在設(shè)備上使用第三方應(yīng)用程序

　　在智能手機(jī)、平板電腦、筆記本電腦和臺(tái)式電腦上評(píng)估、分發(fā)和使用第三方應(yīng)用程序的建議

　　所有現(xiàn)代智能手機(jī)和許多其他設(shè)備都支持第三方應(yīng)用程序。大多數(shù)還提供一個(gè)在線市場來安裝它們。允許用戶和設(shè)備訪問廣泛的應(yīng)用程序具有明顯的優(yōu)勢。但是，重要的是要考慮這些應(yīng)用程序?qū)υO(shè)備和數(shù)據(jù)的風(fēng)險(xiǎn)。

　　本指南將幫助風(fēng)險(xiǎn)所有者和管理員為使用第三方應(yīng)用程序創(chuàng)建組織策略，從而最大限度地降低風(fēng)險(xiǎn)，同時(shí)不限制效用。

　　為什么要保護(hù)第三方應(yīng)用程序？

　　第三方軟件定期安裝在設(shè)備上，通常能夠讀取和/或修改該設(shè)備上的部分或全部用戶數(shù)據(jù)。

　　在某些情況下，應(yīng)用程序也可以訪問您組織的數(shù)據(jù)。一旦第三方應(yīng)用程序有機(jī)會(huì)訪問數(shù)據(jù)，就很難確切知道對(duì)這些數(shù)據(jù)做了什么。一些應(yīng)用程序?qū)⒂兄趯⒛谋镜財(cái)?shù)據(jù)同步到云服務(wù)，一些可能以不安全的方式處理它，而其他應(yīng)用程序可能會(huì)在應(yīng)用程序中使用第三方庫，這些庫有自己的安全風(fēng)險(xiǎn)。

　　通過制定概述允許的應(yīng)用程序類型的組織策略，您將能夠更有效地管理與運(yùn)行第三方代碼相關(guān)的風(fēng)險(xiǎn)。

　　準(zhǔn)備第三方應(yīng)用程序

　　組織自然會(huì)希望利用第三方應(yīng)用程序提供的生產(chǎn)力優(yōu)勢，因此您需要制定策略來平衡業(yè)務(wù)需求與信息風(fēng)險(xiǎn)。

　　我們建議分兩步思考這個(gè)問題：

　　1

　　最大限度地減少設(shè)備上出現(xiàn)惡意或不安全應(yīng)用程序的可能性

　　2

　　最大限度地減少任何惡意或不安全的應(yīng)用程序的影響

　　圖片

　　1. 減少使用惡意或不安全應(yīng)用程序的可能性

　　理想情況下，將完全阻止惡意和不安全的代碼到達(dá)設(shè)備。在實(shí)踐中很難100% 確定，但可以采取多種措施。

　　允許列表和拒絕列表

　　針對(duì)惡意應(yīng)用程序的主要防御措施之一是防止已知惡意應(yīng)用程序在設(shè)備上執(zhí)行。

　　大多數(shù)平臺(tái)使能夠強(qiáng)制執(zhí)行哪些應(yīng)用程序可以運(yùn)行，但這可能涉及管理負(fù)擔(dān)，因?yàn)樗枰謩?dòng)批準(zhǔn)哪些應(yīng)用程序可以運(yùn)行。也就是說，這是一種防止惡意代碼運(yùn)行的高效策略，并且非常值得付出代價(jià)。

　　在具有應(yīng)用程序市場的平臺(tái)上，將能夠配置設(shè)備，使其不會(huì)運(yùn)行來自任何其他來源的應(yīng)用程序。然后，您可以應(yīng)用策略以僅允許安裝和運(yùn)行已批準(zhǔn)的應(yīng)用程序，即所謂的允許列表。相反，您可以指定明確禁止的應(yīng)用程序的拒絕列表。

　　允許列表是比拒絕列表更好的策略。它們可以在一個(gè)輕量級(jí)的審批流程中與軟件許可和采購活動(dòng)結(jié)合起來。大多數(shù)平臺(tái)上的允許/拒絕列表可以使用移動(dòng)設(shè)備管理進(jìn)行配置。

