Awọn akoonu tọju
1 Ailewu Standard App
2 ọja Alaye
2.1 Awọn pato
2.2 Nipa Standard
2.3 Idi, Dopin, ati Olugbo Ti A Ti pinnu
2.4 Akiyesi ati Olùgbéejáde Itọsọna
2.5 Awọn Itumọ iwe ati Awọn itọkasi deede
3 Awọn ilana Lilo ọja
3.1 Ijeri
3.1.1 Awọn iṣakoso aabo
3.1.2 AUTHN-BP01 – Ijeri Opo-ọpọlọpọ (MFA)
3.1.2.1 Ilana imuse
3.2 Awọn Ibeere Nigbagbogbo (FAQ)
3.2.1 Q: Kini idi ti Apejọ Ohun elo Ailewu ti CSA?
3.2.2 Q: Tani olugbo ti a pinnu fun Apejọ Ohun elo Ailewu ti CSA?
3.2.3 Q: Kini awọn anfani ti imuse Ijeri Ijẹrisi-ọpọlọpọ (MFA)?
3.3 Awọn iwe aṣẹ / Awọn orisun
3.3.1 Awọn itọkasi
3.4 jẹmọ Posts

Ailewu Standard App

ọja Alaye

Awọn pato

  • Orukọ Ọja: Standard App Safe CSA
  • Ẹya: 1.0
  • Ọjọ Itusilẹ: Oṣu Kini Ọjọ 10th, Ọdun 2024

Nipa Standard

Standard App Ailewu ti CSA jẹ ṣeto awọn itọnisọna ati ti o dara julọ
awọn iṣe fun imuse awọn iṣakoso aabo ìfàṣẹsí ni
mobile ohun elo. O ṣe ifọkansi lati rii daju pe ijẹrisi to ni aabo
awọn ọna ṣiṣe ati aabo data ifura lati iraye si laigba aṣẹ. Awọn
boṣewa ni idagbasoke ni ijumọsọrọ pẹlu orisirisi ajo
ati awọn amoye ni aaye ti cybersecurity.

Idi, Dopin, ati Olugbo Ti A Ti pinnu

Idi ti Ohun elo Ailewu CSA ni lati pese
awọn olupilẹṣẹ pẹlu awọn iṣeduro ati awọn iṣe ti o dara julọ fun imuse
awọn iṣakoso ifitonileti aabo ni awọn ohun elo alagbeka. Awọn bošewa
wulo fun awọn Difelopa ati awọn ajo lowo ninu awọn
idagbasoke ti mobile ohun elo ti o nilo ìfàṣẹsí. O
ti a ṣe lati mu awọn ìwò aabo ti ìfàṣẹsí
ilana ati aabo olumulo ìpamọ.

Akiyesi ati Olùgbéejáde Itọsọna

Standard App Safe CSA n pese itọnisọna si awọn olupilẹṣẹ lori
imuse awọn iṣakoso aabo ijẹrisi. O tẹnumọ awọn
pataki ti awọn wọnyi ile ise ti o dara ju ise ati aridaju awọn
aabo imuse ti ìfàṣẹsí siseto. Awọn olupilẹṣẹ
yẹ ki o tọka si boṣewa fun itọnisọna alaye lori imuse
awọn iṣakoso aabo ti a ṣe iṣeduro.

Awọn Itumọ iwe ati Awọn itọkasi deede

Standard App Safe CSA pẹlu awọn itumọ iwe ati
awọn itọkasi iwuwasi ti o pese asọye lori awọn ọrọ-ọrọ ti a lo
ati tọka si awọn iṣedede ile-iṣẹ ti o yẹ ati awọn itọnisọna.
Awọn olupilẹṣẹ yẹ ki o tọka si awọn asọye ati awọn itọkasi fun a
dara oye ti awọn bošewa.

Awọn ilana Lilo ọja

Ijeri

Ijeri jẹ ẹya pataki paati ti julọ mobile
awọn ohun elo. O jẹrisi idanimọ ti awọn olumulo, awọn alabara,
awọn ohun elo, ati awọn ẹrọ ṣaaju fifun ni iwọle si pato
awọn orisun tabi gbigba awọn iṣe kan. Standard App Ailewu ti CSA
pese awọn iṣeduro ati awọn iṣe ti o dara julọ fun imuse aabo
ìfàṣẹsí idari.

Awọn iṣakoso aabo

Standard App Safe CSA pẹlu atẹle naa
awọn iṣakoso aabo ijẹrisi:

ID Iṣakoso
AUTHN-BP01 Ìfilọlẹ naa nlo Ijeri Opo-ọpọlọpọ (MFA) lati jẹri
ga-ewu lẹkọ.
AUTHN-BP02 Iṣakoso apejuwe
AUTHN-BP03 Iṣakoso apejuwe
AUTHN-BP04 Iṣakoso apejuwe
AUTHN-BP05 Iṣakoso apejuwe
AUTHN-BP06 Iṣakoso apejuwe

AUTHN-BP01 – Ijeri Opo-ọpọlọpọ (MFA)

Ni a ibile nikan-ifosiwewe eto ìfàṣẹsí, awọn olumulo
Ni igbagbogbo nilo lati tẹ Nkankan-O-mọ sii (bii awọn orukọ olumulo
ati awọn ọrọigbaniwọle). Sibẹsibẹ, MFA ṣe afikun awọn ipele ti ijẹrisi idanimọ
nipa nilo afikun ifosiwewe bi Nkankan-O-Ni ati
Nkankan-Iwọ-Ni. Eyi jẹ ki o nija diẹ sii fun irira
olukopa lati fi ẹnuko awọn iroyin ati iyi awọn ìwò aabo ti
ilana ìfàṣẹsí.

Ilana imuse

Awọn olupilẹṣẹ yẹ ki o ṣe Igbesẹ-soke MFA, eyiti o nilo ẹya
afikun ìfàṣẹsí ipele fun ti o ga-ewu lẹkọ. Awọn
Ohun elo Ailewu CSA ṣe pataki fun MFA atẹle
awọn akojọpọ:

  1. Nkankan-O-mọ
  2. Nkankan-O-Ni
  3. Nkankan-Iwọ-Ni

Awọn Ibeere Nigbagbogbo (FAQ)

Q: Kini idi ti Apejọ Ohun elo Ailewu ti CSA?

A: Idi ti CSA's Safe App Standard ni lati pese
awọn olupilẹṣẹ pẹlu awọn iṣeduro ati awọn iṣe ti o dara julọ fun imuse
awọn iṣakoso ifitonileti aabo ni awọn ohun elo alagbeka.

Q: Tani olugbo ti a pinnu fun Ohun elo Ailewu ti CSA
Standard?

A: Standard App Safe CSA jẹ ipinnu fun awọn olupilẹṣẹ ati
ajo lowo ninu idagbasoke ti mobile ohun elo
ti o nilo ìfàṣẹsí.

Q: Kini awọn anfani ti imuse Multi-Factor
Ijeri (MFA)?

A: Ṣiṣe MFA ṣe afikun awọn ipele ti ijẹrisi idanimọ, ṣiṣe
o nija diẹ sii fun awọn oṣere irira lati ba awọn akọọlẹ jẹ ati
imudara aabo gbogbogbo ti ilana ijẹrisi.

View Fullscreen

1

Ẹya Standard App Ailewu ti CSA 1.0 Ti tujade ni Oṣu Kini Ọjọ 10th, Ọdun 2024
2

Ni Ijumọsọrọ Pẹlu:
The Association of Banks Singapore, Lawujọ igbimo lori Cyber ​​Committee Deloitte Southeast Asia Ewu Advisory Ernst & Young Advisory Pte. Ltd.. KPMG ni Singapore Lazada Microsoft Singapore PricewaterhouseCoopers Ewu Services Pte. Ltd.
AlAIgBA:
Awọn ajo wọnyi ni imọran lori Standard fun esi ati awọn asọye lori iṣakoso aabo, apejuwe ti iṣakoso aabo, ati awọn itọnisọna imuse imọ-ẹrọ. Si iye ti o pọ julọ ti a gba laaye labẹ ofin, CSA, ati awọn alamọran ita kii yoo ṣe oniduro fun eyikeyi aiṣedeede, awọn aṣiṣe ati/tabi awọn aiṣedeede ti o wa ninu rẹ tabi fun eyikeyi awọn adanu tabi awọn bibajẹ iru eyikeyi (pẹlu eyikeyi isonu ti awọn ere, iṣowo, ifẹ-rere, tabi olokiki , ati/tabi eyikeyi pataki, isẹlẹ, tabi awọn bibajẹ ti o wulo) ni asopọ pẹlu eyikeyi lilo tabi igbẹkẹle lori Iwọn yii. Awọn ile-iṣẹ ti n ṣe agbekalẹ awọn ohun elo alagbeka, awọn olupese iṣẹ ati awọn olupilẹṣẹ ni a gbaniyanju lati gbero bi a ṣe le lo Standard si awọn ipo pato wọn gba ofin tiwọn ati/tabi imọran imọ-ẹrọ ni ibatan si awọn akoonu ati/tabi imuse ti awọn iṣeduro ninu awọn Ajo Standard to sese mobile awọn lw, awọn olupese iṣẹ ati awọn olupilẹṣẹ yẹ ki o lo idajọ ọjọgbọn ti ati nigba imuse awọn iṣeduro ni Standard, ati pe o tun yẹ ki o gbero boya awọn igbese afikun jẹ pataki ni ibatan si awọn ipo pataki wọn.
3

Awọn akoonu
Ni Ijumọsọrọ Pẹlu:……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………………………………………………… 3 Nipa Standard………………………………………………………………………………………………………………. 3 Idi, Dopin, ati awọn olugbo ti o pinnu ................................................................................................................................................................................................... …………………………………………………………………………………………………. 6 Awọn itumọ iwe ati awọn itọkasi deede ………………………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………………………………………………………………………………………………………
AUTHN-BP01 …………………………………………………………………………………………………………………………………………………………………………. 11 AUTHN-BP01a ……………………………………………………………………………………………………………………………………………………………………………………… 13 AUTHN-BP01b ………………………………………………………………………………………………………………………………………………………………………… 14 AUTHN-BP01c……………………………………………………………………………………………………………………………………………………………………….. 15
AUTHN-BP02 …………………………………………………………………………………………………………………………………………………………………………………. 16 AUTHN-BP03 …………………………………………………………………………………………………………………………………………………………………………………. 17
AUTHN-BP03a ………………………………………………………………………………………………………………………………………………………………………………. 18 AUTHN-BP03b ………………………………………………………………………………………………………………………………………………………………………… 19 AUTHN-BP04 …………………………………………………………………………………………………………………………………………………………………………………. 20 AUTHN-BP05 …………………………………………………………………………………………………………………………………………………………………………………. 21 AUTHN-BP06 …………………………………………………………………………………………………………………………………………………………………………………. 22 ………………………………………………………………………………………………………………………………………………………………………… ………………………. 23 2. Aṣẹ ………………………………………………………………………………………………………………………………………………………………… ……. 24 ONkọwe-BP01 ………………………………………………………………………………………………………………………………………………………………………… .. 25 ONkọwe-BP02 ………………………………………………………………………………………………………………………………………………………………………………… 26 ONkọwe-BP03 …………………………………………………………………………………………………………………………………………. 27 ONkọwe-BP04 ………………………………………………………………………………………………………………………………………………………………………………….. 28 ………………………………………………………………………………………………………………………………………………………………………………… ………….. 29 3. Ibi ipamọ data (Data-ni-isinmi) ………………………………………………………………………………………………………………………………… …. 30 Ibi ipamọ-BP01 ………………………………………………………………………………………………………………………………………………………………………………… 31 Ibi ipamọ-BP02 ………………………………………………………………………………………………………………………………………………………………………………… 32 Ibi ipamọ-BP02a ………………………………………………………………………………………………………………………………………………………………………………… 33 Ibi ipamọ-BP02b ………………………………………………………………………………………………………………………………………………………………………………… 34 Ìpamọ́-BP03 ………………………………………………………………………………………………………………………………………………………………………………… 35 ………………………………………………………………………………………………………………………………………………………………… ……….. 36 4. Anti-Tampering & Anti-Yipadabọ………………………………………………………………………………………………………………………..37 RESILIENCE-BP01 ………………… …………………………………………………………………………………………………………………………………. 38 RESILIENCE-BP02 ………………………………………………………………………………………………………………………………………………………………………………… 39
4

RESILIENCE-BP03 ………………………………………………………………………………………………………………………………………………………………………… 41 RESILIENCE-BP04 ………………………………………………………………………………………………………………………………………………………………………… 42 RESILIENCE-BP05 ………………………………………………………………………………………………………………………………………………………………………………… 43 RESILIENCE-BP06 ………………………………………………………………………………………………………………………………………………………………………………… 44 RESILIENCE-BP07 ………………………………………………………………………………………………………………………………………………………………………………… 45 Awọn itọkasi…………………………………………………………………………………………………………………………………………………………………………………………
5

