Meta niġu għas-sigurtà tal-munzell tal-intrapriżi, l-applikazzjonijiet tas-softwer huma l-iktar ħolqa dgħajfa. Fil L-Istat tas-Sigurtà tal-Applikazzjoni, 2020, Forrester jgħid li l-maġġoranza tal-attakki esterni jseħħu jew billi tiġi sfruttata vulnerabbiltà tas-softwer (42%) jew permezz ta 'applikazzjoni tal-web (35%).
L-iżviluppaturi huma taħt pressjoni biex jirrilaxxaw karatteristiċi malajr kemm jista 'jkun hekk kif l-applikazzjonijiet isiru aktar kumplessi u l-iskedi ta' żmien tal-iżvilupp jiċkienu. Biex tinkiseb funzjonalità ta 'applikazzjoni differenzjata u konvinċenti, l-iżviluppaturi jiddependu dejjem aktar fuq libreriji ta' partijiet terzi.
Din il-bidla lejn komponenti open source tagħmel sigurtà prattiċi aktar kumplessi għall-kumpaniji. Oqfsa ġodda bħal kontenituri u APIs ikomplu jikkomplikaw is-sigurtà tal-applikazzjoni.
Bl-iżviluppaturi taħt pressjoni biex jirrilaxxaw karatteristiċi ġodda kontinwament, l-organizzazzjonijiet jiffaċċjaw riskju reali ħafna li s-sigurtà tonqos milli żżomm il-pass. Is-sigurtà tista' tinkiseb billi jiġu inkorporati l-aħjar prattiki tas-sigurtà tal-applikazzjoni fiċ-ċiklu tal-ħajja tal-iżvilupp tas-softwer u jiġu implimentati.
Għaliex Huwa Importanti l-Ittestjar tas-Sigurtà tal-Web?
L-ittestjar tal-applikazzjonijiet tal-Web u l-konfigurazzjonijiet tagħhom għall-vulnerabbiltajiet tas-sigurtà huwa l-għan tal-ittestjar tas-sigurtà tal-Web. L-attakki tas-saff tal-applikazzjoni (jiġifieri, li jimmiraw applikazzjonijiet ibbażati fuq HTTP) huma l-miri primarji.
Huwa komuni li tissottometti tipi differenti ta 'input għal applikazzjoni tal-Web biex tipprovoka żbalji u tikkawża li jġib ruħu b'mod mhux mistenni. F'dawn l-hekk imsejħa "testijiet negattivi", is-sistema tiġi spezzjonata għal imġieba li mhix maħsuba.
Huwa importanti wkoll li wieħed jinnota li Ittestjar tas-sigurtà tal-web mhijiex sempliċement dwar l-ittestjar tal-karatteristiċi tas-sigurtà li huma implimentati fl-applikazzjoni (eż., awtentikazzjoni u awtorizzazzjoni).
Huwa wkoll meħtieġ li jiġi ttestjat li karatteristiċi oħra (eż., loġika tan-negozju u validazzjoni ta' input u output) huma implimentati b'mod sigur. L-għan huwa aċċess sigur għall-funzjonijiet tal-applikazzjoni tal-Web.
L-Ittestjar tas-Sigurtà tal-Applikazzjoni Kif Inaqqas ir-Riskju tal-Organizzazzjoni Tiegħek?
Maġġoranza tal-Attakkijiet tal-Applikazzjoni tal-Web
- It-teknika ta 'injezzjoni SQL
- Cross-Site Scripting (XSS)
- Eżekuzzjoni ta 'kmandi mill-bogħod
- It-Traversal tal-Path
Riżultati tal-Attakk
- Kontenut li huwa ristrett
- Kontijiet li ġew kompromessi
- Installazzjoni ta' softwer malizzjuż
- Dħul mitluf
- Il-klijenti jitilfu l-fiduċja
- Ħsara reputazzjonali
- Kif ukoll ħafna aktar
L-ambjent tal-Web tal-lum huwa suxxettibbli għal firxa wiesgħa ta' problemi. Minbarra li tkun taf kif applikazzjoni tista 'tiġi sfruttata, li tkun taf ir-riżultati potenzjali tal-attakk tgħin lill-kumpanija tiegħek tindirizza b'mod preventiv il-vulnerabbiltajiet u tittestjahom b'mod preċiż.
