Nem is olyan régen a technológia alkalmazása terén még úttörőnek számított az a vállalat, amelynek a weboldalán az ügyfelek termékeket is vásárolhattak. De ennek megítélése hamar megváltozott, így ahhoz, hogy a trendekkel lépést tarthasson, a vállalatnak – a web 2.0-s technológiákat segítségül hívva – a kapcsolattartást valóban interaktív, gazdag felhasználói élménnyé kellett fejlesztenie.
A léc most még magasabbra került, mert a versenyképesség megőrzése érdekében a vállalatnak ma már mobileszközökön, okostelefonokon és tableteken is teljes körű ügyfélkiszolgálást kell megvalósítania a marketingtől kezdve az értékesítésen át a támogatásig és vevőszolgálatig. A mobilitás hihetetlenül nagy üzleti lehetőséget kínál a vállalatoknak, de a vele járó biztonsági kockázatok sem kisebbek.
Az alkalmazások kliensoldala minden eddiginél jobban felértékelődik: az ügyfelek immár nem otthoni vagy munkahelyi számítógépükről érik el a vállalat weboldalát, hanem tetszőleges mobileszközről, böngészőn vagy mobilalkalmazáson keresztül csatlakozva bárhol és bármikor érzékeny tranzakciókat kezdeményezhetnek. Ennek következtében a mobilalkalmazások és -eszközök, valamint a vállalat háttérrendszereiben kezelt érzékeny adatok, amelyeket az interneten keresztül elérnek, sokkal könnyebben támadás célpontjává válhatnak.
Kulcsfontosságú, hogy a sérülékenységekre a vállalatok előbb találjanak rá, mint a támadók, akik keresni fogják azokat a mobilalkalmazások összes komponensében. A gyakran nagyon rövid átfutással készülő, hosszabb-rövidebb használatra szánt appok eredményes teszteléséhez a HP fehér könyvében (Designing a defense for mobile applications) ad tanácsokat.
Fenyegetések feltérképezése
A vállalatnak mindenekelőtt tisztában kell lennie azzal, hogy mit szükséges megvédenie. Amikor a mobilalkalmazások biztonságáról beszélünk, akkor az okostelefonon vagy tableten futó szoftvernél lényegesen többről van szó – beleértjük a kliensalkalmazás és a szerveralkalmazás között zajló, hálózati adatforgalmat, valamint a háttérrendszereket alkotó komponenseket is.
Számos szervezet és biztonsági cég esik abba a hibába, hogy az említett összetevők csupán némelyikét biztosítja és teszteli, holott a védelemnek a mobilalkalmazások minden elemére ki kell terjednie.
Más szóval a kliens- és a szerveroldali alkalmazásokat és eszközöket, valamint a közöttük létrejövő hálózati kapcsolatot és adatforgalmat egyaránt tesztelni és védeni kell. A kliens- és szerveroldali alkalmazásokat dinamikus (az alkalmazás futása közben végzett) és statikus (szoftverkód-szintű) tesztelésnek is szükséges alávetni, míg a hálózati kapcsolat biztonsága az adatforgalom dinamikus elemzésével növelhető.
Tesztelés szempontjából egyetlen megközelítés sem lehet teljes, amely nem terjed ki a mobilalkalmazás minden komponensének éles környezetet idéző konfigurációban történő vizsgálatára. Mind a támadók, mind a tapasztalt biztonsági szakemberek körében ismert, hogy egy alkalmazás több lesz alkotóelemeinek összességénél, ha az éles használatot élethűen idéző tesztkörnyezetben, más alkalmazásokkal összefüggésben vizsgáljuk. A támadók azonban számítanak arra, hogy akár az erőforrások szűkössége, akár a kompetenciák hiánya folytán sok vállalatnak egyszerűen nem lesz lehetősége a mobilalkalmazások ilyen mélyreható kitesztelésére.
A támadók a működő mobilalkalmazásokat végponttól végpontig tűz alá veszik, ezért a vállalatoknak is ugyanilyen módon kell tesztelniük szoftvereiket. A dinamikus tesztelés azonban – bár nélkülözhetetlen – önmagában kevés ehhez. Ugyanilyen fontos az alkalmazás belső struktúrájának, architektúrájának és szoftverkódjának tesztelése is.
Szerves egészet képez ráadásul a két megközelítés, ezért hibát követ el az a vállalat, amely egymástól függetlenül alkalmazza a kétféle tesztelést. Az elkülönítés töredezetté teszi a folyamatot, amelynek csak javára válhat az együttműködés. A dinamikus teszt eredményének a kódra kell mutatnia és fordítva, a szoftverben felfedezett sérülékenységekből a támadások lehetséges forgatókönyveire kell következtetni. Egyik a másik nélkül aligha adhat teljes képet a biztonsági kockázatok ökoszisztémájáról.