　　在某些平臺(tái)上，應(yīng)用程序可以通過各種機(jī)制交付，而不僅僅是官方市場。在這些情況下，可能需要手動(dòng)配置受信任的代碼簽名者，或允許特定的應(yīng)用程序哈希。例如，在Windows 10 上，可能希望結(jié)合使用App Locker和Windows Defender 應(yīng)用程序控制，以確保只有您信任的應(yīng)用程序才能運(yùn)行。通常，您可以在“報(bào)告”模式，這實(shí)際上并不會(huì)阻止任何應(yīng)用程序運(yùn)行這些功能，但將有助于匯報(bào)的是目前在整個(gè)組織中使用和應(yīng)用的范圍，你采用功能將被阻止，如果你以“強(qiáng)制”模式運(yùn)行功能。

　　正式評(píng)估和保證

　　對(duì)第三方應(yīng)用程序的安全性充滿信心的一種方法是對(duì)應(yīng)用程序進(jìn)行正式評(píng)估或利用現(xiàn)有的第三方評(píng)估。然而，這些可能是昂貴的、短暫的，并且可能無法為提供所需的保證。

　　許多組織提供應(yīng)用程序評(píng)估數(shù)據(jù)庫，有時(shí)包括“風(fēng)險(xiǎn)評(píng)分”，可以使用它來告知政策。

　　還可以使用：

　　通用標(biāo)準(zhǔn)評(píng)估

　　商業(yè)產(chǎn)品保證評(píng)估產(chǎn)品報(bào)告

　　可以使用NIST 方法之類的方法執(zhí)行內(nèi)部評(píng)估，或者將評(píng)估外包給可能采用類似方法的第三方。

　　如果策略在批準(zhǔn)新版本之前依賴于對(duì)應(yīng)用程序的最新評(píng)估，則需要考慮如何處理應(yīng)用程序中的安全漏洞以及如何快速采用新版本。

　　聲譽(yù)評(píng)估

　　正式評(píng)估通常昂貴、緩慢，而且收益有限。評(píng)估應(yīng)用程序風(fēng)險(xiǎn)的一種經(jīng)濟(jì)高效的方法是對(duì)應(yīng)用程序背后的開發(fā)人員進(jìn)行風(fēng)險(xiǎn)評(píng)估。通過了解開發(fā)人員的安全成熟度，包括歷史安全漏洞，可以估計(jì)將受到未來安全漏洞影響的可能性。

　　最終，應(yīng)該致力于了解開發(fā)人員安全性的三個(gè)方面：

　　1應(yīng)用程序或開發(fā)人員是惡意的可能性與從未聽說過的開發(fā)人員的應(yīng)用程序相比，來自大型知名開發(fā)人員的應(yīng)用程序不太可能是惡意的。

　　2涉及該開發(fā)人員或應(yīng)用程序的安全漏洞的可能性使用來自具有良好記錄的開發(fā)人員的成熟、流行的應(yīng)用程序?qū)⒆畲笙薅鹊亟档蛻?yīng)用程序易受攻擊的風(fēng)險(xiǎn)。

　　3妥協(xié)會(huì)產(chǎn)生什么影響應(yīng)該盡量減少允許應(yīng)用程序訪問的敏感數(shù)據(jù)量。還可以考慮哪些其他類型的組織正在使用該應(yīng)用程序，以便在該應(yīng)用程序遭到破壞時(shí)，數(shù)據(jù)只是更大數(shù)據(jù)集的一小部分。

　　應(yīng)用商店檢查

　　大多數(shù)應(yīng)用程序商店在添加和更新應(yīng)用程序時(shí)都會(huì)檢查它們是否是惡意的。通過從這樣的商店獲取您的應(yīng)用程序，您可以降低應(yīng)用程序是惡意的風(fēng)險(xiǎn)。但是，這不是保證。大多數(shù)商店都在某個(gè)時(shí)候托管了惡意軟件，您應(yīng)該采取額外的措施來進(jìn)一步降低風(fēng)險(xiǎn)。

　　您應(yīng)該考慮應(yīng)用程序商店檢查要查找的內(nèi)容。大多數(shù)檢查都是針對(duì)徹頭徹尾的惡意行為，例如短信欺詐。某些行為（例如將私有數(shù)據(jù)同步到云服務(wù)）可能在商店政策下允許，但在您的企業(yè)政策下不允許。閱讀應(yīng)用程序的隱私政策可能會(huì)幫助您做出決定。這些通常也可以從分發(fā)應(yīng)用程序的應(yīng)用程序商店中獲得。