Kontrolli mitiganti jistgħu jiġu applikati matul l-istadji bikrija tal-SDLC wara li tiġi identifikata l-kawża ewlenija tal-vulnerabbiltajiet. Barra minn hekk, test tas-sigurtà tal-applikazzjoni tal-Web jista’ jieħu vantaġġ mill-għarfien ta’ kif jaħdmu dawn l-attakki biex jimmiraw punti ta’ interess magħrufa.
Biex timmaniġġja r-riskju tad-ditta tiegħek, trid tifhem l-impatt ta 'attakk, peress li jista' jintuża biex titkejjel is-severità totali tal-vulnerabbiltà.
Bħala riżultat ta' test tas-sigurtà, id-determinazzjoni tas-severità tal-kwistjonijiet misjuba tista' tgħinek tipprijoritizza l-isforzi ta' rimedju b'mod effiċjenti u effettiv. Imminimizza r-riskju tad-ditta tiegħek billi tibda bi kwistjonijiet ta 'severità kritika u timxi għal kwistjonijiet ta' impatt aktar baxx.
Valutazzjoni tal-impatt potenzjali ta' kull applikazzjoni fil-librerija tal-applikazzjoni tad-ditta tiegħek qabel l-identifikazzjoni ta' kwistjoni tista' tgħin fil-prijoritizzazzjoni tal-ittestjar tas-sigurtà tal-applikazzjoni.
Meta l-ittestjar tas-sigurtà tal-web ikollu lista stabbilita ta’ applikazzjonijiet ta’ profil għoli, nistgħu niskedaw l-ittestjar biex l-ewwel jimmiraw l-applikazzjonijiet kritiċi tad-ditta tiegħek sabiex ir-riskju kontra n-negozju tiegħek ikun jista’ jitnaqqas.
Liema Karatteristiċi Għandhom Jiġu Riveduti Waqt Test tas-Sigurtà tal-Applikazzjoni tal-Web?
Għandhom jiġu eżaminati diversi karatteristiċi waqt l-ittestjar tas-sigurtà tal-applikazzjonijiet tal-Web, iżda l-lista mhix eżawrjenti. L-organizzazzjoni tiegħek tista' tkun esposta għal riskju serju permezz ta' implimentazzjoni mhux xierqa ta' kull wieħed.
L-Aqwa 10 Prattiki Għas-Sigurtà tal-Applikazzjoni tal-Web
Dawn li ġejjin huma l-aqwa għaxar prattiki tas-sigurtà tal-applikazzjonijiet l-organizzazzjoni tiegħek diġà għandha tkun qed timplimenta.
# 1 Track l-Assi Tiegħek
Jekk ma tafx x'għandek, ma tistax tipproteġih.
Għal liema funzjonijiet jew apps tuża servers speċifiċi? F'liema web apps tuża komponenti open source?
Taħseb li mhux importanti li ssegwi l-assi tiegħek? Huwa importanti ħafna li tiftakar liema softwer qed jaħdem f'kull applikazzjoni - staqsi biss lil Equifax, li ġiet immultata $ 700 miljun talli naqset milli tipproteġi d-dejta ta 'aktar minn 145 miljun klijent.
Wieħed mill-portali tal-web tal-klijenti tal-aġenzija tal-klassifikazzjoni tal-kreditu ġie kompromess wara li komponent open-source, Apache Struts, ma ġiex imtaqqab. Il-kumpanija tgħid li ma kinitx taf li l-portal tal-klijenti uża l-komponent vulnerabbli ta 'sors miftuħ.
