Készült: 2012. november 29
Nyomtatás

Alkalmazásbiztonság - OWASPAz OWASP magyarországi tagozata szélesebb szakmai körben hívta fel a figyelmet az alkalmazásbiztonságra, hiszen az utóbbi években főleg e területre koncentrálódnak a kiemeltebb hacker támadások. A webes alkalmazások rohamos elterjedésének következtében a hibalehetőségek is meredek növekedésnek indultak.

 

 

 

Preventív alkalmazásbiztonság

Az elmúlt évtized fő kibervédelmi alapelve az ún. "határvédelem" volt, ahol is a védett hálózat külső forgalmából szűrték ki a potenciáis támadásokat. A szakemberbek bíztak abban, hogy a támadások kiszűrhetők és a megfelelő védelmi megoldásoknak köszönhetően az elkövetők fennakadnak a kerítés

tetején. Napjainkban a határvédelemről és az utólagos tesztelésről (pl.: etikus hacking) a figyelem főleg a preventív alkalmazásbiztonságra irányul - nem véletlenül. A webes alkalmazások elterjedésével és gyors ütemű fejlődésével újabb és újabb, tömegével jelentkező hibalehetőségek tárulnak fel, amiket bizony a jól felkészült hackerek sokszor előbb észrevesznek, mint a felhasználók, vagy akár a fejlesztők. A preventív alkalmazásbiztonság az egyetlen út, ami valóban megvédheti a piaci szereplőket és ügyfélköreiket a betolakodóktól. Arról nem is beszélve, hogy egy utólagos hiba kiküszöbölése, amely akár már éles üzemben lévő rendszerben történik, sokkal nagyobb költséggel jár, mint a prevenció.

Nem elégséges a mai törvényi szabályozás

Ahhoz, hogy széles körben és valódi hatékonysággal lehessen a védelmet kiterjeszteni a felhasználói körre, fontos hogy az adott informatikai törvények utat mutassanak a szakmának az alkalmazásbiztonság fontosságát illetően, s olyan ajánlásokat, rendelkezéseket foganatosítsanak, melyek hosszútávon adhatnak biztonságot és akár költséghatékonyabb működést az érintett területen működő résztvevőknek.

Két lépés kell csupán a nagyobb biztonsághoz

Az OWASP hazai tagozatának alapítói szerint a megrendelői oldal és így a hazai internethasználók számára már két fontos lépés is jelentősen nagyobb biztonságot eredményezhetne.

  • Az egyik annak kikötése, hogy az OWASP által folyamatosan frissített és publikált TOP 10 hiba kiküszöbölése követelmény legyen a fejlesztéseknél.
  • A másik pedig a biztonsági hibák kiküszöbölésének megkövetelése a webes alkalmazások fejlesztés során.

Ezt szem előtt tartva hozta létre a Cloudbreaker a SeQA (Security QA, Security Quality Assurance) nevű termékét, amely a megrendelői oldal számára létrehozott minőségbiztosítási eljárásrend. Így, ha a megrendelők már e szerint írják ki a beszerzéseket és kötnek szerződést a fejlesztőkkel, úgy később az alkalmazásbiztonsági hibákat a beszállítók már a fejlesztés során, preventíven, folyamatosan ki tudják küszöbölni. Ezzel tehát elkerülhetik azt, hogy a hibákra utólag derüljön fény, s ha egyáltalán kiküszöbölhetőek, már csak nagyon körülményesen és extra ráfordításokkal legyen lehetséges.

Szükséges a szemléletváltás

"A megrendelők részéről szemléletváltásra van szükség ahhoz, hogy a vállalati és felhasználói adatok biztonságát valóban garantálják, a tövényhozói oldal pedig a szabályozással adós. A határvédelmi fókuszt felváltó új szemléletmódban a védelem vezéregyéniségévé egyre inkább az alkalmazásbiztonsági szakértők válnak, akiknek az a dolguk, hogy a fejlesztés közben a hacker szemével monitorozzák a tervezett és készülő programokat." - mondta el Fekete Tibor, a Cloudbreaker társaság vezetője, az OWASP magyarországi tagozatának egyik alapítója.