　　安全應(yīng)用

　　在可以從應(yīng)用程序商店外部安裝應(yīng)用程序的平臺(tái)上，您可能需要考慮使用 安全應(yīng)用程序或防病毒軟件 來降低執(zhí)行惡意代碼的風(fēng)險(xiǎn)。但是，這種方法只會(huì)降低風(fēng)險(xiǎn)，并不能完全消除風(fēng)險(xiǎn)。

　　支持和安全更新

　　在您的設(shè)備上使用第三方應(yīng)用程序時(shí)，您應(yīng)該定期更新它們以確保包含最新的安全修復(fù)程序。有關(guān) 這方面的進(jìn)一步建議，請(qǐng)參閱 使您的設(shè)備和應(yīng)用程序保持最新狀態(tài)。

　　2. 減少使用惡意或不安全應(yīng)用程序的影響

　　如果發(fā)現(xiàn)使用的應(yīng)用程序是惡意的或不安全的，方法的第二部分應(yīng)該減少妥協(xié)的影響。

　　將工作和個(gè)人應(yīng)用拆分到不同的空間

　　大多數(shù)平臺(tái)都為組織提供了一種配置容器或工作配置文件的方法，以將個(gè)人應(yīng)用程序和工作數(shù)據(jù)分開。

　　雖然這些空間并非不可滲透，但它們降低了任意第三方應(yīng)用程序可以訪問并可能危及敏感工作數(shù)據(jù)的風(fēng)險(xiǎn)。如果您對(duì)這種分離提供的安全級(jí)別感到滿意，您組織的第三方應(yīng)用程序策略可以更加自由。

　　這些空間通常是平臺(tái)自帶設(shè)備 （BYOD） 功能的一部分。如果您正在考慮這種方法，您應(yīng)該閱讀我們關(guān)于 BYOD的指南。

　　將有風(fēng)險(xiǎn)的應(yīng)用程序限制為僅適用于需要它們的個(gè)人的政策

　　許多移動(dòng)設(shè)備管理產(chǎn)品允許您準(zhǔn)確決定允許哪些用戶安裝和使用應(yīng)用程序。

　　如果您認(rèn)為有風(fēng)險(xiǎn)的應(yīng)用程序，但某些用戶對(duì)它們有強(qiáng)烈的業(yè)務(wù)需求，您可以考慮只允許這些用戶訪問。

　　例如，如果您想讓您的社交媒體團(tuán)隊(duì)使用將聯(lián)系人列表同步到云的應(yīng)用程序，您可能只想為社交媒體團(tuán)隊(duì)啟用這些應(yīng)用程序，并設(shè)置一些程序控制來限制這些用戶的內(nèi)容‘ 聯(lián)系人列表。

　　限制訪問第三方應(yīng)用程序的網(wǎng)絡(luò)架構(gòu)

　　使用第三方應(yīng)用程序時(shí)，某些網(wǎng)絡(luò)架構(gòu)可能會(huì)變得更加危險(xiǎn)。

　　例如，如果您的設(shè)備具有對(duì)核心網(wǎng)絡(luò)的設(shè)備范圍的 VPN 訪問權(quán)限，那么所有第三方應(yīng)用程序也將能夠訪問該核心網(wǎng)絡(luò)。如果該網(wǎng)絡(luò)上存在任何未受保護(hù)的數(shù)據(jù)，則這些應(yīng)用程序可能能夠訪問該數(shù)據(jù)。

　　如果您在網(wǎng)絡(luò)設(shè)計(jì)中采用了零信任方法，這需要對(duì)每個(gè)連接進(jìn)行身份驗(yàn)證，那么您的系統(tǒng)將更能抵御此類攻擊。

　　高權(quán)限應(yīng)用

　　某些應(yīng)用程序，例如安全產(chǎn)品和管理服務(wù)，將以更高的權(quán)限運(yùn)行。這些應(yīng)用程序?qū)δ臄?shù)據(jù)構(gòu)成更高的風(fēng)險(xiǎn)，因?yàn)樗鼈兛赡芫哂懈鼜V泛的訪問權(quán)限，或者受到較少控制以限制入侵的影響。您應(yīng)該更仔細(xì)地考慮這些應(yīng)用程序的安全性。

