Középpontban az alkalmazásbiztonság

Készült: 2012. november 29
Nyomtatás

Alkalmazásbiztonság - OWASPAz OWASP magyarországi tagozata szélesebb szakmai körben hívta fel a figyelmet az alkalmazásbiztonságra, hiszen az utóbbi években főleg e területre koncentrálódnak a kiemeltebb hacker támadások. A webes alkalmazások rohamos elterjedésének következtében a hibalehetőségek is meredek növekedésnek indultak.

 

 

 

Preventív alkalmazásbiztonság

Az elmúlt évtized fő kibervédelmi alapelve az ún. "határvédelem" volt, ahol is a védett hálózat külső forgalmából szűrték ki a potenciáis támadásokat. A szakemberbek bíztak abban, hogy a támadások kiszűrhetők és a megfelelő védelmi megoldásoknak köszönhetően az elkövetők fennakadnak a kerítés

tetején. Napjainkban a határvédelemről és az utólagos tesztelésről (pl.: etikus hacking) a figyelem főleg a preventív alkalmazásbiztonságra irányul - nem véletlenül. A webes alkalmazások elterjedésével és gyors ütemű fejlődésével újabb és újabb, tömegével jelentkező hibalehetőségek tárulnak fel, amiket bizony a jól felkészült hackerek sokszor előbb észrevesznek, mint a felhasználók, vagy akár a fejlesztők. A preventív alkalmazásbiztonság az egyetlen út, ami valóban megvédheti a piaci szereplőket és ügyfélköreiket a betolakodóktól. Arról nem is beszélve, hogy egy utólagos hiba kiküszöbölése, amely akár már éles üzemben lévő rendszerben történik, sokkal nagyobb költséggel jár, mint a prevenció.

Nem elégséges a mai törvényi szabályozás

Ahhoz, hogy széles körben és valódi hatékonysággal lehessen a védelmet kiterjeszteni a felhasználói körre, fontos hogy az adott informatikai törvények utat mutassanak a szakmának az alkalmazásbiztonság fontosságát illetően, s olyan ajánlásokat, rendelkezéseket foganatosítsanak, melyek hosszútávon adhatnak biztonságot és akár költséghatékonyabb működést az érintett területen működő résztvevőknek.

Két lépés kell csupán a nagyobb biztonsághoz

Az OWASP hazai tagozatának alapítói szerint a megrendelői oldal és így a hazai internethasználók számára már két fontos lépés is jelentősen nagyobb biztonságot eredményezhetne.

  • Az egyik annak kikötése, hogy az OWASP által folyamatosan frissített és publikált TOP 10 hiba kiküszöbölése követelmény legyen a fejlesztéseknél.
  • A másik pedig a biztonsági hibák kiküszöbölésének megkövetelése a webes alkalmazások fejlesztés során.

Ezt szem előtt tartva hozta létre a Cloudbreaker a SeQA (Security QA, Security Quality Assurance) nevű termékét, amely a megrendelői oldal számára létrehozott minőségbiztosítási eljárásrend. Így, ha a megrendelők már e szerint írják ki a beszerzéseket és kötnek szerződést a fejlesztőkkel, úgy később az alkalmazásbiztonsági hibákat a beszállítók már a fejlesztés során, preventíven, folyamatosan ki tudják küszöbölni. Ezzel tehát elkerülhetik azt, hogy a hibákra utólag derüljön fény, s ha egyáltalán kiküszöbölhetőek, már csak nagyon körülményesen és extra ráfordításokkal legyen lehetséges.

Szükséges a szemléletváltás

"A megrendelők részéről szemléletváltásra van szükség ahhoz, hogy a vállalati és felhasználói adatok biztonságát valóban garantálják, a tövényhozói oldal pedig a szabályozással adós. A határvédelmi fókuszt felváltó új szemléletmódban a védelem vezéregyéniségévé egyre inkább az alkalmazásbiztonsági szakértők válnak, akiknek az a dolguk, hogy a fejlesztés közben a hacker szemével monitorozzák a tervezett és készülő programokat." - mondta el Fekete Tibor, a Cloudbreaker társaság vezetője, az OWASP magyarországi tagozatának egyik alapítója.