Nipa Standard
Iṣafihan Apewọn Ohun elo Ailewu jẹ apẹrẹ ti a ṣeduro fun awọn ohun elo alagbeka (awọn ohun elo), ti o dagbasoke nipasẹ Ile-iṣẹ Aabo Cyber ​​​​ti Singapore (CSA), ni ijumọsọrọ pẹlu awọn alabaṣiṣẹpọ ile-iṣẹ lati awọn ile-iṣẹ inawo, awọn ẹgbẹ imọ-ẹrọ, awọn ile-iṣẹ ijumọsọrọ ati awọn ile-iṣẹ ijọba. Pariview Ibi-afẹde ti Standard ni lati fi ipilẹṣẹ iṣeduro ti awọn iṣakoso aabo siwaju fun awọn olupilẹṣẹ ohun elo alagbeka ati awọn olupese lati tẹle. Eyi yoo rii daju pe gbogbo awọn ohun elo agbegbe ni ifaramọ eto iru awọn iṣakoso aabo fun awọn ohun elo alagbeka, nitorinaa igbega awọn ipele aabo ti awọn ohun elo ti o gbalejo ati ti a ṣẹda ni Ilu Singapore.
Idi, Dopin, ati Olugbo Ti A Ti pinnu
Iwe yii jẹ idagbasoke lati pese awọn iṣeduro ati awọn imọran si awọn olupilẹṣẹ lati ṣe iranlọwọ fun wọn ni imuse awọn iṣẹ aabo sinu awọn ohun elo wọn. Iru awọn iṣeduro ati awọn imọran ni ifọkansi si iranlọwọ awọn olupolowo ni idinku lodi si iwoye nla ti awọn irokeke cybersecurity ati ni aabo awọn ohun elo wọn lati awọn itanjẹ alagbeka tuntun ati awọn ilokulo malware alagbeka. Awọn akoonu ti o wa ninu rẹ kii ṣe abuda, ti a pese lori ipilẹ ti kii ṣe igbẹkẹle ati pe o jẹ alaye ni iseda, ati pe ko pinnu lati ṣe idanimọ awọn irokeke cybersecurity ti o pọju tabi pato awọn ilana tabi awọn ọna ṣiṣe ti awọn olupilẹṣẹ yẹ ki o fi sii lati koju tabi ṣe idiwọ iru bẹ. awọn irokeke. Ẹya 1 ti Awọn itọsọna Ailewu App Standard ati awọn iṣakoso aabo yoo dojukọ nipataki lori ipese awọn itọnisọna aabo si awọn olupilẹṣẹ ti awọn ohun elo eewu giga lati koju malware tuntun ti alagbeka ati awọn ilokulo itanjẹ ti a rii ni iwoye ilẹ Singapore. Sibẹsibẹ, awọn iṣakoso aabo wọnyi tun le ni anfani ati imuse nipasẹ awọn ohun elo miiran. A ṣe iṣeduro pe gbogbo awọn olupilẹṣẹ gbiyanju lati ṣe awọn iwọn wọnyi fun imudara aabo ohun elo alagbeka. Botilẹjẹpe Ipele yii ni agbegbe idojukọ akọkọ, awọn iterations iwaju yoo faagun lati koju awọn iṣe aabo ti o dara julọ ati awọn itọsọna fun gbogbo akopọ ohun elo alagbeka.
6

Akiyesi ati Olùgbéejáde Itọsọna
Eleyi jẹ a alãye iwe ti yoo wa ni tunmọ si tunview ati àtúnyẹwò lorekore. Bii ọpọlọpọ awọn iṣedede miiran ti iṣeto, Standard App Ailewu jẹ iwe gbigbe ti yoo ṣe imudojuiwọn nigbagbogbo lati baamu ti lọwọlọwọ ati ala-ilẹ irokeke ewu ati awọn apanija ikọlu tuntun. Jọwọ tọka si awọn CSA webAaye lati wa ni imudojuiwọn pẹlu ẹya tuntun ti Apejọ Ohun elo Ailewu ati mu awọn iwọn aabo ati awọn iṣakoso mu ni ibamu. Iwọnwọn yii yẹ ki o ka ni apapo pẹlu ati pe ko rọpo, yatọ, tabi rọpo eyikeyi ofin, ilana, tabi awọn adehun miiran ati awọn iṣẹ ti awọn olupilẹṣẹ app ati awọn olupese, pẹlu awọn ti o wa labẹ Ofin Cybersecurity 2018, ati eyikeyi ofin oniranlọwọ, awọn koodu iṣe, awọn ajohunše ti iṣẹ, tabi awọn itọnisọna ti a kọ silẹ ti a pese labẹ rẹ. Lilo iwe yii ati imuse awọn iṣeduro ti o wa ninu rẹ ko ṣe yọkuro tabi ṣe idasilẹ ni adaṣe laifọwọyi ti o ṣe agbekalẹ ohun elo ati olupese lati iru awọn adehun tabi awọn iṣẹ ṣiṣe. Awọn akoonu inu iwe yii kii ṣe ipinnu lati jẹ alaye aṣẹ ti ofin tabi aropo fun ofin tabi imọran alamọdaju miiran. Itọnisọna Olùgbéejáde lori Aabo App Standard ilana aabo Fun irọrun ti lilo, awọn olupilẹṣẹ yẹ ki o ṣe akiyesi pe Ẹya 1 ti Aabo App Standard fojusi awọn agbegbe pataki wọnyi, ati pe iwe funrararẹ le pin si awọn abala atẹle wọnyi:
· Ijeri · Aṣẹ · Ipamọ data (Data-ni-isinmi) · Anti-Tamper & Anti-Reversing Awọn agbegbe to ṣe pataki ni o wa pẹlu lati rii daju isọdọtun ti aabo ohun elo alagbeka lodi si awọn ipakokoro ikọlu ti o wọpọ julọ ti awọn oṣere irira lo ninu ilolupo agbegbe wa. Standard App Ailewu n pese eto ti o han gbangba ati ṣoki ti awọn iṣakoso aabo, awọn itọnisọna, ati awọn iṣe ti o dara julọ fun imudara aabo awọn ohun elo alagbeka ti o pese tabi mu awọn iṣowo eewu ga ṣiṣẹ.
7

Awọn Itumọ iwe ati Awọn itọkasi deede
Awọn itumọ iwe wọnyi ni diẹ ninu awọn itumọ ti awọn oludasilẹ ati awọn olukawe yẹ ki o tọju si ọkan bi wọn ṣe nlo iwe-ipamọ yii: Data Sensitive Data User gẹgẹbi Alaye Idanimọ Ti ara ẹni (PII) ati data ijẹrisi gẹgẹbi awọn iwe-ẹri, awọn bọtini fifi ẹnọ kọ nkan, awọn ọrọ igbaniwọle igba kan, data biometric , awọn ami aabo, awọn iwe-ẹri, bbl
· Ayipada si owo awọn iṣẹ diẹ ninu awọn Mofiamples pẹlu ṣugbọn kii ṣe opin si iforukọsilẹ ti awọn alaye payee ẹni-kẹta, alekun iye gbigbe inawo, ati bẹbẹ lọ.
· Bibẹrẹ ti owo lẹkọ diẹ ninu awọn Mofiamples pẹlu ṣugbọn kii ṣe opin si awọn iṣowo owo iye-giga, awọn gbigbe owo iye-giga, awọn iṣowo kaadi ori ayelujara, iraye si debiti taara, awọn iṣẹ ibi ipamọ owo, ati awọn oke-soke, ati bẹbẹ lọ.
· Ayipada si awọn ohun elo ká aabo atunto diẹ ninu awọn Mofiamples ti eyi pẹlu ṣugbọn kii ṣe opin si piparẹ awọn ọna ijẹrisi, mimudojuiwọn awọn ami oni-nọmba tabi awọn iwe-ẹri, ati bẹbẹ lọ.
Awọn iṣakoso aabo Awọn ọna ṣiṣe tabi imọ-ẹrọ ti a ṣeduro ninu iwe yii ti o yẹ ki o ṣe imuse lati ṣakoso, ṣe abojuto, ati dinku awọn ailagbara aabo tabi awọn iṣẹlẹ. Awọn iṣakoso aabo wọnyi ni awọn ID wọnyi ti a so mọ wọn, fun apẹẹrẹ, AUTHN-BP01, AUTHOR-BP01, STORAGE-BP01, RESILIENCE-BP01. Itọkasi Deede Awọn Ailewu App Standard tọka awọn iṣedede ile-iṣẹ lati Ṣii Web Ise agbese Aabo Ohun elo (OWASP), Ile-iṣẹ European Union fun Nẹtiwọọki ati Aabo Alaye (ENISA) ati Standard Aabo Data Ile-iṣẹ Kaadi Isanwo (PCI DSS). Akojọ awọn itọkasi jẹ bi atẹle:
MASVS ti OWASP (Imudaniloju Aabo Ohun elo Alagbeka) · MASTG OWASP (Itọsọna Idanwo Aabo Ohun elo Alagbeka) · Awọn Itọsọna Idagbasoke Aabo ti ENISA (SSDG) · Awọn Itọsọna Aabo Gbigba Isanwo Alagbeka PCI DSS fun Awọn Difelopa
8

9

1. Ijeri

Ọrọ Iṣaaju
Ijeri jẹ ẹya pataki ti awọn ohun elo alagbeka pupọ julọ. Awọn ohun elo wọnyi nigbagbogbo lo ọpọlọpọ awọn fọọmu ti ìfàṣẹsí, pẹlu biometrics, awọn PIN, tabi awọn olupilẹṣẹ koodu ifitonileti ọpọlọpọ-ifosiwewe. Aridaju pe ẹrọ ìfàṣẹsí wa ni aabo ati imuse ni atẹle awọn iṣe ti o dara julọ ti ile-iṣẹ jẹ pataki lati fọwọsi idanimọ olumulo.
Nipa imuse awọn iṣakoso aabo to lagbara fun ijẹrisi, awọn olupilẹṣẹ le rii daju pe awọn olumulo ti o jẹri nikan, awọn alabara, awọn ohun elo ati awọn ẹrọ le wọle si awọn orisun kan pato tabi ṣe awọn iṣe kan. Nipasẹ awọn iṣakoso ijẹrisi to ni aabo, awọn olupilẹṣẹ tun le dinku eewu ti iraye si data laigba aṣẹ, ṣetọju iduroṣinṣin ti data ifura, ṣe atilẹyin aṣiri olumulo ati daabobo iduroṣinṣin ti awọn iṣẹ ṣiṣe iṣowo eewu giga.
Awọn iṣakoso ti o wa ninu ẹka yii ni ifọkansi lati ṣeduro awọn iṣakoso aabo ijẹrisi ti ohun elo yẹ ki o ṣe lati daabobo data ifura ati ṣe idiwọ iraye si laigba aṣẹ. O tun fun awọn olupilẹṣẹ awọn iṣe ti o dara julọ ti o yẹ lati ṣe awọn iṣakoso aabo wọnyi.
aabo idari

ID

Iṣakoso

AUTHN-BP01 AUTHN-BP01a AUTHN-BP01b AUTHN-BP01c AUTHN-BP02 AUTHN-BP03 AUTHN-BP03a AUTHN-BP03b AUTHN-BP04 AUTHN-BP05 AUTHN-BP06

Lo Ijeri Olona-ifosiwewe lati jẹrisi awọn iṣowo eewu giga. Ṣe imuṣẹ Nkankan-O-mọ ijẹrisi bi ọkan ninu awọn okunfa MFA. Mu Nkankan-O-Ni ìfàṣẹsí bi ọkan ninu awọn okunfa MFA. Mu Nkankan-Iwọ-Ṣe ijẹrisi bi ọkan ninu awọn okunfa MFA. Lo awọn ifosiwewe ti o da lori ọrọ-ọrọ lati jẹri. Ṣe imudari igba to ni aabo. Ṣe imudara ifitonileti ti o ni aabo. Ṣe imudaniloju ti ko ni aabo. Ṣiṣe ifopinsi igba to ni aabo lakoko ijade, aiṣiṣẹ, tabi pipade ohun elo. Ṣiṣe aabo agbara iro fun ìfàṣẹsí. Ṣiṣe ilana iṣeduro iṣeduro iṣowo idunadura.

10

AUTHN-BP01
Iṣakoso
Ìfilọlẹ naa nlo Ijeri Opo ifosiwewe (MFA) lati jẹri awọn iṣowo eewu giga.
Apejuwe
Ninu eto ijẹrisi-ifosiwewe kan ti aṣa, awọn olumulo nigbagbogbo nilo lati tẹ Nkankan-YouKnow1 wọle nikan gẹgẹbi awọn orukọ olumulo ati awọn ọrọ igbaniwọle. Bibẹẹkọ, ti ifosiwewe ẹyọkan yii ba kuna tabi ti gbogun, gbogbo ilana ijẹrisi jẹ ipalara si awọn irokeke.
MFA jẹ ilana ìfàṣẹsí ti o ṣafikun awọn ipele ti ijẹrisi idanimọ, nbeere kii ṣe Nkankan-O-mọ nikan ṣugbọn Nkankan-O-Ni2 ati Nkankan-O-Are3. Gbigbe MFA jẹ ki o nija diẹ sii fun awọn oṣere irira lati ba awọn akọọlẹ jẹ ki o mu aabo gbogbogbo ti ilana ijẹrisi naa pọ si.
Ilana imuse
Awọn olupilẹṣẹ yẹ ki o lo Igbesẹ-soke MFA. O jẹ iru MFA kan pato nibiti ohun elo naa ṣafikun ilana ijẹrisi ti o nilo ipele ijẹrisi afikun, paapaa nigba igbiyanju awọn iṣowo eewu ti o ga julọ.
Awọn olupilẹṣẹ yẹ ki o ṣe pataki awọn akojọpọ MFA wọnyi ni aṣẹ 1, 2, 3, ati 4, pẹlu aṣayan 1 bi yiyan to ni aabo julọ.