　　如何管理第三方應(yīng)用程序

　　為了幫助您在組織的設(shè)備上使用第三方應(yīng)用程序，您應(yīng)該：

　　與利益相關(guān)者就可接受的風(fēng)險(xiǎn)水平達(dá)成一致

　　首先，您應(yīng)該與主要利益相關(guān)者就您的組織可接受的風(fēng)險(xiǎn)水平達(dá)成一致。例如：

　　哪些應(yīng)用行為將被禁止或存在高風(fēng)險(xiǎn)（例如訪問與您的全球地址列表同步的設(shè)備上的聯(lián)系人）？

　　您將如何評(píng)估供應(yīng)商的信譽(yù)？

　　應(yīng)用程序是否可能難以遵守任何有關(guān)審核存儲(chǔ)數(shù)據(jù)的規(guī)定（例如信息自由請(qǐng)求）？

　　制定申請(qǐng)審批流程

　　您可以制定一個(gè)流程，根據(jù)您同意的可接受風(fēng)險(xiǎn)級(jí)別評(píng)估應(yīng)用程序（請(qǐng)參閱上一點(diǎn)）。

　　您應(yīng)該根據(jù)用戶生產(chǎn)力需求平衡您的評(píng)估：

　　該流程應(yīng)根據(jù)需要包括來自采購、法律、安全、IT 管理員和用戶代表的人員。

　　將此流程集成到您的標(biāo)準(zhǔn)軟件資產(chǎn)管理例程中并并行運(yùn)行評(píng)估。

　　使流程快速、輕量且響應(yīng)迅速，以確保用戶感覺流程得到了良好的服務(wù)。

　　您可以使用第三方評(píng)估來幫助您做出決定，但不要完全依賴它們。

　　決定您將如何處理軟件更新。大多數(shù)流行的移動(dòng)應(yīng)用程序每月至少更新一次，您應(yīng)該能夠處理這個(gè)問題。

　　定期重新審查您已批準(zhǔn)的應(yīng)用程序，以防情況發(fā)生變化。

　　您應(yīng)該能夠?qū)⒋蠖鄶?shù)常規(guī)業(yè)務(wù)應(yīng)用程序批準(zhǔn)到您的應(yīng)用程序目錄中供任何人使用。

　　對(duì)于您認(rèn)為有風(fēng)險(xiǎn)的應(yīng)用程序，您可能希望只允許有強(qiáng)烈業(yè)務(wù)需求的用戶安裝它們。

　　作為安全審查的一部分，請(qǐng)查看涉及應(yīng)用程序或開發(fā)人員的歷史安全事件，以及您認(rèn)為相關(guān)的任何其他來源。

　　使用架構(gòu)方法來限制風(fēng)險(xiǎn)

　　如果用戶對(duì)應(yīng)用程序的要求可能存在不可接受的風(fēng)險(xiǎn)級(jí)別，則可能存在可以降低風(fēng)險(xiǎn)級(jí)別的架構(gòu)方法：

　　某些平臺(tái)可能提供企業(yè)管理第三方應(yīng)用程序可以使用 MDM請(qǐng)求哪些權(quán)限的能力。您可以使用這些功能來防止有風(fēng)險(xiǎn)的應(yīng)用訪問工作數(shù)據(jù)。

　　如果平臺(tái)支持，我們建議不要讓用戶安裝來自精選應(yīng)用商店之外的任意軟件。請(qǐng)遵循我們特定于平臺(tái)的指南，以獲取有關(guān)如何實(shí)現(xiàn)此目標(biāo)的建議。企業(yè)應(yīng)用程序目錄通常為平臺(tái)提供安全性和靈活性的良好平衡。

　　除非第三方應(yīng)用正在執(zhí)行與工作相關(guān)的功能，否則不允許第三方應(yīng)用訪問工作數(shù)據(jù)。這可以通過使用企業(yè)所有、個(gè)人啟用 （COPE）方法或自帶設(shè)備 （BYOD）方法來實(shí)現(xiàn)。在這兩種情況下，您都可以讓用戶在受信任的工作空間之外安裝風(fēng)險(xiǎn)較高的應(yīng)用程序，從而禁止這些應(yīng)用程序訪問工作數(shù)據(jù)。

　　某些平臺(tái)可能會(huì)提供額外的日志記錄功能，使您能夠采取信任和驗(yàn)證的方法。

　　如果使用容器，理想的方法是將個(gè)人容器作為工作配置文件的一部分（例如，具有 Android Enterprise 工作配置文件配置的完全托管設(shè)備），而不是在個(gè)人設(shè)備上擁有工作容器，反之亦然通常更簡單。作為妥協(xié)（例如，對(duì)于需要管理員權(quán)限的開發(fā)人員），您可以擁有單獨(dú)的虛擬機(jī)供個(gè)人使用或風(fēng)險(xiǎn)較高的行為。