Aktar ma tibda ssegwi l-assi tiegħek malajr, inqas uġigħ ta’ ras u diżastri ikollok aktar tard. Hekk kif l-organizzazzjonijiet iżidu l-iżvilupp tagħhom, dan il-proċess jista 'jħossu biċċa xogħol Sisyphean.
Għandek ukoll tikklassifika l-assi tiegħek, billi tinnota dawk li huma kritiċi għall-funzjonijiet tan-negozju tiegħek u dawk li huma ta 'inqas importanza. Imbagħad, tista' tivvaluta t-theddid u tirrimedjahom aktar tard.
#2 Wettaq Valutazzjoni tat-Theddida
Jekk tagħmel lista ta’ dak li għandek bżonn tipproteġi, imbagħad tista’ tidentifika t-theddid li tiffaċċja u kif dawn jistgħu jittaffew.
Il-hackers kif ikunu jistgħu jidħlu fl-applikazzjoni tiegħek? X'miżuri ta' sigurtà eżistenti għandek fis-seħħ? Liema għodod addizzjonali huma meħtieġa?
Int trid twieġeb dawn u mistoqsijiet oħra bħala parti mill-valutazzjoni tat-theddid tiegħek.
Madankollu, trid tkun ukoll realistiku dwar il-livell ta' sigurtà li tista' tgawdi. Ma jimpurtax kemm tkun sigura tagħmel is-sistema tiegħek, xorta tista 'hack. Barra minn hekk, trid tkun onest dwar il-miżuri li t-tim tiegħek jista' jżomm maż-żmien.
Tista' tirriskja li l-istandards u l-prattiki tas-sigurtà tiegħek jiġu injorati billi timbotta għal wisq. Ħu s-sigurtà bis-serjetà u tgħaġġelhiex.
Uża l-formula li ġejja biex tevalwa r-riskju tiegħek:
Riskju = Probabbiltà ta' Attakk x Impatt ta' Attakk.
Ir-riskju jista 'wkoll jitqies bħala l-probabbiltà li jiġri xi ħaġa kontra s-severità tal-konsegwenzi.
Anke jekk ikun katastrofiku li kieku balena waqgħet mis-sema u tfarrakk, mhux probabbli li jiġri.
Gidma tan-nemus fuq tlugħ, min-naħa l-oħra, hija pjuttost probabbli, iżda mhux probabbli li tikkawża ħsara sinifikanti lil hinn minn ftit daqqiet ta 'ħakk.
# 3 Ibqa 'fuq l-Irqiq Tiegħek
Tinstalla l-aħħar garża fuq is-sistemi operattivi tiegħek? Qed tuża softwer ta' partijiet terzi? Iċ-ċansijiet huma li qed tibqa 'lura, jiġifieri int espost.
Wieħed mill-aktar passi importanti li għandek tieħu biex tiżgura s-sigurtà tas-softwer tiegħek huwa li taġġorna s-softwer, jew minn bejjiegħ kummerċjali jew minn komunità open-source.
Meta vulnerabbiltà tiġi skoperta u rrappurtata b'mod responsabbli lis-sidien tal-prodott jew tal-proġett, din tiġi ppubblikata fuq siti ta' konsulenza dwar is-sigurtà u databases bħall-WhiteSource Vulnerability Database.
Jekk possibbli, għandha tinħoloq soluzzjoni u tinħareġ qabel il-pubblikazzjoni, li tipprovdi lill-utenti b'opportunità li jiżguraw is-softwer tagħhom.
Jekk, madankollu, ma tapplikax garża meta waħda ssir disponibbli, ma tibbenefikax minn sigurtà mtejba.