Awọn Okunfa / Aṣayan Nkankan-O Mọ Nkankan-O Ni
· Àmi software · Àmi Hardware · SMS OTP Nkankan-O-Se

1

2

3

4

1 Nkankan-O-mọ tọka si alaye ti olumulo mọ, gẹgẹbi PIN (Nọmba Idanimọ Ara ẹni), ọrọ igbaniwọle, tabi ilana, ati bẹbẹ lọ. n ṣe awọn iwe-ẹri ijẹrisi, eyiti o le pẹlu Awọn Ọrọigbaniwọle Igba Kan ti o da lori akoko (OTPs). Examples ti iru àmi ni software àmi, hardware àmi, ati SMS OTP. 3 Nkankan-You-Are n tọka si awọn idamọ biometric, nibiti a ti lo awọn abuda ti ara alailẹgbẹ olumulo fun ijẹrisi, gẹgẹbi awọn ika ọwọ, awọn ọlọjẹ retina, idanimọ oju, tabi idanimọ ohun.
11

Awọn oludasilẹ gba nimọran gidigidi lati ma gbẹkẹle SMS ati imeeli OTP bi ikanni kan fun ijẹrisi fun awọn iṣowo eewu giga. Ti o ko ba ni anfani lati ṣe, o ṣe pataki lati ṣe imuse ifosiwewe biometric tabi ifosiwewe ijẹrisi afikun ni apapo pẹlu SMS OTP ati imeeli OTP. Awọn nkan akiyesi
· O ti wa ni strongly niyanju lati yan pa-ni-selifu solusan nigbati o ti ṣee. · Awọn Difelopa yẹ ki o rii daju wipe o kere kan MFA ifosiwewe ti wa ni wadi lori awọn ose-ẹgbẹ, pẹlu gbogbo awọn
awọn miran wadi lori olupin-ẹgbẹ. Ni awọn ọran nibiti o ti jẹri ijẹrisi ni ẹgbẹ alabara, pataki fun Android, fi ipa mu koodu orisun ti Ayika Igbẹkẹle Igbẹkẹle (TEE). · Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
o OWASP Alagbeka Ohun elo Aabo Ijerisi Standard (MASVS) v2.0.0 (2023), pg. 21.
o OWASP Alagbeka Ohun elo Aabo Itọsọna Idanwo (MASTG) v1.7.0 (2023), pg. 51, 56. o Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ MAS (2021), pg. 34, 50. o ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 11.
12

AUTHN-BP01a Ìṣàfilọlẹ ìṣàfilọlẹ náà ń ṣe ìfàṣẹ̀sí Nkankan-Ìwọ-mọ̀ gẹ́gẹ́ bí ọ̀kan lára ​​àwọn ohun MFA. Apejuwe Nkankan-O-mọ duro fun ipilẹ ipilẹ ti ijẹrisi idanimọ ti o kan alaye ti a mọ si olumulo nikan, gẹgẹbi PIN (Nọmba Idanimọ Ara ẹni), ọrọ igbaniwọle, apẹrẹ, ati bẹbẹ lọ Ṣiṣe Nkankan-O-mọ bi ọkan ninu awọn ifosiwewe MFA ṣe idaniloju. ipele ipilẹ ti ijẹrisi idanimọ nipasẹ nilo awọn olumulo lati pese alaye alailẹgbẹ ti o ni nkan ṣe pẹlu awọn akọọlẹ wọn. O jẹ ifosiwewe pataki ni ipilẹ ti “Nkankan-O-mọ, Nkankan-O Ni, ati Nkankan-Iwọ-Ni,” ti n ṣe idasi si okeerẹ ati imunadoko ilana aabo olona-siwa. Itọnisọna imuse Awọn Difelopa yẹ ki o gba awọn itọnisọna wọnyi ni ṣiṣẹda awọn ọrọ igbaniwọle to lagbara ati aabo:
· Rii daju ipari ọrọ igbaniwọle to kere ju ti awọn ohun kikọ 12 tabi diẹ sii. Ṣafikun akojọpọ awọn lẹta nla ati kekere, awọn nọmba, ati awọn lẹta pataki ti o ni opin si
~`! @#$%^&*()_-+=:;,.? Awọn olupilẹṣẹ yẹ ki o tun ṣe idanimọ ati yago fun awọn ipalara ti o wọpọ ni ṣiṣẹda ọrọ igbaniwọle:
· Yago fun lilo awọn ọrọ amoro, awọn gbolohun ọrọ, tabi awọn akojọpọ. · Yago lati ṣafikun awọn alaye ti ara ẹni. · Yiyọ kuro ninu awọn ohun kikọ ti o tẹle (fun apẹẹrẹ, “123456”) tabi awọn ohun kikọ leralera (fun apẹẹrẹ, “aaaaa”). Awọn nkan lati ṣe akiyesi · Awọn olupilẹṣẹ yẹ ki o fi ipa mu yiyi ijẹrisi nikan lori awọn ohun-ini eleto tabi ti ko ba si
Imuse MFA lori opin olumulo, fun apẹẹrẹ yipada ni ọdọọdun tabi gẹgẹ bi akoko asiko ti o yẹ. · Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn)
ti a pese ni: o Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ MAS (2021), pg. 34. o ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 10.
13

AUTHN-BP01b Ìṣàfilọlẹ ìṣàfilọlẹ náà ńmúṣẹ Nkankan-O Ní ìfàṣẹ̀sí gẹ́gẹ́ bí ọ̀kan lára ​​àwọn ohun MFA. Apejuwe Nkankan-O Ni nbeere awọn olumulo lati jẹri pẹlu ẹrọ ti ara, app, tabi ami-ami ti o ṣe agbekalẹ awọn iwe-ẹri ijẹrisi, eyiti o le pẹlu Awọn Ọrọigbaniwọle Igba-akoko kan (OTPs). Examples ti iru àmi ni software àmi, hardware àmi, ati SMS OTP. Ṣiṣe Nkankan-O Ni bi ọkan ninu awọn okunfa MFA ṣe afikun idiju si ilana ijẹrisi nipa wiwa ohun-ini ti nkan ojulowo, ni pataki idinku iṣeeṣe ti iraye si laigba aṣẹ. O jẹ ifosiwewe to ṣe pataki ni ipilẹ ti “Nkankan-O-mọ, Nkankan-O Ni, ati Nkankan-Iwọ-Ni,” ti n ṣe idasi si okeerẹ ati imunadoko ilana aabo olona-siwa. Itọnisọna imuse Awọn Difelopa yẹ ki o lo OTP ti o da lori akoko fun awọn ami sọfitiwia, awọn ami ohun elo ati SMS OTP. Awọn itọnisọna wọnyi yẹ ki o tẹle:
· OTP yẹ ki o wulo nikan fun ko ju 30s lọ. OTP kan ti o jẹ titẹ sii ni aṣiṣe lẹhin awọn igbiyanju mẹta yẹ ki o jẹ asan, ati pe igba olumulo
yẹ ki o fagilee tabi kọ. Awọn nkan akiyesi
· Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni: o OWASP Itọsọna Idanwo Aabo Ohun elo Alagbeka (MASTG) v1.7.0 (2023), pg. 56-57. Eyin Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ MAS (2021), pg. 50, 51. o ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 10.
14

AUTHN-BP01c
Ṣakoso ohun elo naa ṣe imuse Nkankan-Iwọ-Ni ijẹrisi bi ọkan ninu awọn ifosiwewe MFA.
Apejuwe Nkankan-O-jẹ nbeere awọn olumulo lati jẹri pẹlu awọn idamọ biometric gẹgẹbi awọn ika ọwọ, awọn ọlọjẹ retina, tabi idanimọ oju. Ṣiṣe Nkankan-O-Ṣe bi ọkan ninu awọn okunfa MFA ṣe afikun ohun ti ara ẹni ti o ga pupọ ati ti o nira lati ṣe atunṣe ifosiwewe ìfàṣẹsí. O pese ọna ti o lagbara diẹ sii ti ijẹrisi idanimọ olumulo ju Nkankan-O-mọ ati Nkankan-O-Ni awọn ifosiwewe, dinku eewu wiwọle laigba aṣẹ. O jẹ ifosiwewe pataki ni ipilẹ ti “Nkankan-O-mọ, Ohunkan-O Ni, ati Nkankan-O jẹ,” ti n ṣe idasi si okeerẹ ati imunadoko ilana aabo olona-siwa. Itọnisọna imuse Awọn Difelopa yẹ ki o ṣe ifitonileti biometric ti ẹgbẹ olupin ni lilo iru ẹrọ idanimọ biometric ti o gbẹkẹle bii Singpass. Bibẹẹkọ, ti ko ba ṣeeṣe, awọn olupilẹṣẹ yẹ ki o ṣe ijẹrisi biometric-ẹgbẹ alabara nipasẹ awọn ẹrọ Ayika Igbẹkẹle Ipaniyan (TEEs) gẹgẹbi CryptoObject ati Ijẹrisi Idaabobo Android fun Android tabi awọn iṣẹ Keychain fun iOS. Awọn nkan akiyesi
· Awọn olupilẹṣẹ yẹ ki o ṣe idinwo awọn iṣẹ ṣiṣe awọn ohun elo lori awọn ẹrọ ti ko ni hardware Gbẹkẹle Ayika Igbẹkẹle (TEE) tabi biometrics. Fun example, Android awọn ẹrọ ew TEE le ṣee wa-ri nipa lilo “isInsideSecureHardware” Android API.
· Awọn olupilẹṣẹ yẹ ki o sọ ifitonileti biometric di asan ti awọn ayipada ba waye ninu ẹrọ biometric, bii iforukọsilẹ itẹka tuntun lori ẹrọ naa. Mejeeji iOS ati awọn iru ẹrọ Android ṣe atilẹyin eto eto bọtini crypto app kan lati pari ni idahun si iru awọn ayipada.
· Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni: o OWASP Itọsọna Idanwo Aabo Ohun elo Alagbeka (MASTG) v1.7.0 (2023), pg. 227233, 422-426. Eyin Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ MAS (2021), pg. 51. o ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 11, 26.
15

AUTHN-BP02
Ṣakoso ohun elo naa nlo awọn ifosiwewe ti o da lori ọrọ-ọrọ lati jẹri. Apejuwe Awọn ifosiwewe orisun-ọrọ ṣafihan awọn eroja ti o ni agbara gẹgẹbi ipo olumulo ati awọn abuda ẹrọ. Lakoko ti MFA n pese ipele aabo ti o lagbara nipasẹ wiwa awọn ifosiwewe ijẹrisi lọpọlọpọ, iṣakojọpọ awọn ifosiwewe ti o da lori ọrọ ṣẹda ilana imudara ti o ni kikun ati imudara ti o le funni ni awọn anfani ni afikun ni sisọ awọn ewu idagbasoke ti iraye si laigba aṣẹ. Ṣiṣe awọn ifosiwewe ti o da lori ọrọ-ọrọ dinku igbẹkẹle lori awọn iwe-ẹri aimi, ti o jẹ ki o nija diẹ sii fun awọn oṣere irira lati gbiyanju iraye si laigba aṣẹ. Itọnisọna imuse Awọn Difelopa yẹ ki o ṣe akiyesi awọn ifosiwewe ọrọ-ọrọ wọnyi lati jẹrisi idanimọ olumulo kan:
· Geolocation: Gba wiwọle da lori awọn gidi-aye ipo ti ẹrọ kan nipa lilo GPS, Wi-Fi, tabi IP adirẹsi geolocation.
· Iru ẹrọ: Gba iwọle si da lori awọn abuda ti ẹrọ kan. Fun apẹẹrẹ iwọn iboju le pinnu boya ẹrọ kan jẹ foonuiyara tabi tabulẹti.
Awọn nkan lati ṣe akiyesi Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Itọsọna Idanwo (MASTG) v1.7.0 (2023), pg. 56, 58. · ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 11.
16

AUTHN-BP03
Ṣakoso ohun elo naa n ṣe ijẹrisi igba to ni aabo. Apejuwe Ijeri igba to ni aabo ṣe idaniloju iṣakoso igba to logan fun mejeeji ti ipinlẹ ati ti ijẹrisi. Awọn akoko iṣakoso ti ko dara, laibikita boya ohun elo naa tẹle awọn ọna ijẹrisi stateful4 tabi stateless5, le ja si awọn irokeke aabo gẹgẹbi iraye si laigba aṣẹ, jija igba, tabi irufin data. Ṣiṣẹda ijẹrisi igba to ni aabo fun awọn akoko ipinlẹ n gba awọn idamọ igba to ni aabo, ibaraẹnisọrọ ti paroko ati awọn akoko asiko to dara lati ṣe idiwọ iraye si laigba aṣẹ. Fun ìfàṣẹsí orilẹ-ede, o idaniloju wipe àmi ni o wa tamper-sooro, mimu ìfàṣẹsí iyege lai gbigbe ara lori olupin-ẹgbẹ ibi ipamọ. Itọnisọna imuse Awọn Difelopa yẹ ki o ṣe ifitonileti igba to ni aabo nipasẹ gbigba awọn iṣe ti o dara julọ wọnyi fun ipinlẹ (AUTHN-BP03a) ati awọn ọna ijẹrisi (AUTHN-BP03b) ti ko ni ipinlẹ fun awọn akoko. Awọn nkan lati ṣe akiyesi Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Itọsọna Idanwo (MASTG) v1.7.0 (2023), pg. 51-55. · Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ MAS (2021), pg. 51. · ENISA Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 10.
4 Ijeri ipinlẹ n tọka si iṣakoso awọn ipinlẹ igba ni ẹgbẹ olupin, ni igbagbogbo nilo lilo awọn idamọ igba. 5 Ijeri orilẹ-ede n tọka si iṣakoso awọn akoko laisi titoju alaye ti o ni ibatan olumulo lori ẹgbẹ olupin.
17

