Meglehet, hogy tényleg nálad van a hiba

Az alkalmazások biztonságának ellenőrzésénél a vállalatok soha nem lehetnek elég alaposak, hiszen a sérülékenységek rendkívül változatos formákban jelentkeznek, és folyton új hibák bukkannak fel, amelyeket a kiberbűnözők igyekeznek kihasználni. A Micro Focus szakértői szerint érdemes figyelemmel kísérni a trendeket, illetve a leggyakoribb problémákat, és professzionális eszközt alkalmazni a sebezhetőségek feltérképezésére.

2018. december 20.

Piac&Profit

A sebezhető szoftverek a kiberbűnözők kiskapui az adott programokat használó vállalatok rendszereibe. A cégek és informatikai részlegeik felelőssége, hogy naprakész megoldásokat használjanak, és mindig a lehető legrövidebb idő alatt telepítsék azokat a frissítéseket, amelyek befoltozzák a már javított sérülékenységeket. A szoftverfejlesztőkre is jelentős felelősség hárul azonban, hiszen az ő feladatuk, hogy olyan szoftvereket adjanak ki a kezük közül, amelyek védettek az összes ismert hibával szemben. Továbbá a lehető legrövidebb idő alatt kell elkészíteniük a javításokat, amint napvilágra kerül egy újabb biztonsági rés.

A szoftverfejlesztési folyamatnak ezért rendkívül fontos eleme az alkalmazások biztonságának tesztelése, az esetleges hibák feltérképezése és javítása. Ehhez szerencsére számos forrás áll rendelkezésre. Bizonyos esetekben már éppen az okozhatja a gondot, hogy túl sok az információ, és a fejlesztők nem tudják, mely útmutatók mentén ellenőrizzék szoftvereik sebezhetőségét.

Csak az első lépés

Jó kiindulópont az OWASP (Open Web Application Security Project) független, nyílt, nemzetközi nonprofit szervezet toplistája, amely minden évben bemutatja a 10 leggyakoribb webes sérülékenység típusait. A legutóbbi felsorolásban például olyan hibák szerepeltek az élen, amelyek lehetőséget biztosítanak a megbízhatatlan adatok vagy utasítások befecskendezésére, a hitelesítési folyamatok vagy felhasználói munkamenetek eltérítésére, az érzékeny adatok megszerzésére, XXE (XML external entity) alapú károkozásokra, a rosszindulatú kódok beillesztésére, valamint a hozzáférések helytelen felügyeletéből és a hibás biztonsági konfigurációkból eredő rendellenességek kihasználására.

Kevesen ismerik fel a külső és belső ellenségeket

A legtöbb szervezetnél tisztában vannak vele, hogy a kiemelt, rendszergazdai jogosultságokkal csínján kell bánni, azt azonban már kevesebben látják át, milyen sok szinten jelenthet kockázatot egy ilyen „privilégium”, és hogyan minimalizálhatják a hozzá kapcsolódó rizikófaktorokat.

A sebezhetőségeket és a megelőzési módszereket részletező dokumentumban azonban maga a szervezet is arra figyelmezteti a fejlesztőket, hogy ne álljanak meg ennél a listánál, mivel több száz további probléma lehet negatív hatással a webes alkalmazások biztonságára. Ezt támasztja alá a Micro Focus saját kutatása is. A vállalat által tesztelt alkalmazások 90 százalékában ugyanis akadt olyan általános sérülékenység, közel felében pedig olyan, kritikus vagy magas kockázatú hiba, amely nem szerepelt az OWASP toplistáján.

Hol a hibahatár?

A tanulmányban a legtöbb hibát a webes alkalmazások környezetében, valamint beágyazásuk és biztonsági funkcióik között találták a Micro Focus szakemberei. A leggyakoribb, általános jellegű sebezhetőségek a rendszerinformációk szivárgása, a sütik biztonsága és az adatforgalom kapcsán jelentkeztek, míg a kritikus sérülékenységek a legtöbb esetben a jelszavak kezelésénél és a rosszindulatú kódok beilleszthetőségénél merültek fel.

A sérülékenységek tehát rendkívül sokrétűek lehetnek, ezért a fejlesztőknek kiemelt figyelemmel kell kezelniük őket. Jóval egyszerűbbé teszik azonban ezt a feladatot az alkalmazásbiztonságot tesztelő eszközök. Az eszközök segítségével a vállalatok a teljes szoftverfejlesztési ciklus során, automatizáltan tesztelhetik a helyszínen vagy a felhőben futtatott alkalmazások biztonságát. A megoldások hatékony módszerekkel vizsgálják a programokat, és egyszerűen és gyorsan listázzák a javításra váró hibákat.

Adatbiztonság a gyakorlatban, a technikán innen és túl

A személyes adatok megfelelő szintű védelmének biztosítása napjainkra valamennyi szervezet számára alapvető feladattá vált, amely egyben az ügyfelek és munkatársak bizalmának sarokkövét is képezi. Ez éppúgy magában foglalja a szervezési (ideértve: a szervezeten belüli adatvédelmi tudatosság növelését, a munkavállalói állomány felkészültségét és az irányadó vállalati szabályozást), mint a különböző rendszerek és megoldások kapcsán alkalmazott technikai intézkedéseket.