Cómo asignar la cartera de aplicaciones móviles a OWASP MASVS

Cada vez que hablo con clientes en conferencias y reuniones, invariablemente me preguntan lo mismo sobre las pruebas de seguridad de aplicaciones móviles: ¿Qué debemos probar en nuestra aplicación y cómo debemos priorizar la solución de problemas? La gente quiere orientación sobre cómo realizar modelos de amenazas para gestionar el riesgo de las aplicaciones móviles.

Desafortunadamente, no puedo dar una respuesta simple porque depende de muchas cosas. Si bien cada aplicación móvil debe seguir algún estándar de seguridad, las variables incluyen la función de la aplicación, qué tipo de datos maneja y su perspectiva como desarrollador o usuario.

Sin embargo, los administradores y profesionales de la seguridad de las aplicaciones móviles pueden encontrar una guía de modelado de amenazas específica de la aplicación del Proyecto de seguridad de aplicaciones web abiertas, más conocido como OWASP, una comunidad independiente del proveedor para avanzar en la seguridad de aplicaciones.

Como asignar la cartera de aplicaciones moviles a OWASP MASVS

  • Los 10 mejores móviles: En 2011, OWASP lanzó la lista Mobile Top 10 para identificar los principales problemas de seguridad en los que centrarse.
  • Guía de prueba de seguridad móvil: OWASP desarrolló la Guía de prueba de seguridad móvil (MSTG) para ayudar a los analistas a aprender cómo probar áreas específicas de seguridad de aplicaciones móviles. Este es un gran recurso, pero es del tamaño de una guía telefónica.
  • Estándar de verificación de seguridad de aplicaciones móviles: OWASP creó este recurso para ayudar a los propietarios, arquitectos y desarrolladores de aplicaciones móviles a descubrir cómo abordar los requisitos y las pruebas de verificación de seguridad de las aplicaciones móviles.

los MASVS dominios son los siguientes:

V1: Requisitos de arquitectura, diseño y modelado de amenazas
V2: Requisitos de privacidad y almacenamiento de datos
V3: Requisitos de criptografía
V4: requisitos de autenticación y administración de sesiones
V5: Requisitos de comunicación de red
V6: Requisitos de interacción ambiental
V7: Requisitos de configuración de compilación y calidad del código
V8: resiliencia frente a los requisitos de ingeniería inversa

Recomendamos usar MASVS como punto de partida para desarrollar un plan de ataque de seguridad de aplicaciones móviles. El recurso traduce un modelo de amenaza en requisitos de seguridad para estandarizar el nivel de prueba necesario para gestionar el riesgo. Esto se conoce como el modelo Mobile AppSec.

A medida que probamos aplicaciones, siempre es importante tener una línea de base y comprender por qué ciertos problemas son importantes. Nuestro objetivo con el modelo Mobile AppSec no es probar menos, sino ayudar a los gerentes a tomar mejores decisiones sobre lo que se debe remediar de inmediato. Con ese objetivo en mente, la capacidad de determinar dónde se ubica una aplicación en el modelo conducirá a una mejor toma de decisiones.

Si bien cada aplicación es diferente, la mayoría puede caer en una de las cuatro categorías de requisitos de verificación. El nivel de prueba varía desde la seguridad básica de las aplicaciones móviles hasta las aplicaciones de defensa en profundidad y aquellas que requieren resiliencia de ingeniería inversa, como se ilustra en el diagrama a continuación.

1669802176 474 Como asignar la cartera de aplicaciones moviles a OWASP MASVS

Veamos algunos ejemplos de diferentes tipos de aplicaciones y dónde encajan en el cuadrante. Supongamos que tiene una aplicación móvil que enumera los horarios de los autobuses de transporte público. Esto requiere solo una seguridad mínima porque tiene una funcionalidad limitada y no requiere mucha interacción con el usuario. Tampoco recoge información personal, por lo que sería una L1.

Luego, tenemos una aplicación de gastos de organización que maneja datos altamente confidenciales, como recibos e información transaccional. Sin embargo, el pago de gastos no se maneja dentro de la propia aplicación. Esto requeriría seguridad L2.

Una aplicación de juegos o una aplicación de transmisión de video popular caería en el tercer cuadrante, L1 + R. Eso se debe a que los productores quieren evitar las trampas o proteger su contenido de transmisión. Si alguien descubriera cómo robar películas, el creador de la aplicación se metería en problemas.

Finalmente, pase a las aplicaciones más complejas, supongamos que tiene una aplicación de mensajería de atención médica o una aplicación de transacciones financieras. Estos no solo requieren una defensa en profundidad y resiliencia de ingeniería inversa para proteger los datos, sino que también están sujetos al cumplimiento normativo. Estos serían L2 + R.

Para ayudarlo a usted y a otros analistas de seguridad, arquitectos y gerentes a aplicar el modelo appsec móvil a su cartera de aplicaciones móviles, NowSecure creó recientemente un recurso complementario para MASVS. Descargue la «Guía para gerentes del proyecto de seguridad móvil de OWASP: creación y ejecución de políticas de seguridad basadas en riesgos para aplicaciones móviles» para aprender a estandarizar y escalar las pruebas de seguridad de aplicaciones móviles.

Deja un comentario