Ép tesztben ép lélek, avagy alkalmazásbiztonsági program kiépítése 3 lépésben
„A terv nem azért kell, hogy pontosan megvalósuljon, hanem azért, hogy legyen. A tervek valamennyire önmegvalósító jóslatként viselkednek akkor is, ha a fejlesztés során már sohasem nézünk beléjük.”
Mérő László, magyar matematikus és pszichológus
Kémszoftver a WhatsApp-ban – ismerősen hangzik? A kiberbűnözők ilyen könnyen hozzáférhetnek az adatokhoz, ha a szoftver sebezhető. Márpedig az elemzők átlagosan ötből négy alkalmazásban találtak olyan komoly sérülékenységet, amely hasonló súlyos esetekhez vezethet. A szervezeteknek tehát kiemelt figyelmet kell fordítaniuk arra, hogy rendszeresen ellenőrizzék és javítsák a programok sebezhetőségeit. A Micro Focus szakértői most bemutatják, hogyan alakíthatnak ki átfogó alkalmazásbiztonsági programot a vállalatok.
A Micro Focus elemzése szerint az alkalmazások közel négyötöde tartalmaz legalább egy kritikus vagy súlyos sebezhetőséget. Az ilyen sérülékenységek rendkívül veszélyesek, hiszen ajtót nyithatnak a kiberbűnözők előtt. Nemrégiben például a WhatsApp egyik sebezhetőségét használták ki rosszindulatú támadók arra, hogy kémszoftvert telepítsenek az áldozatok telefonjaira.
Érdemes tehát minden vállalatnál kiemelt figyelmet fordítani arra, hogy rendszeresen megvizsgálják a használatban lévő szoftverek biztonságát, legyen szó akár saját fejlesztésű programokról, akár más gyártók termékeiről. Ahol még nem foglalkoznak külön ezzel a területtel, ott nehézséget okozhat a döntéshozók és a szakemberek számára, hogyan kezdjenek bele egy hatékony és átfogó alkalmazásbiztonsági program kialakításába. Ebben segítenek a Micro Focus szakértői néhány tanáccsal.
Térképezzük fel az aktuális állapotot!
Ahhoz, hogy megfelelően tudjunk gondoskodni a szoftverek biztonságáról, először egy általános képet kell alkotnunk az aktuális helyzetről. Át kell tekintenünk, kiket érint a terület, és mely kollégákat kell bevonni a kapcsolódó döntések meghozatalába. Ha a szervezet rendelkezik saját fejlesztői csapattal, akkor meg kell vizsgálni, ők milyen szinten foglalkoznak a szoftverek biztonságával: milyen lépéseket tesznek a sérülékenységek feltárásáért, és hogyan illeszkedik a fejlesztési ciklusba a biztonság. Természetesen azt is listáznunk kell, pontosan milyen programokat használ a vállalat, beleértve a webes és mobilos applikációkat. Ezután tanácsos rangsorolni a programokat, hogy a kritikus fontosságú megoldásokkal kezdhessük a vizsgálatot.
Érdemes azt is számba venni, milyen szabályozások vonatkoznak a vállalatra, és ezek meghatároznak-e bizonyos feltételeket az alkalmazások biztonságával kapcsolatban, legyen szó belső házirendekről vagy olyan kötelező előírásokról, mint például a GDPR vagy a PCI DSS. Célszerű továbbá összesíteni, hogy pontosan milyen biztonsági eszközöket és szolgáltatásokat használ a szervezet, és ezek közül segíti-e valamelyik a sebezhetőségek vizsgálatát és javítását.
Akinek nehézséget okoz az aktuális helyzet feltérképezése, olyan kérdőívet is használhat segítségként, mint amilyet a Micro Focus szakértői állítottak össze a szervezetek számára. Ennek kitöltése után az érdeklődők a következő lépések megtervezésére is javaslatot kapnak.
Kezdjük kicsiben, de azonnal!
Számos vállalatnál egyszerűen azért nem kezdenek bele a szoftverek biztonságának tesztelésébe, mert nem tudják, milyen módszert használjanak, és hogyan induljanak el vele. Nekik az a legegyszerűbb, ha valamilyen dedikált alkalmazásbiztonsági teszteszközt vesznek igénybe erre a célra. Már számos típus elérhető a piacon ilyen megoldásból, amely különféle tesztelési metódusok segítségével képes automatikusan átvizsgálni az alkalmazásokat és szolgáltatásokat. A Gartner minden évben részletes elemzést készít ezen eszközök piacáról és funkcióiról (amelyben idén hatodik alkalommal szerepelt a vezetők között Micro Focus alkalmazásbiztonsági teszteszköze). Egy ilyen jelentés is támogatást nyújthat a megfelelő teszteszköz kiválasztásában.
A piacvezető Fortify termékcsaláddal a vállalatok egyszerűen elkezdhetik az első alkalmazások tesztelését, mivel a megoldások automatizáltan, több különféle módszert használva képesek feltérképezni a sebezhetőségeket mind a saját fejlesztésű, mind a más szoftvergyártóktól származó programokban. Ráadásul a szolgáltatás formájában igénybe vehető Fortify on Demand regisztráció után térítésmentesen használható 15 napon keresztül, így a szervezetek egyszerűen kipróbálhatják.
Kövessük nyomon a haladást!
A vizsgálat lefuttatása után az alkalmazásbiztonsági teszteszköz azonnal megjeleníti az esetleges hibákat és sérülékenységeket, és osztályozza is azokat fontosság szerint. A szervezetek így rögtön nekiláthatnak azok javításának. Az olyan fejlett termékek, mint a Fortify hosszú távon is segítenek nyomon követni az alkalmazásbiztonsági program állását. A megoldás vezérlőpultján megjeleníthető a vállalat teljes szoftverportfóliója, illetve az egyes programok aktuális állapota és kockázatai. Így az információ könnyen megosztható minden érintett féllel, ráadásul a javítási feladatok is rangsorolhatók.