Tesztlépések
Rengeteg támadási felületet kínálnak a mobileszközök, a szerveroldali háttérrendszerek és a közöttük kapcsolatot teremtő hálózatok. A vállalatnak ezért sokrétű védelmet és tesztelést kell kialakítania a mobilalkalmazások biztonságos bevezetése és használata érdekében. A mobilalkalmazások valóban teljes körű teszteléséhez a szoftverkód vizsgálatánál, de még a szerveroldali komponensek tesztelésénél is többre lesz szükség – sokoldalúan képzett informatikusokra, az alkalmazások mélyreható ismeretére éppúgy, mint egy olyan tesztelési szemléletre és gyakorlatra, amely a mobilalkalmazást nem az alkotóelemek puszta halmazának tekinti.
A HP a következő, megfontolandó tanácsokkal szolgál a mobilalkalmazások alapos kiteszteléséhez:
- Feltétlenül fordítson gondot a mobilalkalmazások dinamikus, a teljes éles környezetet hűen tükröző konfigurációban történő tesztelésére. Gondoljon arra, hogy a támadók is ilyen körülmények között próbálnak majd biztonsági rést találni az alkalmazáson, ezért logikus, hogy a védelem is hasonló módon ellenőrizze hatékonyságát. A dinamikus teszteléshez szükséges erőforrások virtuális környezetben, illetve felhőszolgáltatások használatával költségkímélő módon biztosíthatók.
- A mobilalkalmazások zömmel több rétegből épülnek fel, ezért az alapos tesztelésnek a kliens- és a szerveroldali, valamint a hálózati komponensekre és az adatforgalomra egyaránt ki kell terjednie.
- Dinamikus (működés közben végzett) és statikus (kódszintű) tesztelésnek egyaránt vesse alá mobilalkalmazásait, mert a két megközelítés kiegészíti és kölcsönösen erősíti egymást.
- Az automatizált tesztelés mellett mindig végezzen kézi tesztelést is, dinamikus és statikus tesztek esetében egyaránt. Minden előnyével együtt az automatizálás csupán kiegészítheti, de nem válthatja ki a manuális tesztelést.
- Kezeljen fenntartással minden mobil biztonsági megoldást, amely nem támogatja az alkalmazások összes komponensre kiterjedő, sokrétű tesztelését.
Funkcionális tesztek, automatikusan
Növeli a biztonságot, ha a vállalat a mobilalkalmazások teljes életciklusát kezeli, amelynek egyik fontos szakasza a tesztelés. Egyrészt tesztek által biztosítható, hogy a készülő alkalmazás valóban azokat a funkciókat kínálja, amelyeket az üzleti oldal vár tőle, és mindenkor megfelelő teljesítménnyel működjön. Másrészt a tesztek még a fejlesztés szakaszában rávilágítanak a szoftverkód hibáira, amelyek a bevezetést követően komoly biztonsági kockázatot jelentenének. A hibák korai kiszűrése és javítása rendkívül fontos, mert felgyorsítja a mobilalkalmazások kibocsátását – ezáltal csökkenti a minőségbiztosítás időigényét, a tesztelés összköltségét is.
A tesztelés automatizálásával ezek a stratégiai célok könnyebben elérhetők. A mobilalkalmazások funkcionális és regressziós tesztelésének automatizálásával a vállalat gondoskodhat arról, hogy a szoftver minőség és teljesítmény tekintetében minden támogatott digitális eszközön, mobilplatformon és hálózaton a kívánt módon működjön. Sokat segít, ha a vállalat olyan fejlesztőeszközzel dolgozik, amely az egyszer megírt kódot automatikusan átülteti többféle platformra. Ez ugyanis a tesztesetek elkészítését, karbantartását, újrahasznosítását és különböző mobilplatformokra történő portolását is megkönnyíti.
Miután a mobilalkalmazásoknak ugyanolyan üzleti és minőségi követelményeknek kell eleget tenniük, mint például az asztali és webalkalmazásoknak, célszerű, ha a vállalat azokkal együtt, vállalati szintű ALM (application lifecycle management) infrastruktúrájában kezeli őket. A mobil, asztali és webalkalmazások egyetlen, integrált ALM platformon történő tesztelése megkönnyíti a projektek menedzselését, a folyamatok szabályozását, nem utolsósorban a tudás és a tapasztalatok megosztását a fejlesztő és tesztelő csapatok között.