AUTHN-BP03a Iṣakoso ìṣàfilọlẹ naa n ṣe ifitonileti ipinlẹ to ni aabo. Apejuwe Ijeri ipo to ni aabo pẹlu aabo ati mimu awọn akoko itẹramọṣẹ. Lakoko ti ijẹrisi ipinlẹ n pese iriri olumulo alailabawọn nipasẹ awọn akoko olumulo itẹramọṣẹ, o le jẹ ipalara si ọpọlọpọ awọn irokeke aabo, gẹgẹbi awọn oṣere irira ti ngbiyanju lati ji awọn idamọ igba. Ṣiṣẹda ijẹrisi ipinlẹ to ni aabo ṣe aabo awọn akọọlẹ olumulo lati iraye si laigba aṣẹ ati awọn ailagbara ti o ni nkan ṣe pẹlu iṣakoso igba lai ba dọgbadọgba laarin lilo ati aabo. Itọnisọna imuse Awọn Difelopa yẹ ki o ṣe idanimọ awọn aaye opin ẹgbẹ olupin ti o ṣafihan alaye ifura tabi awọn iṣẹ ṣiṣe to ṣe pataki. Awọn olupilẹṣẹ yẹ ki o tun gba awọn iṣe iṣe ti o dara julọ ti ijẹrisi igba ipinlẹ wọnyi:
· Kọ awọn ibeere pẹlu sonu tabi invalid igba ID tabi àmi. Ṣe ipilẹṣẹ awọn ID Ikoni laileto ni ẹgbẹ olupin laisi fifi wọn si URLs. # Ṣe ilọsiwaju aabo awọn ID Igba pẹlu gigun to dara ati entropy, ṣiṣe lafaimo nira. · Ṣe paṣipaarọ awọn ID Ikoni nikan lori awọn asopọ HTTPS to ni aabo. · Yago fun titoju awọn ID igba ni ibi ipamọ jubẹẹlo. · Ṣayẹwo awọn ID igba fun iraye si olumulo si awọn eroja app ti o ni anfani. · Fi opin si awọn akoko ni ẹgbẹ olupin, piparẹ alaye igba ni akoko ijade tabi ijade kuro. Awọn nkan lati ṣe akiyesi Ti o ba ni iyemeji, ronu nipa lilo awọn iru ẹrọ ìfàṣẹsí igbẹkẹle ati awọn ilana. Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọkasi awọn iwe (awọn) ti a pese ni: · OWASP Alagbeka Itọsọna Idanwo Aabo Ohun elo (MASTG) v1.7.0 (2023), pg. 52.
18

AUTHN-BP03b Ìṣàkóso Ìṣàfilọ́lẹ̀ náà ń ṣe ìfàṣẹ̀sí àìsí orílẹ̀-èdè. Apejuwe Ijeri ti ko ni aabo ni aabo pẹlu awọn iṣe ami to ni aabo fun imunadoko ati ti iwọn. Lakoko ti ijẹrisi aini orilẹ-ede n pese awọn anfani, o le jẹ ipalara diẹ sii si awọn irokeke aabo gẹgẹbi afarawe olumulo ti awọn ami ko ba ni ipilẹṣẹ ni aabo, gbigbe ati fipamọ. Ṣiṣe iṣeduro ti ko ni aabo ti orilẹ-ede ni idaniloju pe ami-ẹri kọọkan ni a mu ni aabo lakoko ti o n gba awọn anfani ti ṣiṣe ati iwọn, dinku eewu ti iraye si laigba aṣẹ. Itọnisọna imuse Awọn Difelopa yẹ ki o gba awọn iṣe ti o dara julọ ti ijẹrisi igba ti orilẹ-ede wọnyi:
Ṣe ina awọn ami si ẹgbẹ olupin laisi fifi wọn kun si URLs. · Mu aabo awọn ami sii pẹlu gigun to dara ati entropy, ṣiṣe lafaimo nira. · Ṣe paṣipaarọ awọn ami nikan lori awọn asopọ HTTPS to ni aabo. · Daju pe ko si data ifura, gẹgẹbi PII, ti wa ni ifibọ sinu awọn ami. · Yago fun titoju awọn ami ni ibi ipamọ jubẹẹlo. · Daju awọn ami fun iraye si olumulo si awọn eroja app ti o ni anfani. · Pa awọn ami kuro ni ẹgbẹ olupin, piparẹ alaye awọn ami lori akoko ti o ti pẹ tabi jade. · Cryptographically fowo si awọn ami ami lilo alugoridimu to ni aabo, yago fun lilo awọn algoridimu asan. Awọn nkan lati ṣakiyesi · Ti o ba ni iyemeji, ronu nipa lilo awọn iru ẹrọ ìfàṣẹsí igbẹkẹle ati awọn ilana. · Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn)
pese ni: o OWASP Alagbeka Ohun elo Aabo Itọsọna Igbeyewo (MASTG) v1.7.0 (2023), pg. 52-53.
19

AUTHN-BP04
Ṣakoso ohun elo naa n ṣe ifopinsi igba to ni aabo lakoko ijade, aiṣiṣẹ tabi pipade app. Apejuwe Ifipinsi igba to ni aabo ṣe idaniloju pipade imunadoko ti awọn akoko olumulo. Ninu awọn oju iṣẹlẹ bii ijade jade, aiṣiṣẹ, tabi awọn oju iṣẹlẹ pipade app, agbara wa fun awọn oṣere irira lati lo nilokulo eyikeyi awọn aaye iwọle idaduro ti awọn akoko ko ba ni iṣakoso daradara. Ṣiṣe ifopinsi igba to ni aabo lakoko ijade kuro, aiṣiṣẹ tabi pipade app le dinku eewu iraye si laigba aṣẹ ni pataki nipasẹ fopin si awọn akoko olumulo laifọwọyi ati aabo alaye olumulo lati wọle si nipasẹ awọn ẹgbẹ laigba aṣẹ. Itọnisọna imuse Awọn Difelopa yẹ ki o tun jẹri awọn olumulo lẹhin jijade, aiṣiṣẹ app, aiṣiṣẹ, isale, awọn akoko igba pipe, tabi pipade airotẹlẹ/ipa. Awọn olupilẹṣẹ yẹ ki o tun ṣe agbekalẹ awọn idamọ igba tuntun lori olupin nigbakugba ti awọn olumulo ba gbe soke si ipele ijẹrisi tuntun lati ṣe idiwọ imuduro igba. Awọn nkan akiyesi
· Awọn olupilẹṣẹ yẹ ki o rii daju pe ifopinsi igba pẹlu piparẹ tabi pipaṣẹ aṣẹ gbogbo awọn ami ti o fipamọ ni agbegbe tabi awọn idamọ igba.
· Awọn olupilẹṣẹ yẹ ki o pinnu iye akoko isinṣiṣẹ ti o da lori eewu ati iru awọn iṣẹ inawo.
· Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni: o OWASP Itọsọna Idanwo Aabo Ohun elo Alagbeka (MASTG) v1.7.0 (2023), pg. 55-56, 58. o MAS Awọn ilana iṣakoso Ewu Imọ-ẹrọ (2021), pg. 51. o ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 11.
20

AUTHN-BP05
Ṣakoso ohun elo naa n ṣe aabo agbara iro fun ìfàṣẹsí. Apejuwe awọn ikọlu agbara Brute jẹ adaṣe adaṣe ati awọn igbiyanju ifinufindo lati gboju awọn ẹri olumulo, fun example, nipa gbiyanju orisirisi awọn akojọpọ ti olumulo ati awọn ọrọigbaniwọle lati jèrè wiwọle laigba aṣẹ. Idaabobo agbara Brute ṣe ihamọ nọmba awọn igbiyanju iwọle laarin akoko kan pato. Ṣiṣe aabo agbara irokuro fun ijẹrisi le dinku eewu ti iraye si laigba aṣẹ, daabobo awọn akọọlẹ olumulo ati ṣetọju iduroṣinṣin ti ilana ijẹrisi naa. Itọnisọna imuse Awọn Difelopa yẹ ki o ṣe awọn ilana agbara iro nipasẹ awọn iṣe ti o dara julọ wọnyi:
· Ṣiṣe awọn sọwedowo egboogi-adaaṣe. · Waye idiwọn oṣuwọn fun awọn igbiyanju wiwọle. Ṣafikun awọn idaduro akoko ilọsiwaju ti ilọsiwaju (fun apẹẹrẹ awọn aaya 30, iṣẹju 1, iṣẹju 2, 5).
iṣẹju) fun awọn igbiyanju wiwọle. Fi agbara mu awọn titiipa akọọlẹ. Awọn nkan lati ṣe akiyesi · Awọn olupilẹṣẹ yẹ ki o ṣe akiyesi pe gbogbo awọn ọna ṣiṣe MFA jẹ ipalara si agbara iro. · Awọn olupilẹṣẹ yẹ ki o ṣafihan awọn idi fun titiipa akọọlẹ ati pese awọn ọna wiwọle
fun awọn olumulo lati jẹrisi ara wọn ati yọ titiipa kuro. Examples pẹlu pipe laini iranlọwọ tabi lilo ijẹrisi biometric. · Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
o ENISA Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 10, 16.
21

AUTHN-BP06
Ṣakoso ohun elo naa n ṣe ilana ṣiṣe ijẹrisi idunadura iyege. Apejuwe Lakoko ti ijẹrisi ṣe idaniloju idanimọ olumulo, ko ṣe imukuro iṣeeṣe awọn iṣẹ arekereke lakoko ilana idunadura naa. Awọn ọna ṣiṣe ijẹrisi iduroṣinṣin iṣowo jẹ awọn iṣẹ aabo iranlọwọ ti o fun awọn olumulo ni akoko ati awọn irinṣẹ lati fesi si awọn arekereke ti o pọju. Sise siseto ijerisi iṣotitọ idunadura kan ni idaniloju pe iṣowo kọọkan ṣe ayẹwo ni kikun lati jẹrisi deede ati ododo rẹ. Itọnisọna imuse Awọn Difelopa le ṣe imuse awọn iṣe ti o dara julọ ti a daba wọnyi:
· Bẹrẹ iṣeduro idunadura kan/ipe ijẹrisi. Pese itan iṣowo akoko gidi kan. · Ṣiṣe akoko itutu ti wakati 12 si awọn wakati 24. · Pa awọn iṣowo okeokun nipasẹ aiyipada; mu ṣiṣẹ nikan nipasẹ MFA. Awọn nkan lati ṣe akiyesi Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni: · OWASP Alagbeka Itọsọna Idanwo Aabo Ohun elo (MASTG) v1.7.0 (2023), pg. 57-58.
22

23

2. Aṣẹ

Ọrọ Iṣaaju
Aabo iwe-aṣẹ nṣiṣẹ ni apapo pẹlu aabo ijẹrisi. Aabo aṣẹ ni awọn ohun elo alagbeka jẹ laini aabo to ṣe pataki bi o ṣe ṣalaye tani o le wọle si kini awọn orisun laarin ohun elo kan. O ṣẹda awọn iṣakoso eto ati pe o fọwọsi awọn ẹtọ wiwọle olumulo laarin ohun elo kan.
Awọn olupilẹṣẹ le rii daju pe awọn olumulo ti a fun ni aṣẹ nikan, awọn alabara, awọn ohun elo, ati awọn ẹrọ le wọle si awọn orisun kan pato tabi ṣe awọn iṣe kan nipa imuse awọn iṣakoso aṣẹ ti o lagbara ati awọn iṣeto aṣẹ. Nipasẹ awọn iṣakoso aṣẹ, awọn olupilẹṣẹ tun le dinku eewu ti iraye si data laigba aṣẹ, ṣetọju iduroṣinṣin ti data ifura, ṣe atilẹyin aṣiri olumulo ati daabobo iduroṣinṣin ti awọn iṣẹ ṣiṣe iṣowo eewu. Botilẹjẹpe imuṣiṣẹ ti awọn ẹrọ wọnyi gbọdọ wa lori aaye ipari jijin, o ṣe pataki bakanna fun ohun elo ẹgbẹ-ẹgbẹ lati tẹle awọn iṣe ti o dara julọ ti o yẹ lati rii daju lilo aabo ti awọn ilana aṣẹ ti o kan.
Awọn iṣakoso inu ẹka yii n pese awọn iṣakoso aabo aṣẹ ti ohun elo yẹ ki o ṣe lati daabobo data ifura ati ṣe idiwọ iraye si laigba aṣẹ. O tun fun awọn olupilẹṣẹ awọn iṣe ti o dara julọ ti o yẹ lori bi o ṣe le ṣe imuse awọn iṣakoso aabo wọnyi.
aabo idari

ID

Iṣakoso

AUTHOR-BP01 Ṣe imuṣẹ aṣẹ-ẹgbẹ olupin.

AUTHOR-BP02 Ṣe imuṣẹ aṣẹ-ẹgbẹ alabara nipasẹ sisọ ohun elo.

AUTHOR-BP03 Ṣe akiyesi awọn olumulo ti gbogbo awọn igbanilaaye ti a beere ṣaaju ki wọn to bẹrẹ lilo ohun elo naa.

AUTHOR-BP04

Ṣe akiyesi awọn olumulo fun gbogbo awọn iṣowo ti o ni eewu ti o ti fun ni aṣẹ ati ti pari.

