Ponemon研究所最新調(diào)查提供了一些量化的數(shù)字來說明很多信息安全專業(yè)人員已經(jīng)意識到的趨勢，即企業(yè)對移動應(yīng)用安全未投入足夠資金。

[[131186]]

由IBM安全部門贊助的這個《移動應(yīng)用不安全狀況》報告顯示，移動應(yīng)用開發(fā)平均花費為3400萬美元，而其中只有6%(即200萬美元)專門用于安全目的。也許更令人沮喪的是，該調(diào)查發(fā)現(xiàn)在400家受訪企業(yè)中，50%表示他們的移動應(yīng)用開發(fā)預(yù)算中沒有用于安全的預(yù)算，而40%稱他們沒有掃描器移動應(yīng)用中的漏洞。

根據(jù)IBM安全部門表示，這些數(shù)據(jù)顯示了自己開發(fā)移動應(yīng)用的企業(yè)及其客戶面對的一個令人不安的趨勢。“對于掃描移動應(yīng)用漏洞的60%企業(yè)，只要他們沒有發(fā)現(xiàn)問題，客戶也許就沒問題，”IBM安全部門移動管理副總裁Jim Szafranski表示，“但實際情況是，他們在發(fā)現(xiàn)漏洞—幾乎占三分之一。所以，那些未掃描漏洞的40%企業(yè)面臨威脅，他們可能在發(fā)布包含漏洞的移動應(yīng)用。”

Szafranski稱，這項研究并沒有涉及企業(yè)在發(fā)現(xiàn)漏洞后是否修復(fù)漏洞的問題。他表示：“我猜他們會修復(fù)漏洞，但這只是純粹的猜測。”

根據(jù)Ponemon調(diào)查顯示，移動設(shè)備面臨的威脅并不一定是已知惡意軟件被放入到這些新興的應(yīng)用中。該調(diào)查顯示，移動應(yīng)用中普遍存在各種軟件漏洞，例如SSL庫內(nèi)存在的Heartbleed等漏洞。

“這里很大一部分問題在于以安全方式構(gòu)建這些移動應(yīng)用的成熟度，”Szafranski稱，“如果這些漏洞被利用，那么你放在這些設(shè)備中的業(yè)務(wù)數(shù)據(jù)和客戶數(shù)據(jù)都將面臨風(fēng)險。”

在最近幾年，企業(yè)對移動應(yīng)用的使用呈指數(shù)增長，然而，由于應(yīng)用開發(fā)缺乏安全重點而造成的移動電子商務(wù)欺詐等事故也讓企業(yè)蒙受巨大損失。

“人們在急切地?fù)肀б苿有裕?rdquo;Szafranski稱，“你的構(gòu)建、改進(jìn)、推出、再改進(jìn)周期都在6個月內(nèi)發(fā)生，而不再是兩年。”

該調(diào)查顯示，77%的受訪者感覺到他們總是“急于發(fā)布應(yīng)用”。這至少部分解釋了73%的受訪者稱他們?nèi)狈Π踩幋a做法的培訓(xùn)和理解。

此外，82%的受訪者認(rèn)為使用移動應(yīng)用會給其公司帶來風(fēng)險，盡管缺乏對安全應(yīng)用開發(fā)的投資。基于該研究，IBM安全部門斷言，如果企業(yè)想要減少其安全責(zé)任，應(yīng)該控制其員工對移動應(yīng)用的使用。但這種控制現(xiàn)實嗎?

“這是一個很好的問題，因為移動性非常個性化，在很多情況下，技術(shù)的消費化讓你的用戶領(lǐng)先于你，”Szafranski稱，“但肯定有辦法改進(jìn)對移動使用的可視性以及對其的控制。”

即使有正確的BYOD和移動設(shè)備管理政策來防止不安全網(wǎng)絡(luò)或者從不受信任來源下載不安全應(yīng)用，合法的授權(quán)應(yīng)用也可能給用戶帶來風(fēng)險，因為這些應(yīng)用可能包含隱藏但可被利用的漏洞。

因此，企業(yè)應(yīng)該投入更多的資源來保護(hù)移動應(yīng)用開發(fā)。