在设备上使用第三方应用程序

　　在智能手机、平板电脑、笔记本电脑和台式电脑上评估、分发和使用第三方应用程序的建议

　　所有现代智能手机和许多其他设备都支持第三方应用程序。大多数还提供一个在线市场来安装它们。允许用户和设备访问广泛的应用程序具有明显的优势。但是，重要的是要考虑这些应用程序对设备和数据的风险。

　　本指南将帮助风险所有者和管理员为使用第三方应用程序创建组织策略，从而最大限度地降低风险，同时不限制效用。

　　为什么要保护第三方应用程序？

　　第三方软件定期安装在设备上，通常能够读取和/或修改该设备上的部分或全部用户数据。

　　在某些情况下，应用程序也可以访问您组织的数据。一旦第三方应用程序有机会访问数据，就很难确切知道对这些数据做了什么。一些应用程序将有助于将您的本地数据同步到云服务，一些可能以不安全的方式处理它，而其他应用程序可能会在应用程序中使用第三方库，这些库有自己的安全风险。

　　通过制定概述允许的应用程序类型的组织策略，您将能够更有效地管理与运行第三方代码相关的风险。

　　准备第三方应用程序

　　组织自然会希望利用第三方应用程序提供的生产力优势，因此您需要制定策略来平衡业务需求与信息风险。

　　我们建议分两步思考这个问题：

　　1

　　最大限度地减少设备上出现恶意或不安全应用程序的可能性

　　2

　　最大限度地减少任何恶意或不安全的应用程序的影响

　　图片

　　1. 减少使用恶意或不安全应用程序的可能性

　　理想情况下，将完全阻止恶意和不安全的代码到达设备。在实践中很难100% 确定，但可以采取多种措施。

　　允许列表和拒绝列表

　　针对恶意应用程序的主要防御措施之一是防止已知恶意应用程序在设备上执行。

　　大多数平台使能够强制执行哪些应用程序可以运行，但这可能涉及管理负担，因为它需要手动批准哪些应用程序可以运行。也就是说，这是一种防止恶意代码运行的高效策略，并且非常值得付出代价。

　　在具有应用程序市场的平台上，将能够配置设备，使其不会运行来自任何其他来源的应用程序。然后，您可以应用策略以仅允许安装和运行已批准的应用程序，即所谓的允许列表。相反，您可以指定明确禁止的应用程序的拒绝列表。

　　允许列表是比拒绝列表更好的策略。它们可以在一个轻量级的审批流程中与软件许可和采购活动结合起来。大多数平台上的允许/拒绝列表可以使用移动设备管理进行配置。

　　在某些平台上，应用程序可以通过各种机制交付，而不仅仅是官方市场。在这些情况下，可能需要手动配置受信任的代码签名者，或允许特定的应用程序哈希。例如，在Windows 10 上，可能希望结合使用App Locker和Windows Defender 应用程序控制，以确保只有您信任的应用程序才能运行。通常，您可以在“报告”模式，这实际上并不会阻止任何应用程序运行这些功能，但将有助于汇报的是目前在整个组织中使用和应用的范围，你采用功能将被阻止，如果你以“强制”模式运行功能。

　　正式评估和保证

　　对第三方应用程序的安全性充满信心的一种方法是对应用程序进行正式评估或利用现有的第三方评估。然而，这些可能是昂贵的、短暂的，并且可能无法为提供所需的保证。

　　许多组织提供应用程序评估数据库，有时包括“风险评分”，可以使用它来告知政策。

　　还可以使用：

　　通用标准评估

　　商业产品保证评估产品报告

　　可以使用NIST 方法之类的方法执行内部评估，或者将评估外包给可能采用类似方法的第三方。

　　如果策略在批准新版本之前依赖于对应用程序的最新评估，则需要考虑如何处理应用程序中的安全漏洞以及如何快速采用新版本。

　　声誉评估

　　正式评估通常昂贵、缓慢，而且收益有限。评估应用程序风险的一种经济高效的方法是对应用程序背后的开发人员进行风险评估。通过了解开发人员的安全成熟度，包括历史安全漏洞，可以估计将受到未来安全漏洞影响的可能性。

　　最终，应该致力于了解开发人员安全性的三个方面：

　　1应用程序或开发人员是恶意的可能性与从未听说过的开发人员的应用程序相比，来自大型知名开发人员的应用程序不太可能是恶意的。

　　2涉及该开发人员或应用程序的安全漏洞的可能性使用来自具有良好记录的开发人员的成熟、流行的应用程序将最大限度地降低应用程序易受攻击的风险。

　　3妥协会产生什么影响应该尽量减少允许应用程序访问的敏感数据量。还可以考虑哪些其他类型的组织正在使用该应用程序，以便在该应用程序遭到破坏时，数据只是更大数据集的一小部分。

　　应用商店检查

　　大多数应用程序商店在添加和更新应用程序时都会检查它们是否是恶意的。通过从这样的商店获取您的应用程序，您可以降低应用程序是恶意的风险。但是，这不是保证。大多数商店都在某个时候托管了恶意软件，您应该采取额外的措施来进一步降低风险。

　　您应该考虑应用程序商店检查要查找的内容。大多数检查都是针对彻头彻尾的恶意行为，例如短信欺诈。某些行为（例如将私有数据同步到云服务）可能在商店政策下允许，但在您的企业政策下不允许。阅读应用程序的隐私政策可能会帮助您做出决定。这些通常也可以从分发应用程序的应用程序商店中获得。