Azonban ahhoz, hogy a szemléletváltás elinduljon és valóban elérjen azokhoz, akiknek fontos az alkalmazásbiztonsági körülmények magasszintű megteremtése, addig még sok teendő vár minden résztvevőre.

Az alkalmazásbiztonság oktatása szintén nélkülözhetetlen

Nagy hangsúlyt kell fektetni a szakmai képzésekre, hogy akár az állami képzésrendszerbe be tudjon kerülni az alkalmazásbiztonsági szakemberek magasszintű oktatása. Az egyik neves szakmai egyetem már jelezte, hogy ők nyitottak lennének egy ilyen irányú program kidolgozására, így valóban elindulhat az a folyamat, amire már ma égető szükség lenne. A programozók és az érintett szakmabeliek képzése és folyamatos tájékoztatása nélkülözhetetlen az alkalmazásbiztonsági feladatok teljes körű ellátásához.

Csatlakozás az OWASP magyarországi tagozatához

Az OWASP (Open Web Application Security Project) a webes technológiájú alkalmazások biztonságával foglalkozik. A szervezet küldetése az alkalmazások biztonságának "láthatóvá" tétele, hogy a szervezetek világszerte képesek legyenek jól informáltan, felelős döntéseket hozni a szoftverek jelentette kockázatok kapcsán. Azért dolgoznak, hogy ingyenesen elérhető módszerekkel, eszközökkel és technológiákkal segítsék a szakembereket a biztonságos szoftverek fejlesztésében, beszerzésében és üzemeltetésében. A szervezet teljes mértékben független a technológiai beszállítóktól.

A 2012. november 28-i szakmai konferencián már elhangzott, hogy az OWASP magyarországi tagozathoz folyamatosan várják a szakmai résztvevők és érdeklődők jelentkezését, ahol is munkacsoportokra bontva, együtt dolgozhatják ki hazánkra szabva a jövő alkalmazásbiztonsági teendőit, szervezhetik az OWASP szakmai rendezvényeit és közösen adhatnak folyamatos tájékoztatást a szakmai további résztvevői felé.

Hozzászólások

Események

Nincs esemény létrehozva még.

mySec talk #6

Új típusú zsaroló kártevő a láthatáron.

Egy új kripto-kártevőt fedeztek fel, amely az OphionLocker nevet kapta a keresztségben, és amely az elliptikus görb

Bitcoinos zsaroló járja be Európát

Az ESET kanadai kutatói alaposan megvizsgálták az év elején megjelenő TorrentLocker nevű zsaroló

6 tipp személyazonosságunk megvédésére

A privát szféra megóvása lassan mindegyikünk a gondolkodásába beépül, hiszen mindenki tapasztal

Rejtett előfizetéssel trükköző cégek

Három brit vállalatot is megbüntettek nemrégiben ilyen jellegű tisztességtelen magatartás miatt.

Újabb adathalász kísérlet a Yahoo! ellen

Megszokhattuk már, hogy ezek a trükkök sosem szűnnek meg, hanem rendre kisebb-nagyobb változtatáso

Bitcoinos zsaroló járja be Európát

Az ESET kanadai kutatói alaposan megvizsgálták az év elején megjelen

Új típusú zsaroló kártevő a láthatáron.

Egy új kripto-kártevőt fedeztek fel, amely az OphionLocker nevet kapta a keresztségben,

6 tipp személyazonosságunk megvédésére

A privát szféra megóvása lassan mindegyikünk a gondolkodásába beép

Rejtett előfizetéssel trükköző cégek

Három brit vállalatot is megbüntettek nemrégiben ilyen jellegű tiszte

Okoseszközök beépített trójaival

Kiderült, hogy egyes belépő kategóriás okostelefonok és táblagépek már előre telep

mySec Információ