24

AUTHOR-BP01
Ṣakoso ohun elo naa nmu aṣẹ-ẹgbẹ olupin ṣiṣẹ. Apejuwe Aṣẹ-ẹgbẹ olupin n tọka si ifẹsẹmulẹ ati fifun awọn igbanilaaye iwọle si awọn olumulo tabi awọn ohun elo nipasẹ olupin tabi olupin aṣẹ. Eyi ṣe idaniloju pe awọn ipinnu iṣakoso wiwọle ati awọn igbanilaaye ni iṣakoso ati fi agbara mu ni ẹgbẹ olupin kuku ju alabara lọ. Nipa imulo awọn olupin-ẹgbẹ ašẹ, Difelopa din anfani fun irira attackers lati tamper tabi fori awọn igbese aabo lori app naa lati ni iraye si laigba aṣẹ si data ifura (ie PIIs ati data Ijeri). Itọnisọna imuse Awọn Difelopa yẹ ki o ṣe aṣẹ-aṣẹ ẹgbẹ olupin lẹhin ijẹrisi aṣeyọri, ṣaaju fifun awọn igbanilaaye iwọle. Awọn olupilẹṣẹ yẹ ki o rii daju pe awọn olumulo ni iraye si da lori atẹle yii:
· Ipa ti a sọtọ pẹlu awọn igbanilaaye: Rii daju pe awọn olumulo le ṣe awọn iṣẹ ṣiṣe ti o nii ṣe pẹlu awọn ojuse wọn nikan.
· Awọn ifosiwewe asọye: Awọn oju iṣẹlẹ wiwọle ti o ni agbara bii Akoko Wiwọle ati Iṣayẹwo ihuwasi.
Awọn nkan lati ṣe akiyesi Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Itọsọna Idanwo (MASTG) v1.7.0 (2023), pg. 50-55, 58. · PCI Mobile Isanwo Gbigba Awọn Itọsọna Aabo v2.0.0 (2017), pg. 10. · ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 10-11.
25

AUTHOR-BP02
Ṣakoso ohun elo naa n ṣe aṣẹ-aṣẹ ẹgbẹ-ẹgbẹ nipasẹ ẹrọ abuda.
Apejuwe
Aṣẹ-ẹgbẹ alabara jẹ ilana ti iṣakoso awọn igbanilaaye iwọle laarin ohun elo alagbeka kan. Eyi jẹ eewu bi gbigbekele ẹgbẹ alabara le ṣafihan awọn ohun elo si awọn ailagbara bii iraye si laigba aṣẹ ati jibiti agbara.
Ti o ba jẹ pe awọn iṣẹ iṣowo app kan (fun apẹẹrẹ, awọn ami sọfitiwia ese) nilo awọn aṣẹ-ẹgbẹ alabara, dipọ ẹrọ (ilana aabo kan ti o somọ awọn aṣẹ lati wọle si awọn anfani lori ẹrọ kan) ni a gbaniyanju. Nipa imuṣeto ohun elo ohun elo, awọn ohun elo le rii daju idanimọ ẹrọ ati fi idi igbẹkẹle mulẹ. Eyi dinku awọn eewu ti o nii ṣe pẹlu iraye si laigba aṣẹ ati ṣetọju ọna aabo, igbẹkẹle laarin awọn ẹrọ, awọn ohun elo, ati olupin.
Ilana imuse
Awọn olupilẹṣẹ yẹ ki o fi idi isọdọmọ laarin awọn ohun elo ati ẹrọ naa nigbati idanimọ olumulo kan ba lo fun igba akọkọ lori ẹrọ alagbeka ti ko forukọsilẹ.
Awọn olupilẹṣẹ yẹ ki o tun rii daju pe awọn ohun elo naa:
· Ṣayẹwo fun awọn iyipada si awọn ẹrọ niwon awọn ti o kẹhin asiko isise. Ṣayẹwo fun awọn iyipada si awọn asami idanimọ ẹrọ. · Ṣayẹwo pe ẹrọ nṣiṣẹ app wa ni ipo aabo (fun apẹẹrẹ ko si jailbreaking tabi rutini). Awọn loke wa ni o kan diẹ ninu awọn Mofiamples ti o dara ju-ise imuposi lo nipasẹ awọn ile ise. Bi ilolupo ti awọn ẹrọ alagbeka ṣe n dagbasoke, awọn ilana wọnyi le di ti ọjọ. Bii iru bẹẹ, awọn olupilẹṣẹ yẹ ki o tọju abreast ti awọn iṣe ti o dara julọ ti ile-iṣẹ tuntun lati rii daju awọn isopọ ẹrọ. Awọn nkan akiyesi
Lati mọ daju ẹrọ lori awọn ẹrọ Android, awọn olupilẹṣẹ le:
Gba awọn idamọ alailẹgbẹ bii IMEI tabi ID Android. Gba alaye Kọ pada. · Lo awọn ẹya OS API abinibi, gẹgẹbi Google's SafetyNet.
Lati mọ daju ẹrọ lori awọn ẹrọ iOS, awọn olupilẹṣẹ le:
· Lo awọn iṣẹ OS abinibi, gẹgẹbi ID ẹrọ Apple nipasẹ UIDevice.
Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Itọsọna Idanwo (MASTG) v1.7.0 (2023), pg. 316-317, 516. · MAS Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ (2021), pg. 51, 56.
26

AUTHOR-BP03
Ṣakoso ohun elo naa sọ fun awọn olumulo ti gbogbo awọn igbanilaaye ti a beere ṣaaju ki wọn to bẹrẹ lilo ohun elo naa. Apejuwe Awọn igbanilaaye ti a beere jẹ awọn ẹtọ ati awọn agbara kan pato ti ohun elo naa beere lati ẹrọ alagbeka. Awọn igbanilaaye wọnyi ṣalaye kini awọn orisun tabi awọn iṣẹ ṣiṣe ti app le wọle si lori awọn ẹrọ olumulo. Diẹ ninu awọn examples pẹlu, ṣugbọn kii ṣe opin si, kamẹra, gbohungbohun, ipo, ati bẹbẹ lọ Nipa imuse awọn iwifunni to dara ti o sọ fun awọn olumulo kini awọn igbanilaaye ti n beere, awọn olupilẹṣẹ le ṣe idiwọ fun awọn olumulo lati fifun awọn igbanilaaye ti o pọ ju laimọọmọ, eyiti o le gba awọn oṣere irira lọwọ lati lo awọn ailagbara. ati ji data ifura (ie PIIs ati Data Ijeri). Iru awọn iwifunni bẹẹ yoo tun gba awọn olumulo laaye lati ṣe awọn ipinnu alaye nipa awọn ohun elo ti wọn fi sii. Itọsọna imuṣẹ Awọn Difelopa yẹ ki o lo awọn itaniji In-App (Ninu-App) lati beere fun awọn olumulo fun igbanilaaye iwọle. Awọn olupilẹṣẹ yẹ ki o tun rii daju pe Awọn iwifunni/Titaniji ko ṣe afihan data ifura. Awọn nkan lati ṣe akiyesi Awọn Difelopa yẹ ki o beere awọn igbanilaaye pataki nikan fun iṣẹ ṣiṣe app naa. Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Itọsọna Idanwo (MASTG) v1.7.0 (2023), pg. 56, 58. · ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 8, 18, 28. · Apple Olùgbéejáde Itọsọna lori Asiri, https://developer.apple.com/design/human-interface-
awọn itọnisọna / asiri (Jan 2024). · Itọsọna Olùgbéejáde Android lori Aṣiri, https://developer.android.com/quality/privacy-and-
aabo (Jan 2024).
27

AUTHOR-BP04
Ṣakoso ohun elo naa sọ fun awọn olumulo fun gbogbo awọn iṣowo eewu giga ti o ti fun ni aṣẹ ati ti pari.
Apejuwe Ti ohun elo kan ba ni awọn iṣẹ ṣiṣe iṣowo eewu to gaju, awọn olumulo yẹ ki o wa iwifunni lẹsẹkẹsẹ nigbati idunadura kan ba ti fun ni aṣẹ ati pari. Nipa imuse iṣakoso yii, awọn olupilẹṣẹ le rii daju pe awọn olumulo ṣe akiyesi lẹsẹkẹsẹ nigbati awọn iṣowo eewu giga ti ni aṣẹ ati pari ki wọn le ni anfani lati ṣe idanimọ awọn iṣowo arekereke ni kete bi o ti ṣee.
Itọnisọna imuse Awọn Difelopa yẹ ki o gba awọn ọna wọnyi lati titaniji olumulo:
· Awọn titaniji ninu Ohun elo (Ninu-App). · Awọn iwifunni imeeli. · Awọn iwifunni Iṣẹ Ifiranṣẹ Kukuru (SMS). Awọn olupilẹṣẹ yẹ ki o tun rii daju pe Awọn iwifunni/Titaniji ko ṣe afihan data ifura.
Awọn loke wa ni o kan diẹ ninu awọn Mofiamples ti o dara ju-iwa iwifunni imuposi lo nipasẹ awọn ile ise. Bi ilolupo ti awọn ẹrọ alagbeka ṣe n dagbasoke, awọn ilana wọnyi le di ti ọjọ. Bii iru bẹẹ, awọn olupilẹṣẹ yẹ ki o tọju abreast ti awọn iṣẹ ṣiṣe ti o dara julọ ti ile-iṣẹ tuntun lati sọ fun awọn olumulo ti awọn iṣowo eewu giga ti a fun ni aṣẹ ati ti pari.
Awọn nkan lati ṣe akiyesi Awọn Difelopa yẹ ki o beere awọn igbanilaaye pataki nikan fun iṣẹ ṣiṣe app naa.
Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ MAS (2021), pg. 52. · PCI Mobile Isanwo Gbigba Awọn Itọsọna Aabo v2.0.0 (2017), pg. 10. · ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 8. · Itọsọna Olùgbéejáde Apple lori Asiri, https://developer.apple.com/design/human-interface-
awọn itọnisọna / asiri (Jan 2024). · Itọsọna Olùgbéejáde Android lori Aṣiri, https://developer.android.com/quality/privacy-and-
aabo (Jan 2024).
28

29

3. Ibi ipamọ data (Data-ni-isinmi)

Ọrọ Iṣaaju
Aabo Ibi ipamọ data fun data-ni-isinmi jẹ ti idabobo otitọ ati aṣiri ti data ifura (ie PIIs ati data Ijeri) ti o fipamọ ni agbegbe lori ẹrọ ẹgbẹ-ẹgbẹ ati ẹgbẹ olupin app nigbati o ko ba lo tabi tan kaakiri. Eyi pẹlu awọn iṣe ti o dara julọ, awọn ọna aabo ati awọn ilana fifi ẹnọ kọ nkan ti a lo lati ni aabo data ti o fipamọ sinu awọn apoti isura data, files, caches, memory, and Trusted Execution Environment (TEE) lori awọn ẹrọ alagbeka ati awọn agbegbe ti o jọra ni awọn olupin app.
Awọn olupilẹṣẹ le rii daju pe data olumulo ti wa ni ipamọ ati aabo nipasẹ imuse awọn iṣakoso aabo to lagbara fun titoju data ni isinmi. Awọn iṣakoso data-ni-isinmi ti o tọ tun rii daju pe ohun elo naa le dinku awọn ewu ti iraye si laigba aṣẹ, fifẹ ẹrọ, awọn irufin data ti o pọju, ati jijo data ati mu awọn aabo app lagbara.
Awọn iṣakoso atẹle yii ṣe idaniloju pe eyikeyi data ifura ti a mọọmọ ti o fipamọ nipasẹ ohun elo naa ni aabo to pe, laibikita ipo ibi-afẹde. O tun bo awọn n jo airotẹlẹ nitori lilo aibojumu ti API tabi awọn agbara eto.
aabo idari

ID

Iṣakoso

STORAGE-BP01 Itaja kókó data ti o jẹ nikan pataki fun awọn idunadura.

STORAGE-BP02 Ṣe ibi ipamọ to ni aabo ti data ifura.

STORAGE-BP02a Tọju data ifura ni aabo ni ẹgbẹ olupin.

Ipamọ-BP02b

Tọju data ifarabalẹ ni aabo si ẹgbẹ alabara ni Ayika Ipaniyan Gbẹkẹle (TEE).

STORAGE-BP03 Pa data ifarapa rẹ nigbati ko ṣe pataki mọ.