Jekk inti inkwetat li l-aġġornament għall-aħħar verżjoni jista 'jkisser il-prodott tiegħek, għodod awtomatizzati jistgħu jgħinu ħafna. Kwalunkwe jum tal-ġimgħa, għandek tipprijoritizza l-aġġornament u l-patching bħala parti mill-aħjar prattiki tas-sigurtà tal-applikazzjoni tiegħek.
#4 Immaniġġja l-Kontenituri Tiegħek
F'dawn l-aħħar snin, il-kontenituri kibru fil-popolarità hekk kif aktar organizzazzjonijiet jadottaw it-teknoloġija minħabba l-flessibbiltà tagħha, li tissimplifika l-proċess tal-iżvilupp, l-ittestjar u l-iskjerament ta 'komponenti f'diversi ambjenti matul iċ-ċiklu tal-ħajja tal-iżvilupp tas-softwer (SDLC).
Huwa ġeneralment aċċettat li l-kontenituri joffru vantaġġi ta 'sigurtà li jagħtuhom vantaġġ. Barra minn hekk, minħabba l-ambjent OS awtonomu tagħhom, huma segmentati skond id-disinn, u b'hekk ibaxxu l-livell ta 'riskju.
Madankollu, il-kontejners għadhom vulnerabbli għall-isfruttamenti bħal attakk ta' tbegħid, li fih l-iżolament inkisser. Il-kontenituri jista' jkun fihom ukoll vulnerabbiltà fil-kodiċi maħżun fihom.
Għas-sigurtà tal-pipeline CI/CD, għandek tiskennja għal vulnerabbiltajiet mill-bidu sat-tmiem, inkluż fir-reġistri tiegħek.
Minbarra dawn l-iskans, l-aħjar prattiki għas-sigurtà tal-applikazzjoni fil-ħidma ma’ kontenituri jinkludu wkoll kompiti importanti bħall-iffirmar tal-immaġini tiegħek stess b’għodod bħal Docker Content Trust jekk qed tuża Docker Hub, jew Firma ta’ Aċċess Kondiviż jekk it-tim tiegħek qed juża Microsoft Azure.
#5 Ipprijoritizza l-Operazzjonijiet ta’ Rimedju Tiegħek
Kien hemm numru dejjem jikber ta 'vulnerabbiltajiet f'dawn l-aħħar snin, u din it-tendenza ma turi l-ebda sinjali ta' jonqos f'qasir żmien.
Konsegwentement, l-iżviluppaturi huma okkupati bir-rimedju. Għal timijiet li jittamaw li jżommu l-applikazzjonijiet tagħhom siguri filwaqt li jibqgħu sani, il-prijoritizzazzjoni hija essenzjali.
Il-valutazzjonijiet tat-theddid isiru bbażati fuq is-severità ta’ vulnerabbiltà (klassifikazzjoni CVSS), il-kritika tal-applikazzjoni milquta, u għadd ta’ fatturi oħra.
Trid tkun taf jekk il-vulnerabbiltà tas-sors miftuħ taffettwax il-kodiċi proprjetarju tiegħek meta niġu għall-vulnerabbiltajiet tas-sors miftuħ.
Ineffettiv u mhux riskju għoli anki jekk il-klassifikazzjoni CVSS tal-komponent vulnerabbli hija kritika jekk ma jirċevix sejħiet mill-prodott tiegħek.
L-istrateġiji intelliġenti huma dawk li jagħtu prijorità lit-theddid l-aktar urġenti l-ewwel, ibbażati fuq il-fatturi preżenti, u jħallu dawk b'riskju baxx għal aktar tard.
#6 Encrypt, Encrypt, Encrypt
L-OWASP Top 10 inkluda l-kriptaġġ tad-dejta waqt il-mistrieħ u fi tranżitu għal snin, u jagħmilha rekwiżit għal kwalunkwe lista tal-aħjar prattiki tas-sigurtà tal-applikazzjoni.
Attakki man-in-the-middle u forom oħra ta 'intrużjoni jistgħu jesponu data sensittiva meta tonqos milli tissakkar it-traffiku tiegħek kif suppost.
Meta inti aħżen passwords u l-IDs tal-utent f'test sempliċi, pereżempju, tpoġġi lill-klijenti tiegħek f'riskju.
Kun żgur li tuża SSL b'ċertifikat aġġornat bħala parti mil-lista ta' kontroll bażika tiegħek għall-kriptaġġ. Tħallix lilek innifsek titħalla lura issa li HTTPS huwa l-istandard. Il-hashing huwa rakkomandat ukoll.
Barra minn hekk, qatt m'għandek "irrombla l-kripto tiegħek stess" kif jgħidu. Ikkunsidra prodotti tas-sigurtà li huma appoġġjati minn tim dedikat bl-esperjenza biex jagħmel ix-xogħol tajjeb.
#7 Immaniġġja l-Privileġġi
M'għandekx għalfejn tagħti aċċess għal kollox lil kulħadd fl-organizzazzjoni tiegħek. L-applikazzjonijiet u d-dejta huma aċċessibbli biss minn dawk li għandhom bżonnhom billi jsegwu l-aħjar prattiki tas-sigurtà tan-netwerk u l-aħjar prattiki tas-sigurtà tal-applikazzjonijiet.
Hemm żewġ raġunijiet għal dan. L-ewwel ħaġa li trid tagħmel hu li tipprevjeni lil hacker milli juża kredenzjali tal-kummerċjalizzazzjoni biex jikseb aċċess għal sistema li fiha data oħra aktar sensittiva, bħall-finanzi jew legali.
It-theddid minn ġewwa huwa wkoll ta’ tħassib, kemm jekk mhux intenzjonat – bħal telf ta’ laptop jew jibgħat attachment ħażin ma’ email – jew malizzjuż.
Il-Prinċipju tal-Inqas Privileġġ li tipprovdi lill-impjegati biss id-dejta li jeħtieġu meta tiġi biex jaċċessaw id-dejta jista’ jnaqqas l-espożizzjoni tiegħek meta mqabbel ma’ li ma jkollokx kontrolli fis-seħħ.
#8 Iħaddnu l-Awtomazzjoni għall-Ġestjoni tal-Vulnerabbiltà Tiegħek
Is-sigurtà tal-applikazzjonijiet tagħhom saret dejjem aktar importanti għall-iżviluppaturi fl-aħħar ftit snin, speċjalment fejn jidħlu kompiti bħall-ġestjoni tal-vulnerabbiltà.
Biex jindirizzaw iċ-ċaqliq lejn ix-xellug tas-sigurtà, it-timijiet tal-iżviluppaturi qed jittestjaw kmieni u spiss, billi jimbuttaw daqstant mill-kontrolli tas-sigurtà tagħhom kmieni fil-proċess ta 'żvilupp meta jkun aktar faċli u orħos li jiffissaw il-vulnerabbiltajiet.
Biex jimmaniġġjaw il-proċess ta 'ttestjar diffiċli minħabba l-kwantità kbira ta' vulnerabbiltajiet, l-iżviluppaturi jeħtieġu għodod awtomatizzati.
Biex issib vulnerabbiltajiet potenzjali tas-sigurtà fil-kodiċi proprjetarju tiegħek, l-ittestjar statiku tas-sigurtà tal-applikazzjoni (SAST) u l-ittestjar tas-sigurtà tal-applikazzjoni dinamika (DAST) jistgħu jiġu impjegati waqt l-iżvilupp.
It-toqob tas-sigurtà huma magħluqa b'SASTs u DASTs, madankollu l-kodiċi proprjetarju jagħmel parti relattivament żgħira tal-kodiċi ġenerali tiegħek.
F'aktar minn 92% tal-applikazzjonijiet moderni kollha, il-komponenti open-source jiffurmaw 60-80% tal-codebase tiegħek. Il-lista ta' kontroll tas-sigurtà tal-applikazzjoni tiegħek għandha tipprijoritizza l-iżgurar ta' komponenti ta' sors miftuħ.
