(yè)務(wù)需求的用戶安裝它們。

　　作為安全審查的一部分，請查看涉及應(yīng)用程序或開發(fā)人員的歷史安全事件，以及您認為相關(guān)的任何其他來源。

　　使用架構(gòu)方法來限制風險

　　如果用戶對應(yīng)用程序的要求可能存在不可接受的風險級別，則可能存在可以降低風險級別的架構(gòu)方法：

　　某些平臺可能提供企業(yè)管理第三方應(yīng)用程序可以使用 MDM請求哪些權(quán)限的能力。您可以使用這些功能來防止有風險的應(yīng)用訪問工作數(shù)據(jù)。

　　如果平臺支持，我們建議不要讓用戶安裝來自精選應(yīng)用商店之外的任意軟件。請遵循我們特定于平臺的指南，以獲取有關(guān)如何實現(xiàn)此目標的建議。企業(yè)應(yīng)用程序目錄通常為平臺提供安全性和靈活性的良好平衡。

　　除非第三方應(yīng)用正在執(zhí)行與工作相關(guān)的功能，否則不允許第三方應(yīng)用訪問工作數(shù)據(jù)。這可以通過使用企業(yè)所有、個人啟用 （COPE）方法或自帶設(shè)備 （BYOD）方法來實現(xiàn)。在這兩種情況下，您都可以讓用戶在受信任的工作空間之外安裝風險較高的應(yīng)用程序，從而禁止這些應(yīng)用程序訪問工作數(shù)據(jù)。

　　某些平臺可能會提供額外的日志記錄功能，使您能夠采取信任和驗證的方法。

　　如果使用容器，理想的方法是將個人容器作為工作配置文件的一部分（例如，具有 Android Enterprise 工作配置文件配置的完全托管設(shè)備），而不是在個人設(shè)備上擁有工作容器，反之亦然通常更簡單。作為妥協(xié)（例如，對于需要管理員權(quán)限的開發(fā)人員），您可以擁有單獨的虛擬機供個人使用或風險較高的行為。