Azonban ahhoz, hogy a szemléletváltás elinduljon és valóban elérjen azokhoz, akiknek fontos az alkalmazásbiztonsági körülmények magasszintű megteremtése, addig még sok teendő vár minden résztvevőre.

Az alkalmazásbiztonság oktatása szintén nélkülözhetetlen

Nagy hangsúlyt kell fektetni a szakmai képzésekre, hogy akár az állami képzésrendszerbe be tudjon kerülni az alkalmazásbiztonsági szakemberek magasszintű oktatása. Az egyik neves szakmai egyetem már jelezte, hogy ők nyitottak lennének egy ilyen irányú program kidolgozására, így valóban elindulhat az a folyamat, amire már ma égető szükség lenne. A programozók és az érintett szakmabeliek képzése és folyamatos tájékoztatása nélkülözhetetlen az alkalmazásbiztonsági feladatok teljes körű ellátásához.

Csatlakozás az OWASP magyarországi tagozatához

Az OWASP (Open Web Application Security Project) a webes technológiájú alkalmazások biztonságával foglalkozik. A szervezet küldetése az alkalmazások biztonságának "láthatóvá" tétele, hogy a szervezetek világszerte képesek legyenek jól informáltan, felelős döntéseket hozni a szoftverek jelentette kockázatok kapcsán. Azért dolgoznak, hogy ingyenesen elérhető módszerekkel, eszközökkel és technológiákkal segítsék a szakembereket a biztonságos szoftverek fejlesztésében, beszerzésében és üzemeltetésében. A szervezet teljes mértékben független a technológiai beszállítóktól.

A 2012. november 28-i szakmai konferencián már elhangzott, hogy az OWASP magyarországi tagozathoz folyamatosan várják a szakmai résztvevők és érdeklődők jelentkezését, ahol is munkacsoportokra bontva, együtt dolgozhatják ki hazánkra szabva a jövő alkalmazásbiztonsági teendőit, szervezhetik az OWASP szakmai rendezvényeit és közösen adhatnak folyamatos tájékoztatást a szakmai további résztvevői felé.

Hozzászólások

Hacktion S04 E08

Hacktivity 2013 CFP - Pályázati Felhívás!

A 10. Hacktivity idén 2013. október 11-12-én kerül megrendezésre a MOM Parkban, s egyúttal már elérhető az idei Call For

A tizenegyes, ami védhető lenne

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk,

Kiadatás előtt a SpyEye atyja

Az Egyesült Államok Igazságügy-minisztériuma jelentette be, hogy Thaiföld kiadja azt a 24 esztendős algériai férfit, ak

Valós-e a kiberháború réme?

Az elmúlt hónapokban jelentősen megnövekedett a médiafigyelem a "kiberháború" iránt. A blogoktól az újságokon át a t

A Facebook Home újabb adatvédelmi aggodalmakat vet fel

A Facebook április 12-én indította útjára a Facebook Home nevű androidos alkalmazását, amely egy Facebook-szerű felü

Hacktivity 2013 CFP - Pályázati Felhívás!

A 10. Hacktivity idén 2013. október 11-12-én kerül megrendezésre a MOM Parkban, s egyúttal má

Milliókat loptak néhány óra alatt a bankkártyás csalók

Negyvenötmillió dollárt lopott közel-keleti pénzintézetektől bankkártya-hamisítással egy b

Nem biztonságos az Internet Explorer 8

Az elmúlt héten újabb kiberkémkedési botrány robbant ki az Egyesült Államokban. T

Észak-Korea, a hacker paradicsom?

Az elmúlt néhány hétben a biztonságpolitikával foglalkozó szakértők fél szemüket folyam

Kedden "lesöprik a bankokat a kibertérképről"

Május 7-ére tervezi az Anonymous nemzetközi hackercsoport az USA-hadművelet kivitelezését, ame

Események

mySec Információ