Bl-użu ta' għodod ta' analiżi tal-kompożizzjoni tas-softwer, it-timijiet jistgħu jmexxu kontrolli u rapporti ta' sigurtà awtomatizzati matul l-SDLC, u jidentifikaw kull komponent ta' sors miftuħ fl-ambjent tagħhom u jindikaw liema minnhom għandu vulnerabbiltà magħrufa li toħloq riskju għas-sigurtà għall-applikazzjonijiet tiegħek.
Tista' timmaniġġja aħjar il-vulnerabbiltajiet tiegħek billi tbiddel l-ittestjar awtomatizzat tiegħek għal kwistjonijiet ta' sigurtà ta' sors miftuħ lejn ix-xellug.
#9 Ittestjar tal-Penetrazzjoni
Lista tal-aqwa prattiki tas-sigurtà tal-applikazzjonijiet ma tkunx kompluta mingħajr ma ssemmi l-ittestjar tal-pinna, anke jekk għodod awtomatizzati jgħinu biex jaqbdu l-maġġoranza l-kbira tal-kwistjonijiet tas-sigurtà.
L-ittestjar bil-pinna u l-karta jippermettilek li toqgħod u tipprod l-app tiegħek biex issib nuqqasijiet. Jekk hacker determinat jipprova jidħol fl-applikazzjoni tiegħek, dawk li jittestjaw il-pinna tajba jafu eżattament liema passi jridu jieħdu.
Ditti tal-hacking jistgħu jiġu mikrija jew freelancers jistgħu jipparteċipaw fi programmi bug bounty bħal BugCrowd u HackerOne. Il-kumpanija tiegħek għandha tisponsorja bug bounty jekk m'intix diġà.
Jekk tikri testers tal-pinna, huwa ferm aħjar li tħallas għalihom milli tittratta l-konsegwenzi ta 'ksur reali.
#10 Oqgħod attent bit-tokens
Minkejja l-fatt li din hija waħda faċli biex tiġi żgurata, ħafna żviluppaturi ma jiżgurawx sew it-tokens tagħhom għal partijiet terzi.
Billi tfittex websajts tal-iżviluppaturi popolari, tista 'faċilment issib tokens mhux garantiti onlajn. Minflok ma jaħżnu d-dettalji tat-token x'imkien ieħor, l-iżviluppaturi sempliċement jinkluduhom fir-repożitorji open-source tagħhom.
L-aħjar prattika bażika tas-sigurtà tal-applikazzjoni hija li tassigura b'mod xieraq it-tokens ta' partijiet terzi tiegħek. M'għandekx tħalli tokens li xtrajt fil-kodiċi tiegħek biex xi ħadd jieħu.
L-Aħjar Prattiki tas-Sigurtà tal-Applikazzjoni bħala Prattiki Bażiċi
Kull waħda mill-aħjar prattiki deskritti hawn għandha tkun integrata fil-proċess ta' żvilupp kontinwu tal-organizzazzjoni tiegħek. L-applikazzjonijiet u d-dejta tal-kumpanija tiegħek huma f'riskju jekk ma timminimizzax ir-riskju. Segwi dawn il-passi biex tnaqqas ir-riskju.
Li tevita l-iżbalji li ħaddieħor x'aktarx jagħmel huwa mod wieħed biex tibqa' qabel il-hackers, u għalhekk aktar diffiċli biex timmira għal attakki. Qatt mhu se jkun hemm miżura ta 'sigurtà ta' perimetru jew applikazzjoni li hija kompletament reżistenti għall-hack.
Madankollu, wara dawn l-aħjar prattiki bażiċi tista 'tmur triq twila biex iżżomm l-applikazzjoni tiegħek ma tiswa l-inkwiet għall-hackers.