Készült: 2012. november 29
Nyomtatás

Alkalmazásbiztonság - OWASPAz OWASP magyarországi tagozata szélesebb szakmai körben hívta fel a figyelmet az alkalmazásbiztonságra, hiszen az utóbbi években főleg e területre koncentrálódnak a kiemeltebb hacker támadások. A webes alkalmazások rohamos elterjedésének következtében a hibalehetőségek is meredek növekedésnek indultak.

 

 

 

Preventív alkalmazásbiztonság

Az elmúlt évtized fő kibervédelmi alapelve az ún. "határvédelem" volt, ahol is a védett hálózat külső forgalmából szűrték ki a potenciáis támadásokat. A szakemberbek bíztak abban, hogy a támadások kiszűrhetők és a megfelelő védelmi megoldásoknak köszönhetően az elkövetők fennakadnak a kerítés

tetején. Napjainkban a határvédelemről és az utólagos tesztelésről (pl.: etikus hacking) a figyelem főleg a preventív alkalmazásbiztonságra irányul - nem véletlenül. A webes alkalmazások elterjedésével és gyors ütemű fejlődésével újabb és újabb, tömegével jelentkező hibalehetőségek tárulnak fel, amiket bizony a jól felkészült hackerek sokszor előbb észrevesznek, mint a felhasználók, vagy akár a fejlesztők. A preventív alkalmazásbiztonság az egyetlen út, ami valóban megvédheti a piaci szereplőket és ügyfélköreiket a betolakodóktól. Arról nem is beszélve, hogy egy utólagos hiba kiküszöbölése, amely akár már éles üzemben lévő rendszerben történik, sokkal nagyobb költséggel jár, mint a prevenció.

Nem elégséges a mai törvényi szabályozás

Ahhoz, hogy széles körben és valódi hatékonysággal lehessen a védelmet kiterjeszteni a felhasználói körre, fontos hogy az adott informatikai törvények utat mutassanak a szakmának az alkalmazásbiztonság fontosságát illetően, s olyan ajánlásokat, rendelkezéseket foganatosítsanak, melyek hosszútávon adhatnak biztonságot és akár költséghatékonyabb működést az érintett területen működő résztvevőknek.

Két lépés kell csupán a nagyobb biztonsághoz

Az OWASP hazai tagozatának alapítói szerint a megrendelői oldal és így a hazai internethasználók számára már két fontos lépés is jelentősen nagyobb biztonságot eredményezhetne.

  • Az egyik annak kikötése, hogy az OWASP által folyamatosan frissített és publikált TOP 10 hiba kiküszöbölése követelmény legyen a fejlesztéseknél.
  • A másik pedig a biztonsági hibák kiküszöbölésének megkövetelése a webes alkalmazások fejlesztés során.

Ezt szem előtt tartva hozta létre a Cloudbreaker a SeQA (Security QA, Security Quality Assurance) nevű termékét, amely a megrendelői oldal számára létrehozott minőségbiztosítási eljárásrend. Így, ha a megrendelők már e szerint írják ki a beszerzéseket és kötnek szerződést a fejlesztőkkel, úgy később az alkalmazásbiztonsági hibákat a beszállítók már a fejlesztés során, preventíven, folyamatosan ki tudják küszöbölni. Ezzel tehát elkerülhetik azt, hogy a hibákra utólag derüljön fény, s ha egyáltalán kiküszöbölhetőek, már csak nagyon körülményesen és extra ráfordításokkal legyen lehetséges.

Szükséges a szemléletváltás

"A megrendelők részéről szemléletváltásra van szükség ahhoz, hogy a vállalati és felhasználói adatok biztonságát valóban garantálják, a tövényhozói oldal pedig a szabályozással adós. A határvédelmi fókuszt felváltó új szemléletmódban a védelem vezéregyéniségévé egyre inkább az alkalmazásbiztonsági szakértők válnak, akiknek az a dolguk, hogy a fejlesztés közben a hacker szemével monitorozzák a tervezett és készülő programokat." - mondta el Fekete Tibor, a Cloudbreaker társaság vezetője, az OWASP magyarországi tagozatának egyik alapítója.

