Controles de segurança de aplicativo móvel altamente recomendados

Nome do controle

Controles de segurança de aplicativo móvel altamente recomendados

Configuração recomendada

• Fixar certificado do servidor de autenticação – selecionar "Ativo"
• Fixar certificado de recurso – selecionar "Ativo"
• Exigir senha do dispositivo – selecione "Ativo" e Nível de gravidade.
• Bloquear 3D Touch – selecionar "Ativo"
• Bloquear microfone – selecione "Ativo"
• Bloquear câmera – selecione "Ativo"
• Bloquear contatos – selecionar "Ativo"
• Bloquear calendário – selecione "Ativo"
• Esquema de URI do navegador móvel – selecione "Ativo" e especifique o valor
• Manipulador de aplicativo de chamada telefônica – selecione "Ativo" e especifique o valor
• Bloquear captura de tela – selecionar "Ativo"
• Registrar email – selecione "Ativo"
• Registrar chamada telefônica – selecione "Ativo"
• Registrar SMS – selecione "Ativo"
• Bloquear teclado personalizado – selecionar "Ativo"
• Habilitar controles rígidos de proteção contra vazamento de dados – selecionar "Ativo"

Visão geral de controle

Esse conjunto de controles impõe um ambiente móvel endurecido obrigando fixação de certificado criptográfico, autenticação de dispositivo local e restrições rígidas no nível de hardware para evitar a exfilação de dados não autorizada.

Risco de segurança, se não configurado

Sem essas políticas, os dispositivos móveis se tornam vulneráveis a ataques man-in-the-middle por meio de tráfego de rede interceptado e roubo de dados locais se o dispositivo for perdido, roubado ou comprometido por aplicativos maliciosos de terceiros.

Cenários de ameaça

Um invasor usa uma rede sem fio comprometida para interceptar o tráfego de aplicativos não fixados ou explora um teclado personalizado inocente para registrar teclas e credenciais confidenciais diretamente da interface móvel.

Intervalo de pontuação de CVSS estimado

Alto (7.0–8,9).

Considerações sobre impacto de risco

A ausência dessas proteções permite a interceptação de tráfego criptografado, ignorar a segurança do dispositivo local e a transferência não autorizada de dados corporativos por meio de recursos de hardware, como câmera, microfone e área de transferência.

Risco maior quando

Os funcionários usam dispositivos pessoais não gerenciados para acessar informações confidenciais do cliente ou quando o aplicativo móvel é usado em ambientes de rede pública de alta ameaça.

Baixo risco quando

Se os dispositivos móveis já estiverem gerenciados por uma solução de gerenciamento de mobilidade corporativa robusta que impõe a criptografia de todo o sistema e os recursos de limpeza remota.

Considerações de negócios e integração

A implementação desses controles rígidos pode afetar a experiência do usuário desabilitando recursos comuns, como copiar e colar ou teclados de terceiros, possivelmente exigindo treinamento especializado para trabalhadores móveis.

Remediação recomendada

Acesse a seção Segurança móvel em Configuração e ative as políticas específicas para fixação de certificado, códigos de acesso de dispositivo e proteção contra vazamento de dados (por exemplo, Bloquear controles) para o aplicativo móvel. Quando aplicável, escolha o nível de gravidade adequado para a ação necessária (por exemplo, crítica, erro, aviso, informações).

Diretriz de revisão de saúde de segurança

A Análise de integridade de segurança identifica essas políticas como altamente recomendadas dependendo do caso de uso do aplicativo móvel, pois esses controles ajudam a garantir que o aplicativo permaneça seguro independentemente da integridade do dispositivo ou da rede subjacente.