30

Ipamọ-BP01
Ṣakoso ohun elo naa tọju data ifura ti o jẹ pataki fun awọn iṣowo nikan. Apejuwe data ifarako jẹ asọye bi data olumulo (PIIs) ati data ijẹrisi (fun apẹẹrẹ, awọn iwe-ẹri, awọn bọtini fifi ẹnọ kọ nkan, ati bẹbẹ lọ) Awọn olupilẹṣẹ yẹ ki o tọju data ifura nikan ti o ṣe pataki fun awọn iṣẹ iṣowo app. Ikojọpọ alaye ti ko wulo ṣe alekun ipa ti awọn irufin aabo ti o pọju, ṣiṣe ohun elo kan ni ibi-afẹde ti o wuyi fun awọn oṣere irira. Nipa imuse iṣakoso aabo yii, awọn olupilẹṣẹ le rii daju pe ifihan ni opin si data ti o nilo fun awọn iṣẹ iṣowo kan pato, idinku ipa ni iṣẹlẹ ti iraye si laigba aṣẹ tabi awọn irufin data. Itọnisọna imuse Awọn Difelopa yẹ ki o ṣe iyatọ data ti o nlo nipasẹ ohun elo ti o da lori awọn ipele ifamọ ti ajọ kan ati da lori awọn ibeere ofin ofin. Awọn olupilẹṣẹ yẹ ki o gba awọn ilana atẹle wọnyi lati ni aabo data ti o jẹ ipin bi ifura:
1. Ṣe imuse ojutu ipamọ to ni aabo ti o da lori ifamọ rẹ lori ẹgbẹ-ẹgbẹ / ẹgbẹ olupin. 2. Waye awọn igbese aabo data (fun apẹẹrẹ tokenising, hashing pẹlu iyọ, fifi ẹnọ kọ nkan) 3. Pa data ifura rẹ nigbati ko ṣe pataki mọ. Awọn nkan lati ṣe akiyesi Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọkasi awọn iwe (awọn) ti a pese ni: · OWASP Alagbeka Itọsọna Idanwo Aabo Ohun elo (MASTG) v1.7.0 (2023), pg. 190, 398. · MAS Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ (2021), pg. 9-10, 36, 38. · ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke Secure (2016), pg. 6.
31

Ipamọ-BP02
Ṣakoso ohun elo naa n ṣe ibi ipamọ to ni aabo ti data ifura. Apejuwe Ibi ipamọ to ni aabo fun awọn ohun elo alagbeka n tọka si imuse awọn ilana ati awọn iṣe lati daabobo data ifura ti o fipamọ sori awọn ẹrọ alagbeka ati awọn olupin app lati iraye si laigba aṣẹ, ole tabi tampsisun. Eyi pẹlu awọn iṣe ti o dara julọ gẹgẹbi fifi ẹnọ kọ nkan, hashing, tokenisation, ati awọn iṣakoso wiwọle to dara. Nipa imuse ibi ipamọ to ni aabo, awọn olupilẹṣẹ le dinku lodi si iraye si laigba aṣẹ, idawọle ẹrọ, awọn irufin data ti o pọju ati jijo data. Itọnisọna imuse Awọn Difelopa yẹ ki o ṣe ojutu ibi ipamọ to ni aabo ti o ni ibamu pẹlu ifamọ ti data. Awọn olupilẹṣẹ yẹ ki o tun ṣe pataki aṣẹ atẹle fun ojutu ibi ipamọ to ni aabo (lati data ifura julọ si data ifura ti o kere julọ):
1. Server-ẹgbẹ (gbogbo kókó data yẹ ki o wa ni ipamọ lori olupin-ẹgbẹ). 2. Onibara-ẹgbẹ laarin Ayika Igbẹkẹle Igbẹkẹle (ninu ọran nibiti ẹgbẹ olupin kii ṣe
ṣee ṣe, tọju gbogbo data ifura sinu TEE-ẹgbẹ alabara). Awọn nkan lati ṣe akiyesi Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Ijerisi Standard (MASVS) v2.0.0 (2023), pg. 17-18. · OWASP Alagbeka Ohun elo Aabo Itọsọna Idanwo (MASTG) v1.7.0 (2023), pg. Ọdun 190-203, ọdun 398-
406. · ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 06-07.
32

Ipamọ-BP02a
Iṣakoso
Ìfilọlẹ naa tọju data ifura ni aabo ni ẹgbẹ olupin.
Apejuwe
Titoju data ifura lori ẹgbẹ olupin n tọka si titoju data lori awọn olupin ohun elo jijin tabi awọn apoti isura data. Iru ọna bẹ ṣẹda agbegbe ti o dara julọ lati daabobo data lati iwọle laigba aṣẹ tabi awọn irufin, ṣiṣe iṣakoso iwọle ti o ni aabo diẹ sii, awọn aṣayan lati ṣe awọn igbese aabo to dara julọ gẹgẹbi awọn fifi ẹnọ kọ nkan diẹ sii ati awọn ipese ti awọn imudojuiwọn aabo iyara.
Nipa imuse ibi ipamọ ẹgbẹ olupin ti data ifarabalẹ, awọn olupilẹṣẹ le dinku lodi si awọn eewu atorunwa ti ibi ipamọ data ẹgbẹ-ẹgbẹ, bi ibi ipamọ ẹgbẹ-ẹgbẹ ṣe ni ifaragba diẹ sii si awọn ilana ilokulo ibi ipamọ data ti o wọpọ lo nipasẹ awọn oṣere irira ni awọn itanjẹ alagbeka.
Ilana imuse
Awọn olupilẹṣẹ yẹ ki o lo o kere ju 1 ninu awọn ọna aabo data atẹle:
1. Fun awọn ọrọigbaniwọle nikan, awọn olupilẹṣẹ le lo hashing pẹlu iyọ6. Dipo ti ipamọ awọn ọrọ igbaniwọle gangan, awọn iyọ alailẹgbẹ ti ipilẹṣẹ ati ni idapo pẹlu awọn ọrọ igbaniwọle, ṣiṣẹda awọn hashes iyọ.
2. Difelopa le encrypt7 kókó data pẹlu ìsekóòdù awọn ajohunše bi AES-128. 3. Awọn olupilẹṣẹ le ṣe imuse tokenisation8 pẹlu isakoṣo ti ara ẹni tabi ami-ami kan
iṣẹ, rirọpo data ifura pẹlu awọn ami ibi ti o ti ṣee. Ni afikun, awọn olupilẹṣẹ yẹ ki o rii daju pe tokenisation jẹ ipari to ati idiju (ti o ṣe atilẹyin nipasẹ cryptography to ni aabo) ti o da lori ifamọ data ati awọn iwulo iṣowo.
Awọn loke wa ni o kan diẹ ninu awọn Mofiamples ti o dara ju ise lo nipasẹ awọn ile ise. Bi ilolupo ti awọn ẹrọ alagbeka ṣe n dagbasoke, awọn iṣe ti o dara julọ wọnyi le di ti ọjọ. Bii iru bẹẹ, awọn olupilẹṣẹ yẹ ki o ṣabọ ti awọn iṣe ti o dara julọ ti ile-iṣẹ tuntun lati tọju data ifura ni aabo ni ẹgbẹ olupin.
Awọn nkan akiyesi
Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Ijerisi Standard (MASVS) v2.0.0 (2023), pg. 19-20. · OWASP Alagbeka Ohun elo Aabo Itọsọna Idanwo (MASTG) v1.7.0 (2023), pg. 71-77, 219-227,
416-421. · Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ MAS (2021), pg. 30, 36-37, 39. · PCI Mobile Isanwo Gbigba Awọn Itọsọna Aabo v2.0.0 (2017), pg. 9. · ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 6-9.
6 Hashing pẹlu iyọ ni a lo lati ṣafikun afikun aabo ti aabo nipasẹ ṣiṣe ni iṣiro to lekoko fun awọn olukaluku lati pinnu data ifura atilẹba. Ni aaye ibi ipamọ ọrọ igbaniwọle tabi itọsẹ bọtini, awọn olupilẹṣẹ yẹ ki o lo awọn iṣẹ itọsẹ bọtini ọna kan tabi awọn algoridimu hash ti o lọra, gẹgẹbi PBKDF2, bcrypt, tabi scrypt. A lo 7 fifi ẹnọ kọ nkan lati yi data pada si ọna kika ti a ko le ka, ni idaniloju pe paapaa ti wọn ba wọle laisi aṣẹ, data ifura wa ni aṣiri. 8 Tokenisation jẹ lilo lati paarọ data ifura pẹlu awọn ami-ami lati dinku eewu ifihan data ifura.
33

Ipamọ-BP02b
Iṣakoso
Ìfilọlẹ naa tọju data ifarabalẹ ni aabo ni ẹgbẹ alabara ni Ayika Ipaniyan Gbẹkẹle (TEE).
Apejuwe
Ayika Igbẹkẹle Igbẹkẹle (TEE) jẹ agbegbe ti o ya sọtọ laarin ohun elo ẹrọ alagbeka kan tabi faaji ero isise ti o pese agbegbe to ni aabo pupọ fun titoju data ifura ati ṣiṣe awọn iṣẹ ifura tabi pataki. O jẹ apẹrẹ lati daabobo data ifura, awọn bọtini cryptographic ati awọn ilana pataki lati iraye si laigba aṣẹ tabi tampsisun. Ti awọn iṣẹ iṣowo app kan nilo ibi ipamọ data ifura lori ẹgbẹ alabara, o gba ọ niyanju lati tọju rẹ sinu TEE ẹrọ naa.
Nipa imuse ibi ipamọ to dara ti data ifura ni TEE-ẹgbẹ alabara, awọn olupilẹṣẹ le dinku lodi si awọn irokeke ti o bẹrẹ lati inu ẹrọ ti o gbogun ati lati ọdọ awọn oṣere irira ita. Iru ibi ipamọ bẹẹ le tun dinku lodi si iraye si laigba aṣẹ si data ifura olumulo lori ohun elo kan ati ṣe idiwọ eyikeyi awọn bọtini fifi ẹnọ kọ nkan lati ji.
Ilana imuse
Awọn olupilẹṣẹ yẹ ki o tọju data ifura ni aabo ni ẹgbẹ alabara ni Ayika Ipaniyan Gbẹkẹle (TEE) gẹgẹbi Android's ARM's TrustZone, Aabo Aabo Apple.
Awọn olupilẹṣẹ yẹ ki o tun fipamọ diẹ ninu atokọ atẹle ti data ifura sinu TEE kan:
· Awọn idamo biometric. · Ijeri àmi. · Awọn bọtini cryptographic ni aabo bọtini iṣakoso eto bii Android Keyystore, iOS
Keychain.
Awọn loke wa ni o kan diẹ ninu awọn Mofiamples ti ohun ti kókó data Difelopa yẹ ki o fipamọ ni TEE. Bi ilolupo ti awọn ẹrọ alagbeka ṣe n dagbasoke, awọn olupilẹṣẹ yẹ ki o lo ominira lati ṣafipamọ eyikeyi data ti wọn ro pe o ṣe pataki lati wa ni fipamọ sinu TEE.
Awọn nkan akiyesi
Fun awọn ẹrọ laisi awọn TEE ohun elo, awọn olupilẹṣẹ le gbero lilo awọn TEE ti o ni agbara.
Ni omiiran, awọn olupilẹṣẹ le ronu piparẹ ohun elo naa tabi mu awọn iṣẹ iṣowo eewu eewu ti ohun elo naa jẹ, nitori pe app naa jẹ alailewu fun awọn iṣowo eewu giga.
Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Ijerisi Standard (MASVS) v2.0.0 (2023), pg. 19-20. · OWASP Alagbeka Ohun elo Aabo Itọsọna Idanwo (MASTG) v1.7.0 (2023), pg. 75, 93, 194-200. · Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ MAS (2021), pg. 51. · PCI Mobile Isanwo Gbigba Awọn Itọsọna Aabo v2.0.0 (2017), pg. 07-09, 14. · ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke Secure (2016), pg. 10.
34

Ipamọ-BP03
Iṣakoso
Ìfilọlẹ naa npa data ifarabalẹ rẹ nigbati ko ṣe pataki mọ.
Apejuwe
Pipaarẹ data ifura n tọka si ilana yiyọkuro tabi piparẹ aṣiri, ikọkọ tabi data ifura lati awọn ẹrọ ibi ipamọ, awọn olupin tabi awọn apoti isura data. Ilana yii ṣe idaniloju pe data ifura ti yọkuro ni aibikita ati pe ko le wọle, gba pada, ṣiṣafihan lairotẹlẹ, tabi tun ṣe nipasẹ awọn ẹni-kọọkan laigba aṣẹ tabi nipasẹ awọn ọna imularada data.
Nipa imuse ilana yii, awọn olupilẹṣẹ le dinku window ninu eyiti awọn ikọlu le lo awọn ailagbara lati ji data ifura.
Ilana imuse
Awọn olupilẹṣẹ yẹ ki o lo awọn ilana aabo ipamọ itẹramọṣẹ wọnyi:
· Ko awọn kuki ti o fipamọ silẹ lori ifopinsi app tabi lo ibi ipamọ kuki-iranti. · Yọ gbogbo kókó data lori app uninstallation. · Pẹlu ọwọ yọ gbogbo database kuro files ti o ni awọn data ifarabalẹ ninu (fun apẹẹrẹ, iOS WebView caches) lati
awọn file eto nigbati awọn iṣẹ iṣowo ti o jọmọ dẹkun lati wa.
Awọn loke wa ni o kan diẹ ninu awọn Mofiamples ti o dara ju ise lo nipasẹ awọn ile ise. Bi ilolupo ti awọn ẹrọ alagbeka ṣe n dagbasoke, awọn ilana wọnyi le di ti ọjọ. Bii iru bẹẹ, awọn olupilẹṣẹ yẹ ki o ṣabọ ti awọn iṣe ti o dara julọ ti ile-iṣẹ tuntun lati paarẹ data ifura nigbati ko ṣe pataki mọ.
Awọn nkan akiyesi
Awọn olupilẹṣẹ yẹ ki o wa ni iranti ti ifaramọ si awọn iṣedede ti o gba jakejado ati ofin idaduro data ti o yẹ pẹlu ṣugbọn kii ṣe opin si:
Ofin Idaabobo Data Ti ara ẹni (PDPA) · Ilana Idaabobo Data Gbogbogbo (GDPR) · Iwọn Aabo Data Ile-iṣẹ Kaadi Isanwo (PCI DSS)
Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Itọsọna Idanwo (MASTG) v1.7.0 (2023), pg. 199, 206-214, 403-414.
· Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ MAS (2021), pg. 39. · ENISA Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 07, 09-10.
35

36

4. Anti-Tampering & Anti-reversing

Ọrọ Iṣaaju
Anti-Tampering ati Anti-iyipada awọn iṣakoso aabo jẹ awọn igbese afikun ti awọn olupilẹṣẹ le ṣe lati koju awọn ikọlu ti n gbiyanju lati tampEri tabi yiyipada awọn ohun elo ẹlẹrọ. Nipa imuse awọn ẹya mejeeji, awọn olupilẹṣẹ ṣafikun ọpọlọpọ awọn fẹlẹfẹlẹ ti awọn aabo si awọn ohun elo, jẹ ki o nira diẹ sii fun awọn oṣere irira lati ṣaṣeyọri tamptabi yiyipada awọn ohun elo ẹlẹrọ, eyiti o le ja si:
Ole tabi adehun ti awọn ohun-ini iṣowo ti o niyelori gẹgẹbi awọn algoridimu ti ara ẹni, awọn aṣiri iṣowo, tabi data ifura,
· Awọn adanu owo ti awọn olumulo ti o lo app naa fun awọn iṣowo ti o ni eewu giga, · Awọn adanu owo ti awọn ajo nitori isonu ti owo-wiwọle tabi igbese ti ofin, · Bibajẹ lori orukọ iyasọtọ nitori ikede odi tabi ainitẹlọrun alabara

Awọn iṣakoso ṣe idaniloju pe awọn ohun elo nṣiṣẹ lori awọn iru ẹrọ ti a gbẹkẹle, ṣe idiwọ tampring ni asiko asiko ati rii daju pe awọn iṣẹ ṣiṣe awọn ohun elo naa. Ni afikun, awọn idari n ṣe idiwọ oye nipa ṣiṣe ki o nira fun awọn ikọlu lati ro ero bi awọn ohun elo naa ṣe n ṣiṣẹ.
aabo idari

ID

Iṣakoso

RESILIENCE-BP01 Wọle pẹlu awọn iwe-ẹri lati awọn ile itaja app osise.

