Meglehet, hogy tényleg nálad van a hiba

2018. december 20. csütörtök - 16:10 / piacesprofit.hu
  •    

Az alkalmazások biztonságának ellenőrzésénél a vállalatok soha nem lehetnek elég alaposak, hiszen a sérülékenységek rendkívül változatos formákban jelentkeznek, és folyton új hibák bukkannak fel, amelyeket a kiberbűnözők igyekeznek kihasználni. A Micro Focus szakértői szerint érdemes figyelemmel kísérni a trendeket, illetve a leggyakoribb problémákat, és professzionális eszközt alkalmazni a sebezhetőségek feltérképezésére.

A sebezhető szoftverek a kiberbűnözők kiskapui az adott programokat használó vállalatok rendszereibe. A cégek és informatikai részlegeik felelőssége, hogy naprakész megoldásokat használjanak, és mindig a lehető legrövidebb idő alatt telepítsék azokat a frissítéseket, amelyek befoltozzák a már javított sérülékenységeket. A szoftverfejlesztőkre is jelentős felelősség hárul azonban, hiszen az ő feladatuk, hogy olyan szoftvereket adjanak ki a kezük közül, amelyek védettek az összes ismert hibával szemben. Továbbá a lehető legrövidebb idő alatt kell elkészíteniük a javításokat, amint napvilágra kerül egy újabb biztonsági rés.

A szoftverfejlesztési folyamatnak ezért rendkívül fontos eleme az alkalmazások biztonságának tesztelése, az esetleges hibák feltérképezése és javítása. Ehhez szerencsére számos forrás áll rendelkezésre. Bizonyos esetekben már éppen az okozhatja a gondot, hogy túl sok az információ, és a fejlesztők nem tudják, mely útmutatók mentén ellenőrizzék szoftvereik sebezhetőségét.

Kép: Pixabay

Kép: Pixabay

Csak az első lépés

Jó kiindulópont az OWASP (Open Web Application Security Project) független, nyílt, nemzetközi nonprofit szervezet toplistája, amely minden évben bemutatja a 10 leggyakoribb webes sérülékenység típusait. A legutóbbi felsorolásban például olyan hibák szerepeltek az élen, amelyek lehetőséget biztosítanak a megbízhatatlan adatok vagy utasítások befecskendezésére, a hitelesítési folyamatok vagy felhasználói munkamenetek eltérítésére, az érzékeny adatok megszerzésére, XXE (XML external entity) alapú károkozásokra, a rosszindulatú kódok beillesztésére, valamint a hozzáférések helytelen felügyeletéből és a hibás biztonsági konfigurációkból eredő rendellenességek kihasználására.

Kevesen ismerik fel a külső és belső ellenségeket
A legtöbb szervezetnél tisztában vannak vele, hogy a kiemelt, rendszergazdai jogosultságokkal csínján kell bánni, azt azonban már kevesebben látják át, milyen sok szinten jelenthet kockázatot egy ilyen „privilégium”, és hogyan minimalizálhatják a hozzá kapcsolódó rizikófaktorokat.

A sebezhetőségeket és a megelőzési módszereket részletező dokumentumban azonban maga a szervezet is arra figyelmezteti a fejlesztőket, hogy ne álljanak meg ennél a listánál, mivel több száz további probléma lehet negatív hatással a webes alkalmazások biztonságára. Ezt támasztja alá a Micro Focus saját kutatása is. A vállalat által tesztelt alkalmazások 90 százalékában ugyanis akadt olyan általános sérülékenység, közel felében pedig olyan, kritikus vagy magas kockázatú hiba, amely nem szerepelt az OWASP toplistáján.

Hol a hibahatár?

A tanulmányban a legtöbb hibát a webes alkalmazások környezetében, valamint beágyazásuk és biztonsági funkcióik között találták a Micro Focus szakemberei. A leggyakoribb, általános jellegű sebezhetőségek a rendszerinformációk szivárgása, a sütik biztonsága és az adatforgalom kapcsán jelentkeztek, míg a kritikus sérülékenységek a legtöbb esetben a jelszavak kezelésénél és a rosszindulatú kódok beilleszthetőségénél merültek fel.

A sérülékenységek tehát rendkívül sokrétűek lehetnek, ezért a fejlesztőknek kiemelt figyelemmel kell kezelniük őket. Jóval egyszerűbbé teszik azonban ezt a feladatot az alkalmazásbiztonságot tesztelő eszközök. Az eszközök segítségével a vállalatok a teljes szoftverfejlesztési ciklus során, automatizáltan tesztelhetik a helyszínen vagy a felhőben futtatott alkalmazások biztonságát. A megoldások hatékony módszerekkel vizsgálják a programokat, és egyszerűen és gyorsan listázzák a javításra váró hibákat.

Adatbiztonság a gyakorlatban, a technikán innen és túl
A személyes adatok megfelelő szintű védelmének biztosítása napjainkra valamennyi szervezet számára alapvető feladattá vált, amely egyben az ügyfelek és munkatársak bizalmának sarokkövét is képezi. Ez éppúgy magában foglalja a szervezési (ideértve: a szervezeten belüli adatvédelmi tudatosság növelését, a munkavállalói állomány felkészültségét és az irányadó vállalati szabályozást), mint a különböző rendszerek és megoldások kapcsán alkalmazott technikai intézkedéseket.

Feliratkozom a(z) Info & tech téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek