Ti trovi qui:
Controlli di sicurezza dell'app mobile fortemente consigliati
Questo insieme di controlli impone un ambiente mobile temprato.
Nome controllo
Controlli di sicurezza dell'app mobile fortemente consigliati
Configurazione consigliata
- Blocco certificati server di autenticazione - Selezionare "Attivo"
- Blocco certificato risorsa - Selezionare "Attivo"
- Richiedi codice di accesso dispositivo: selezionare "Attivo" e Livello di gravità.
- Blocca 3D Touch - Seleziona "Attivo"
- Blocca microfono - Selezionare "Attivo"
- Blocca fotocamera - Selezionare "Attivo"
- Blocca referenti - Selezionare "Attivo"
- Blocca calendario - Selezionare "Attivo"
- Schema URI browser mobile - Selezionare "Attivo" e specificare il valore
- Handler applicazione chiamata telefonica - Selezionare "Attivo" e specificare il valore
- Blocca schermata - Selezionare "Attivo"
- Registra email - Selezionare "Attivo"
- Registra telefonata - Selezionare "Attivo"
- Registra SMS - Seleziona "Attivo"
- Blocca tastiera personalizzata - Selezionare "Attivo"
- Abilita controlli rigorosi per la protezione dalle fughe di dati - Selezionare "Attivo"
Panoramica sul controllo
Questo insieme di controlli impone un ambiente mobile protetto imponendo il blocco dei certificati crittografici, l'autenticazione dei dispositivi locali e rigorose restrizioni a livello di hardware per impedire l'esfiltrazione non autorizzata dei dati.
Rischio per la sicurezza se non configurato
Senza queste policy, i dispositivi mobili diventano vulnerabili agli attacchi man-in-the-middle attraverso il traffico di rete intercettato e il furto di dati locali se il dispositivo viene perso, rubato o compromesso da applicazioni dannose di terze parti.
Scenari di minaccia
Un aggressore utilizza una rete wireless compromessa per intercettare il traffico delle applicazioni non bloccate o sfrutta una tastiera personalizzata errata per registrare sequenze di tasti e credenziali sensibili direttamente dall'interfaccia mobile.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
L'assenza di queste protezioni consente l'intercettazione del traffico crittografato, l'esclusione della sicurezza dei dispositivi locali e il trasferimento non autorizzato dei dati aziendali tramite funzioni hardware come fotocamera, microfono e appunti.
Rischio maggiore quando
I dipendenti utilizzano dispositivi personali non gestiti per accedere alle informazioni sensibili dei clienti o quando l'applicazione mobile viene utilizzata in ambienti di rete pubblica ad alta minaccia.
Basso rischio quando
Se i dispositivi mobili sono già gestiti da una solida soluzione di gestione della mobilità aziendale che applica la crittografia a livello di sistema e le funzionalità di cancellazione remota.
Considerazioni su Business e integrazione
L'implementazione di questi controlli rigorosi può influire sull'esperienza utente disabilitando funzioni comuni come il copia-incolla o le tastiere di terze parti, che potenzialmente richiedono una formazione specializzata per i lavoratori mobili.
Rimedio consigliato
Accedere alla sezione Sicurezza mobile in Imposta e attivare le policy specifiche per il pinning dei certificati, i codici di accesso dei dispositivi e la protezione dalle fughe di dati (ad esempio, Blocca controlli) per l'applicazione mobile. Se applicabile, scegliere il livello di gravità appropriato per l'azione richiesta (ad esempio, critica, errore, avviso, informazioni).
Guida all'esame dello stato della sicurezza
Security Health Review identifica queste policy come fortemente consigliate a seconda del caso d'uso dell'app mobile poiché questi controlli consentono di garantire che l'applicazione rimanga sicura indipendentemente dallo stato del dispositivo sottostante o dall'integrità della rete.