RESILIENCE-BP02 Muu jailbreak/iwari root. RESILIENCE-BP03 Ṣiṣe wiwa emulator.

RESILIENCE-BP04 Ṣe imuse wiwa anti-malware.

RESILIENCE-BP05 Ṣe imuse awọn ọna ṣiṣe ilodi si.

RESILIENCE-BP06 Ṣiṣe agbekọja, latọna jijin viewing, ati sikirinifoto countermeasures.

RESILIENCE-BP07

Ṣe imuse yiya-atẹgun bọtini bọtini tabi egboogi-keylogger lodi si awọn bọtini itẹwe foju ẹni-kẹta.

37

RESILIENCE-BP01
Iṣakoso
Ìfilọlẹ naa jẹ koodu ti a fowo si pẹlu awọn iwe-ẹri lati awọn ile itaja app osise.
Apejuwe
Awọn ohun elo nigbagbogbo jẹ spoofed nipasẹ awọn oṣere irira ati pinpin nipasẹ awọn ikanni ilana ti o muna. Wíwọlé ìṣàfilọ́lẹ̀ kan pẹ̀lú àwọn ìwé-ẹ̀rí tí a pèsè nípasẹ̀ àwọn ilé ìtajà ìṣàfilọ́lẹ̀ ìṣàfilọ́lẹ̀ ṣe ìdánilójú fún OS alágbèérìn àti àwọn aṣàmúlò pé ìṣàfilọ́lẹ̀ alágbèéká náà ti wá láti orísun ẹ̀rí.
Ṣiṣẹda iforukọsilẹ koodu ṣe iranlọwọ fun awọn ọna ṣiṣe ṣiṣe pinnu boya lati gba sọfitiwia laaye lati ṣiṣẹ tabi fi sori ẹrọ da lori awọn ibuwọlu tabi awọn iwe-ẹri ti a lo lati fowo si koodu naa. Eyi ṣe iranlọwọ lati yago fun fifi sori ẹrọ ati ipaniyan awọn ohun elo ti o lewu. Ni afikun, iforukọsilẹ koodu tun ṣe iranlọwọ pẹlu ijẹrisi iduroṣinṣin, bi awọn ibuwọlu yoo yipada ti ohun elo naa ba ti tampere pẹlu.
Ilana imuse
Awọn olupilẹṣẹ yẹ ki o koodu fowo si awọn ohun elo wọn pẹlu awọn iwe-ẹri. Yi apakan pese examples ti bi o lati ṣe eyi nipasẹ awọn meji julọ gbajumo iru ẹrọ iOS ati Android.
Fun Ile-itaja Ohun elo Apple, o le ṣee ṣe nipa fiforukọṣilẹ sinu Eto Olumulosoke Apple ati ṣiṣẹda ibeere ibuwọlu ijẹrisi kan ni oju-ọna idagbasoke. Awọn olupilẹṣẹ le forukọsilẹ fun Eto Olumulosoke Apple ati pe wọn le tọka itọsọna olupilẹṣẹ atẹle fun iforukọsilẹ koodu labẹ awọn nkan lati ṣe akiyesi.
Fun Android, ọpọlọpọ awọn ile itaja App lo wa. Fun Google Play itaja, o le ṣee ṣe nipa tito leto Play App wíwọlé eyi ti o jẹ ibeere fun pinpin nipasẹ Google's Play itaja. Fun alaye diẹ sii lori bi o ṣe le ṣe bẹ awọn olupilẹṣẹ le ṣabẹwo si itọsọna oludasilẹ Android labẹ awọn nkan lati ṣe akiyesi.
Fun awọn ile itaja osise miiran, tọka si awọn itọsọna oludasilẹ oniwun wọn lori iforukọsilẹ koodu orisun app. Awọn nkan lati ṣe akiyesi Iṣakoso aabo yii tun jẹ ibeere fun titẹjade awọn ohun elo lori awọn ile itaja app osise, bii iru bẹ, iṣeduro jẹ fun app rẹ lati jẹ koodu ti o fowo si pẹlu awọn iwe-ẹri lati awọn ile itaja app osise. Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· Itọsọna Eto Olùgbéejáde Apple fun Gbigba koodu, https://developer.apple.com/support/code-signing (Jan 2024).
· Itọsọna Olùgbéejáde Android lori Aṣiri, https://developer.android.com/quality/privacy-andsecurity (Jan 2024).
· OWASP Alagbeka Ohun elo Aabo Itọsọna Idanwo (MASTG) v1.7.0 (2023), pg. 325-326, 522523.
· ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 21.
38

RESILIENCE-BP02
Iṣakoso
Ìfilọlẹ naa n ṣe isakurolewon tabi wiwa root.
Apejuwe
Fidimule ati awọn ẹrọ jailbroken ti wa ni gbogbo ka ailewu. Fidimule tabi awọn ẹrọ isọnu gba awọn olumulo laaye lati jèrè awọn anfani ti o ga, ti o mu ki o rọrun ayika aabo ati awọn idiwọn OS. Iru awọn anfani ti o ga le jẹ ailewu fun awọn ohun elo nitori awọn anfani wọnyi gba awọn oṣere irira laaye lati lo awọn ailagbara, ji awọn iwe-ẹri, gba awọn ẹrọ olumulo ati ṣiṣe awọn iṣowo app arekereke.
Nipa imuse isakurolewon tabi wiwa root, awọn olupilẹṣẹ le ṣe idiwọ awọn iwakusa ti a mẹnuba loke lati ṣẹlẹ, daabobo ohun-ini ọgbọn lw, rii daju iduroṣinṣin ti awọn lw ati ṣe idiwọ fori awọn eto inu-app.
Ilana imuse
Awọn olupilẹṣẹ yẹ ki o ṣe isakurolewon tabi wiwa root nipa imuse awọn sọwedowo wọnyi ninu ohun elo wọn fun awọn ẹrọ Android:
1. Ṣayẹwo fun superuser tabi SU alakomeji. 2. Wa root file eto ayipada. 3. Wo fun fidimule apps. 4. Ṣayẹwo fun aṣa imularada. 5. Ṣayẹwo fun lilo API ti ko ni aabo.
Awọn olupilẹṣẹ yẹ ki o ṣe isakurolewon tabi wiwa root nipa imuse awọn sọwedowo wọnyi ninu ohun elo wọn fun awọn ẹrọ iOS:
1. Wa awọn lilo ti ihamọ APIs. 2. Wo fun jailbreak tweaks bi Mods. 3. Wa awọn ile itaja app laigba aṣẹ, fun apẹẹrẹ, ṣayẹwo fun Ibuwọlu Ile-itaja Ohun elo Cydia. 4. Wa awọn iyipada kernel. 5. Ṣayẹwo fun iyege ti awọn lominu ni file awọn ọna šiše. 6. Lo 3rd-kẹta ikawe še lati ri ẹrọ tampsisun.
Awọn loke wa ni o kan diẹ ninu awọn Mofiamples ti o dara ju-iwa sọwedowo lo nipasẹ awọn ile ise. Bi ilolupo ti awọn ẹrọ alagbeka ṣe n dagbasoke, awọn sọwedowo wọnyi le di ti ọjọ. Bii iru bẹẹ, awọn olupilẹṣẹ yẹ ki o ṣabọ ti awọn iṣe ti o dara julọ ti ile-iṣẹ tuntun lati ṣe imuṣẹ jailbreak tabi wiwa root.
39

Awọn nkan lati ṣe akiyesi Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Ijerisi Standard (MASVS) v2.0.0 (2023), pg. 31. · OWASP Alagbeka Ohun elo Aabo Itọsọna Igbeyewo (MASTG) v1.7.0 (2023), pg. 319-320, 5069,
518-519. · Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ MAS (2021), pg. 50. · ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 11, 23.
9 https://github.com/crazykid95/Backup-Mobile-Security-Report/blob/master/Jailbreak-Root-DetectionEvasion-Study-on-iOS-and-Android.pdf
40

RESILIENCE-BP03
Iṣakoso
Ìfilọlẹ naa n ṣe wiwa emulator.
Apejuwe
Awọn emulators jẹ sọfitiwia ti a lo lati ṣe idanwo awọn ohun elo alagbeka nipa gbigba olumulo laaye lati ṣe idanwo ohun elo alagbeka kan lori ọpọlọpọ awọn ẹya alagbeka ti a farawe ati awọn ẹrọ. Botilẹjẹpe o wulo fun idanwo, awọn ohun elo ko yẹ ki o gba ara wọn laaye lati gbe sori awọn emulators ni ita agbegbe idagbasoke.
Nipa imuse wiwa imupese, awọn olupilẹṣẹ le ṣe idiwọ awọn oṣere irira lati ṣiṣẹ itupalẹ agbara, rutini, n ṣatunṣe aṣiṣe, ohun elo, hooking, ati idanwo fuzz lori ẹrọ imulade ti wọn le ṣakoso. Ni ṣiṣe bẹ, awọn olupilẹṣẹ le ṣe idiwọ awọn oṣere irira lati ṣe awari awọn ailagbara laarin app fun ilokulo.
Ilana imuse
Awọn olupilẹṣẹ yẹ ki o ṣe ilana wiwa atẹle atẹle lati ṣe idanimọ awọn ẹya fun awọn solusan imupese ti a lo nigbagbogbo. Diẹ ninu awọn iṣeduro ti awọn nkan lati ṣayẹwo fun ni:
Ṣayẹwo lilo batiri. · Ṣayẹwo awọn akokoamps ati awọn aago. · Ṣayẹwo awọn iwa ifọwọkan pupọ. Ṣayẹwo iranti ati itupalẹ iṣẹ. Ṣe awọn sọwedowo nẹtiwọki. Ṣayẹwo boya o jẹ orisun hardware. · Ṣayẹwo ohun ti OS da lori. Ṣayẹwo fun awọn ika ọwọ ẹrọ. · Ṣayẹwo awọn atunto Kọ. · Ṣayẹwo fun awọn iṣẹ emulator ati awọn lw.
Awọn loke wa ni o kan diẹ ninu awọn Mofiamples ti o dara ju-iwa sọwedowo lo nipasẹ awọn ile ise. Bi ilolupo ti awọn ẹrọ alagbeka ṣe n dagbasoke, awọn sọwedowo wọnyi le di ti ọjọ. Bii iru bẹẹ, awọn olupilẹṣẹ yẹ ki o ṣabọ ti awọn iṣe ti o dara julọ ti ile-iṣẹ tuntun lati ṣe wiwa emulator. Awọn nkan lati ṣe akiyesi Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Ijerisi Standard (MASVS) v2.0.0 (2023), pg. 31-32. · OWASP Alagbeka Ohun elo Aabo Itọsọna Idanwo (MASTG) v1.7.0 (2023), pg. 325, 521.
41