　　安全应用

　　在可以从应用程序商店外部安装应用程序的平台上，您可能需要考虑使用 安全应用程序或防病毒软件 来降低执行恶意代码的风险。但是，这种方法只会降低风险，并不能完全消除风险。

　　支持和安全更新

　　在您的设备上使用第三方应用程序时，您应该定期更新它们以确保包含最新的安全修复程序。有关 这方面的进一步建议，请参阅 使您的设备和应用程序保持最新状态。

　　2. 减少使用恶意或不安全应用程序的影响

　　如果发现使用的应用程序是恶意的或不安全的，方法的第二部分应该减少妥协的影响。

　　将工作和个人应用拆分到不同的空间

　　大多数平台都为组织提供了一种配置容器或工作配置文件的方法，以将个人应用程序和工作数据分开。

　　虽然这些空间并非不可渗透，但它们降低了任意第三方应用程序可以访问并可能危及敏感工作数据的风险。如果您对这种分离提供的安全级别感到满意，您组织的第三方应用程序策略可以更加自由。

　　这些空间通常是平台自带设备 （BYOD） 功能的一部分。如果您正在考虑这种方法，您应该阅读我们关于 BYOD的指南。

　　将有风险的应用程序限制为仅适用于需要它们的个人的政策

　　许多移动设备管理产品允许您准确决定允许哪些用户安装和使用应用程序。

　　如果您认为有风险的应用程序，但某些用户对它们有强烈的业务需求，您可以考虑只允许这些用户访问。

　　例如，如果您想让您的社交媒体团队使用将联系人列表同步到云的应用程序，您可能只想为社交媒体团队启用这些应用程序，并设置一些程序控制来限制这些用户的内容‘ 联系人列表。

　　限制访问第三方应用程序的网络架构

　　使用第三方应用程序时，某些网络架构可能会变得更加危险。

　　例如，如果您的设备具有对核心网络的设备范围的 VPN 访问权限，那么所有第三方应用程序也将能够访问该核心网络。如果该网络上存在任何未受保护的数据，则这些应用程序可能能够访问该数据。

　　如果您在网络设计中采用了零信任方法，这需要对每个连接进行身份验证，那么您的系统将更能抵御此类攻击。

　　高权限应用

　　某些应用程序，例如安全产品和管理服务，将以更高的权限运行。这些应用程序对您的数据构成更高的风险，因为它们可能具有更广泛的访问权限，或者受到较少控制以限制入侵的影响。您应该更仔细地考虑这些应用程序的安全性。

　　如何管理第三方应用程序

　　为了帮助您在组织的设备上使用第三方应用程序，您应该：

　　与利益相关者就可接受的风险水平达成一致

　　首先，您应该与主要利益相关者就您的组织可接受的风险水平达成一致。例如：

　　哪些应用行为将被禁止或存在高风险（例如访问与您的全球地址列表同步的设备上的联系人）？

　　您将如何评估供应商的信誉？

　　应用程序是否可能难以遵守任何有关审核存储数据的规定（例如信息自由请求）？

　　制定申请审批流程

　　您可以制定一个流程，根据您同意的可接受风险级别评估应用程序（请参阅上一点）。

　　您应该根据用户生产力需求平衡您的评估：

　　该流程应根据需要包括来自采购、法律、安全、IT 管理员和用户代表的人员。

　　将此流程集成到您的标准软件资产管理例程中并并行运行评估。

　　使流程快速、轻量且响应迅速，以确保用户感觉流程得到了良好的服务。

　　您可以使用第三方评估来帮助您做出决定，但不要完全依赖它们。

　　决定您将如何处理软件更新。大多数流行的移动应用程序每月至少更新一次，您应该能够处理这个问题。

　　定期重新审查您已批准的应用程序，以防情况发生变化。

　　您应该能够将大多数常规业务应用程序批准到您的应用程序目录中供任何人使用。

　　对于您认为有风险的应用程序，您可能希望只允许有强烈业务需求的用户安装它们。

　　作为安全审查的一部分，请查看涉及应用程序或开发人员的历史安全事件，以及您认为相关的任何其他来源。

　　使用架构方法来限制风险

　　如果用户对应用程序的要求可能存在不可接受的风险级别，则可能存在可以降低风险级别的架构方法：

　　某些平台可能提供企业管理第三方应用程序可以使用 MDM请求哪些权限的能力。您可以使用这些功能来防止有风险的应用访问工作数据。

　　如果平台支持，我们建议不要让用户安装来自精选应用商店之外的任意软件。请遵循我们特定于平台的指南，以获取有关如何实现此目标的建议。企业应用程序目录通常为平台提供安全性和灵活性的良好平衡。

　　除非第三方应用正在执行与工作相关的功能，否则不允许第三方应用访问工作数据。这可以通过使用企业所有、个人启用 （COPE）方法或自带设备 （BYOD）方法来实现。在这两种情况下，您都可以让用户在受信任的工作空间之外安装风险较高的应用程序，从而禁止这些应用程序访问工作数据。

　　某些平台可能会提供额外的日志记录功能，使您能够采取信任和验证的方法。

　　如果使用容器，理想的方法是将个人容器作为工作配置文件的一部分（例如，具有 Android Enterprise 工作配置文件配置的完全托管设备），而不是在个人设备上拥有工作容器，反之亦然通常更简单。作为妥协（例如，对于需要管理员权限的开发人员），您可以拥有单独的虚拟机供个人使用或风险较高的行为。