Azonban ahhoz, hogy a szemléletváltás elinduljon és valóban elérjen azokhoz, akiknek fontos az alkalmazásbiztonsági körülmények magasszintű megteremtése, addig még sok teendő vár minden résztvevőre.

Az alkalmazásbiztonság oktatása szintén nélkülözhetetlen

Nagy hangsúlyt kell fektetni a szakmai képzésekre, hogy akár az állami képzésrendszerbe be tudjon kerülni az alkalmazásbiztonsági szakemberek magasszintű oktatása. Az egyik neves szakmai egyetem már jelezte, hogy ők nyitottak lennének egy ilyen irányú program kidolgozására, így valóban elindulhat az a folyamat, amire már ma égető szükség lenne. A programozók és az érintett szakmabeliek képzése és folyamatos tájékoztatása nélkülözhetetlen az alkalmazásbiztonsági feladatok teljes körű ellátásához.

Csatlakozás az OWASP magyarországi tagozatához

Az OWASP (Open Web Application Security Project) a webes technológiájú alkalmazások biztonságával foglalkozik. A szervezet küldetése az alkalmazások biztonságának "láthatóvá" tétele, hogy a szervezetek világszerte képesek legyenek jól informáltan, felelős döntéseket hozni a szoftverek jelentette kockázatok kapcsán. Azért dolgoznak, hogy ingyenesen elérhető módszerekkel, eszközökkel és technológiákkal segítsék a szakembereket a biztonságos szoftverek fejlesztésében, beszerzésében és üzemeltetésében. A szervezet teljes mértékben független a technológiai beszállítóktól.

A 2012. november 28-i szakmai konferencián már elhangzott, hogy az OWASP magyarországi tagozathoz folyamatosan várják a szakmai résztvevők és érdeklődők jelentkezését, ahol is munkacsoportokra bontva, együtt dolgozhatják ki hazánkra szabva a jövő alkalmazásbiztonsági teendőit, szervezhetik az OWASP szakmai rendezvényeit és közösen adhatnak folyamatos tájékoztatást a szakmai további résztvevői felé.

Hozzászólások

Események

mySec talk #6

E-könyvön keresztül hackelhető Amazon-fiókok

Létezik egy egyre növekvő szembenállás az olvasás megszállottjai között, ami az elektronikus és papír alapú k

Olvas-e az Apple IT security blogokat?

A rövid válasz szerint: nem tudjuk. A hosszú válasz szerint pedig talán igen, valószínűleg olvas

Vírustoplista 2014. augusztus hónap

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját

Jelentős növekedés a mobilokat fenyegető kártevők arányában

2014 első felében a mobil eszközök fertőzöttségi rátája 17%-kal nőtt, amely majdnem annyit, mint a tejes 2013.

Károkozó ki mit tud

Természetesen egyik korábbi vírus sem múlja felül a mai nappal kapcsolatos 9/11-es esemény okozta

E-könyvön keresztül hackelhető Amazon-fiókok

Létezik egy egyre növekvő szembenállás az olvasás megszállottjai között, ami az ele

Olvas-e az Apple IT security blogokat?

A rövid válasz szerint: nem tudjuk. A hosszú válasz szerint pedig tal

Vírustoplista 2014. augusztus hónap

Az ESET minden hónapban összeállítja a világszerte terjedő számít

Jelentős növekedés a mobilokat fenyegető kártevők arányában

2014 első felében a mobil eszközök fertőzöttségi rátája 17%-kal nőtt, amely majdne

Károkozó ki mit tud

Természetesen egyik korábbi vírus sem múlja felül a mai nappal kapcso

mySec Információ