RESILIENCE-BP04
Iṣakoso
Ìfilọlẹ naa n ṣe wiwa anti-malware.
Apejuwe
Awọn ohun elo Malware ni lilo pupọ si nipasẹ awọn oṣere irira bi fekito lati ba awọn ẹrọ alagbeka olumulo jẹ nitori iru awọn ẹrọ n pese awọn olumulo ni irọrun ti o nilo lati ṣe awọn iṣowo lojoojumọ. Awọn ohun elo Malware ni akọkọ lo awọn ẹya ikojọpọ ẹgbẹ bi ikanni kan lati gba awọn olumulo lati fi malware sori ẹrọ wọn.
Nipa imuse awọn agbara wiwa anti-malware lori ohun elo kan ni akoko asiko, awọn olupilẹṣẹ le ṣe idiwọ awọn olumulo lati ni ilokulo nipasẹ malware nilokulo awọn ailagbara ohun elo ati awọn ailagbara OS, jija awọn ẹri, gbigba ẹrọ naa, ati ṣiṣe awọn iṣowo arekereke.
Ilana imuse
Awọn olupilẹṣẹ yẹ ki o ṣe awọn agbara wiwa anti-malware ninu awọn ohun elo wọn. Eyi le ṣee ṣe ni awọn ọna oriṣiriṣi, ṣugbọn kii ṣe opin si:
Ṣafikun Apo-Idaabobo-Ara-Aarẹ-Aago-ṣiṣe-elo (RASP) Ohun elo Idagbasoke sọfitiwia (SDK) sinu awọn ohun elo wọn.
Lo awọn SDK RASP lati ṣayẹwo ati ṣawari fun awọn ohun elo malware ni akoko asiko. · Ṣayẹwo ati ṣe idiwọ awọn agbekọja. · Dena tẹjacking. · Dena app iranti hooking.
Awọn loke wa ni o kan diẹ ninu awọn Mofiamples ti o dara ju-iwa sọwedowo lo nipasẹ awọn ile ise. Bi ilolupo ti awọn ẹrọ alagbeka ṣe n dagbasoke, awọn sọwedowo wọnyi le di ti ọjọ. Bii iru bẹẹ, awọn olupilẹṣẹ yẹ ki o ṣabọ ti awọn iṣe ti o dara julọ ti ile-iṣẹ tuntun lati ṣe imuse wiwa anti-malware.
Awọn nkan akiyesi
Ti a ba rii iru iwa irira eyikeyi, awọn olupilẹṣẹ yẹ ki o mu ohun elo naa mu ki o pese alaye to wulo lori idi ti app naa ti jẹ alaabo ati rọ olumulo lati yọkuro app(s) irira lori ẹrọ wọn.
Ni omiiran, awọn olupilẹṣẹ yẹ ki o kilọ fun olumulo, ati mu awọn iṣẹ eewu giga ṣiṣẹ lori ohun elo naa titi ti olumulo yoo fi ṣe atunṣe app(s) irira naa. Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Ijerisi Standard (MASVS) v2.0.0 (2023), pg. 31. · Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ MAS (2021), pg. 40, 49. · ENISA Foonuiyara Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 23.
42

RESILIENCE-BP05
Iṣakoso
Ìfilọlẹ naa n ṣe awọn ilana ilodi si.
Apejuwe
Hooking tọka si ilana ti awọn ikọlu nlo lati da tabi ṣe atunṣe ihuwasi ohun elo alagbeka ni akoko asiko. Eyi pẹlu fifi sii tabi sisọ sinu sisan ipaniyan ti ohun elo kan lati ṣe atẹle awọn iṣẹ ṣiṣe rẹ, paarọ ihuwasi rẹ, fi koodu irira tabi ṣatunṣe awọn iṣẹ koodu to wa tẹlẹ lati lo awọn ailagbara.
Nipa imuse awọn ọna ṣiṣe ilodi si lori awọn ohun elo, awọn olupilẹṣẹ le ṣe idiwọ awọn ikọlu loke lati ṣẹlẹ ati ṣe idiwọ iraye si laigba aṣẹ, daabobo awọn iṣẹ iṣowo eewu giga, ṣawari ati ṣe idiwọ tampering ati awọn igbiyanju iyipada, ṣetọju ohun-ini ọgbọn ati ṣetọju igbẹkẹle app.
Ilana imuse
Kóòdù yẹ ki o se awọn wọnyi exampAwọn ọna ṣiṣe lati dinku lodi si awọn ikọlu hooking:
Ṣiṣe awọn aabo lati dènà awọn abẹrẹ koodu. Ṣiṣe awọn aabo lati ṣe idiwọ ọna asopọ nipasẹ idilọwọ awọn iyipada si app naa
koodu orisun (mejeeji lori alabara ati olupin). Ṣiṣe awọn aabo lati ṣe idiwọ ipaniyan ti awọn koodu ti a tunṣe ninu app rẹ. Ṣiṣe awọn aabo lati ṣe idiwọ iraye si iranti ati ifọwọyi iranti fun app rẹ. · Ṣiṣe tamper sooro aligoridimu tabi egboogi-tampering SDKs (eyiti a mọ ni bi
Awọn akoko ṣiṣe-Ohun elo-Idaabobo Awọn SDK). · Ṣayẹwo fun awọn paramita ti ko ni aabo gẹgẹbi awọn API ti atijo.
Awọn loke wa ni o kan diẹ ninu awọn Mofiamples ti o dara ju-iwa sọwedowo lo nipasẹ awọn ile ise. Bi ilolupo ti awọn ẹrọ alagbeka ṣe n dagbasoke, awọn sọwedowo wọnyi le di ti ọjọ. Bii iru bẹẹ, awọn olupilẹṣẹ yẹ ki o ṣabọ ti awọn iṣe ti o dara julọ ti ile-iṣẹ tuntun lati ṣe imuse awọn ọna ṣiṣe ilodi si. Awọn nkan lati ṣe akiyesi Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Ijerisi Standard (MASVS) v2.0.0 (2023), pg. 31. · OWASP Alagbeka Ohun elo Aabo Itọsọna Igbeyewo (MASTG) v1.7.0 (2023), pg. 135-140, 189,
318-319, 339-340, 390, 520. · MAS Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ (2021), pg. 56. · ENISA Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 23, 26.
43

RESILIENCE-BP06
Iṣakoso
Ohun elo naa n ṣe agbekọja, latọna jijin viewing, ati sikirinifoto countermeasures.
Apejuwe
Alaye ti o ni imọlara le ṣe igbasilẹ tabi gba silẹ laisi igbanilaaye fojuhan ti olumulo nigbati ohun elo ba ni gbigbasilẹ iboju, sikirinifoto tabi awọn iṣẹ ṣiṣe agbekọja. Fun example:
· Awọn ikọlu agbekọja tan awọn olumulo jẹ nipa ṣiṣẹda Layer iro kan ti n ṣafarawe awọn ohun elo igbẹkẹle, ni ero lati ji data ifura.
· Latọna jijin viewAwọn ikọlu pẹlu iraye si laigba aṣẹ si iboju ẹrọ kan, gbigba awọn ikọlu laaye lati ṣe ikore data ifura latọna jijin.
· Awọn ikọlu sikirinifoto waye nigbati awọn oṣere irira ya iboju ẹrọ kan laisi aṣẹ olumulo, yiyọ data ifura jade.
Ṣiṣe agbekọja, latọna jijin viewing ati awọn atako sikirinifoto le rii daju pe alaye ifura wa ni aabo, aṣiri olumulo ni atilẹyin ati pe data ifura jẹ aabo lodi si pipadanu airotẹlẹ tabi ilokulo.
Ilana imuse
Awọn olupilẹṣẹ yẹ ki o ṣe imuse anti-tampering ati awọn sọwedowo anti-malware nipasẹ RASP SDKs lati ṣe idiwọ awọn ohun elo irira lati lilo awọn agbekọja, ati latọna jijin. viewing exploits.
Fun awọn sikirinisoti, awọn olupilẹṣẹ le lo asia FLAG_SECURE fun awọn ohun elo Android ati awọn asia ti o jọra fun iOS lati dènà gbogbo awọn agbara sikirinifoto nigba lilo app naa. Sibẹsibẹ, ṣebi awọn iṣẹ iṣowo nilo awọn agbara sikirinifoto (fun apẹẹrẹ Yiya sikirinifoto ti idunadura PayNow ti pari). Ni ọran naa, iṣeduro ni lati mu awọn agbara sikirinifoto kuro fun awọn oju-iwe tabi awọn oju-iwe ti o pẹlu data ifura (PII ati Data Ijeri).
Awọn olupilẹṣẹ tun le gbero titẹ boju-boju pẹlu data ifura ati awọn iboju sensọ nigbati app ba wa ni ipilẹṣẹ.
Awọn nkan akiyesi
Diẹ ninu awọn exampibi ti o ti le mu awọn agbara sikirinifoto wọnyi pẹlu ṣugbọn ko ni opin si: Awọn oju-iwe iwọle, Awọn oju-iwe Ijeri-Opo-ọpọlọpọ, Awọn ijẹrisi Aabo, ati awọn oju-iwe iyipada PII, ati bẹbẹ lọ.
Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Ijerisi Standard (MASVS) v2.0.0 (2023), pg. 31. · OWASP Alagbeka Ohun elo Aabo Itọsọna Igbeyewo (MASTG) v1.7.0 (2023), pg. 166-168, 257,
259, 265-267, 366, 480-481. · Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ MAS (2021), pg. 56. · ENISA Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 8.
44

RESILIENCE-BP07
Iṣakoso
Ìfilọlẹ naa ṣe imuse yiya awọn bọtini itẹwe egboogi-bọtini tabi egboogi-keylogger lodi si awọn bọtini itẹwe foju ẹni-kẹta.
Apejuwe
Yiya bọtini bọtini ati titẹ bọtini jẹ awọn ọna ti awọn oṣere irira nlo lati ṣe atẹle, wọle, ati ṣe igbasilẹ awọn bọtini ti a tẹ sori keyboard laisi imọ ati ifọwọsi olumulo. Eyi ngbanilaaye gedu ati yiya awọn data ifura agbara (ie PII ati Data ìfàṣẹsí).
Nipa imuse bọtini titẹ bọtini ati awọn ọna atako bọtini, awọn olupilẹṣẹ le ṣe idiwọ ipadanu ti ko wulo ti data ifura. Ni pataki diẹ sii, iṣakoso yii n fojusi awọn ẹrọ Android, bi keyboard abinibi ti awọn ẹrọ Android le yipada. Iru awọn iyipada le ṣafihan awọn ohun elo si awọn ailagbara aabo bi ọna igbẹkẹle laarin awọn igbewọle keyboard ati awọn ohun elo ni awọn ẹgbẹ ti ko gbẹkẹle laarin wọn.
Ilana imuse
Awọn olupilẹṣẹ ko yẹ ki o gba laaye awọn bọtini itẹwe foju foju ti ẹnikẹta ti ko ni aabo lati lo fun awọn igbewọle ti o le ni data ifura ninu. Bọtini aṣa aṣa in-app ti o ni aabo jẹ ayanfẹ fun iru awọn igbewọle.
Nipa imuse bọtini itẹwe in-app kan, awọn olupilẹṣẹ le ṣakoso ibiti data iwọle ti lọ ati dinku lodi si eewu ti awọn bọtini itẹwe foju ti ẹnikẹta ti ko ni aabo ti n ṣiṣẹ bi awọn keyloggers lati mu awọn bọtini bọtini.
Paapọ pẹlu lilo awọn bọtini itẹwe in-app, awọn olupilẹṣẹ yẹ ki o ṣe awọn imọran atẹle wọnyi fun awọn igbewọle ti o nilo data ifura (ie PII ati Data Ijeri): Mu adaṣe adaṣe ṣiṣẹ, kikun, aba adaṣe, ge, daakọ, ati lẹẹmọ fun awọn iṣẹ/tabi awọn ohun elo ti o ni data ifura ninu .
Ohun lati ṣe akiyesi Diẹ ninu awọn exampAwọn iṣẹ ṣiṣe ti o yẹ ki o lo awọn bọtini itẹwe in-app pẹlu ṣugbọn ko ni opin si wíwọlé, titẹ OTP, tabi awọn ifosiwewe ijerisi miiran, ati bẹbẹ lọ.
Iṣakoso aabo yii ati adaṣe ti o dara julọ ni akọkọ fojusi awọn ẹrọ Android. Ifojusi akọkọ ni lati rii daju aabo ti ọna igbẹkẹle. Niwọn igba ti Android ko pese ọna ti o le fi ipa mu lilo awọn bọtini itẹwe abinibi/ti a gbẹkẹle, awọn olupilẹṣẹ yẹ ki o ṣe imuse bọtini itẹwe in-app kan lati rii daju pe awọn bọtini itẹwe fojuhan ẹni-kẹta ti ko ni aabo ko wọle alaye.
Ṣiṣe awọn bọtini itẹwe in-app ti o ni aabo ko dinku awọn eewu ti o ni nkan ṣe pẹlu ẹrọ ti o gbogun.
Iṣakoso aabo yii jẹ itọkasi ni awọn iṣedede miiran. Jọwọ tọka si awọn iwe (awọn) ti a pese ni:
· OWASP Alagbeka Ohun elo Aabo Ijerisi Standard (MASVS) v2.0.0 (2023), pg. 31. · OWASP Alagbeka Ohun elo Aabo Itọsọna Igbeyewo (MASTG) v1.7.0 (2023), pg. 203, 214-215,
257, 259, 400, 414-415. · Awọn Itọsọna Iṣakoso Ewu Imọ-ẹrọ MAS (2021), pg. 56. · ENISA Foonuiyara Awọn Itọsọna Idagbasoke aabo (2016), pg. 08, 23.
45

Awọn itọkasi

S/N 1
2
3
4
5
6 7

Document OWASP Alagbeka Aabo Ijerisi Ijerisi (MASVS) v2.0.0 OWASP Alagbeka Itọsọna Idanwo Aabo Ohun elo (MASTG) v1.7.0 MAS Awọn Itọsọna Idari Ewu Imọ-ẹrọ, Awọn Itọsọna Aabo Gbigba Isanwo Alagbeka PCI v2.0.0 ENISA Foonuiyara Aabo Awọn Itọsọna Idagbasoke to ni aabo Android Awọn Difelopa Apple Awọn iwe aṣẹ Olùgbéejáde

Orisun OWASP
OWASP
MAS
PCI-DSS
ENISA
Android Apple

Ọjọ 2023
2023
2021
2017
2016
2024 2024

46

Awọn iwe aṣẹ / Awọn orisun

CSA Ailewu Standard App [pdf] Itọsọna olumulo
Ailewu Standard App, Ailewu Standard, App

Awọn itọkasi

jẹmọ Posts

Fi ọrọìwòye

Adirẹsi imeeli rẹ kii yoo ṣe atẹjade. Awọn aaye ti a beere ti wa ni samisi *