Készült: 2012. november 29
Nyomtatás

Alkalmazásbiztonság - OWASPAz OWASP magyarországi tagozata szélesebb szakmai körben hívta fel a figyelmet az alkalmazásbiztonságra, hiszen az utóbbi években főleg e területre koncentrálódnak a kiemeltebb hacker támadások. A webes alkalmazások rohamos elterjedésének következtében a hibalehetőségek is meredek növekedésnek indultak.

 

 

 

Preventív alkalmazásbiztonság

Az elmúlt évtized fő kibervédelmi alapelve az ún. "határvédelem" volt, ahol is a védett hálózat külső forgalmából szűrték ki a potenciáis támadásokat. A szakemberbek bíztak abban, hogy a támadások kiszűrhetők és a megfelelő védelmi megoldásoknak köszönhetően az elkövetők fennakadnak a kerítés

tetején. Napjainkban a határvédelemről és az utólagos tesztelésről (pl.: etikus hacking) a figyelem főleg a preventív alkalmazásbiztonságra irányul - nem véletlenül. A webes alkalmazások elterjedésével és gyors ütemű fejlődésével újabb és újabb, tömegével jelentkező hibalehetőségek tárulnak fel, amiket bizony a jól felkészült hackerek sokszor előbb észrevesznek, mint a felhasználók, vagy akár a fejlesztők. A preventív alkalmazásbiztonság az egyetlen út, ami valóban megvédheti a piaci szereplőket és ügyfélköreiket a betolakodóktól. Arról nem is beszélve, hogy egy utólagos hiba kiküszöbölése, amely akár már éles üzemben lévő rendszerben történik, sokkal nagyobb költséggel jár, mint a prevenció.

Nem elégséges a mai törvényi szabályozás

Ahhoz, hogy széles körben és valódi hatékonysággal lehessen a védelmet kiterjeszteni a felhasználói körre, fontos hogy az adott informatikai törvények utat mutassanak a szakmának az alkalmazásbiztonság fontosságát illetően, s olyan ajánlásokat, rendelkezéseket foganatosítsanak, melyek hosszútávon adhatnak biztonságot és akár költséghatékonyabb működést az érintett területen működő résztvevőknek.

Két lépés kell csupán a nagyobb biztonsághoz

Az OWASP hazai tagozatának alapítói szerint a megrendelői oldal és így a hazai internethasználók számára már két fontos lépés is jelentősen nagyobb biztonságot eredményezhetne.

  • Az egyik annak kikötése, hogy az OWASP által folyamatosan frissített és publikált TOP 10 hiba kiküszöbölése követelmény legyen a fejlesztéseknél.
  • A másik pedig a biztonsági hibák kiküszöbölésének megkövetelése a webes alkalmazások fejlesztés során.

Ezt szem előtt tartva hozta létre a Cloudbreaker a SeQA (Security QA, Security Quality Assurance) nevű termékét, amely a megrendelői oldal számára létrehozott minőségbiztosítási eljárásrend. Így, ha a megrendelők már e szerint írják ki a beszerzéseket és kötnek szerződést a fejlesztőkkel, úgy később az alkalmazásbiztonsági hibákat a beszállítók már a fejlesztés során, preventíven, folyamatosan ki tudják küszöbölni. Ezzel tehát elkerülhetik azt, hogy a hibákra utólag derüljön fény, s ha egyáltalán kiküszöbölhetőek, már csak nagyon körülményesen és extra ráfordításokkal legyen lehetséges.

Szükséges a szemléletváltás

"A megrendelők részéről szemléletváltásra van szükség ahhoz, hogy a vállalati és felhasználói adatok biztonságát valóban garantálják, a tövényhozói oldal pedig a szabályozással adós. A határvédelmi fókuszt felváltó új szemléletmódban a védelem vezéregyéniségévé egyre inkább az alkalmazásbiztonsági szakértők válnak, akiknek az a dolguk, hogy a fejlesztés közben a hacker szemével monitorozzák a tervezett és készülő programokat." - mondta el Fekete Tibor, a Cloudbreaker társaság vezetője, az OWASP magyarországi tagozatának egyik alapítója.

Azonban ahhoz, hogy a szemléletváltás elinduljon és valóban elérjen azokhoz, akiknek fontos az alkalmazásbiztonsági körülmények magasszintű megteremtése, addig még sok teendő vár minden résztvevőre.

Az alkalmazásbiztonság oktatása szintén nélkülözhetetlen

Nagy hangsúlyt kell fektetni a szakmai képzésekre, hogy akár az állami képzésrendszerbe be tudjon kerülni az alkalmazásbiztonsági szakemberek magasszintű oktatása. Az egyik neves szakmai egyetem már jelezte, hogy ők nyitottak lennének egy ilyen irányú program kidolgozására, így valóban elindulhat az a folyamat, amire már ma égető szükség lenne. A programozók és az érintett szakmabeliek képzése és folyamatos tájékoztatása nélkülözhetetlen az alkalmazásbiztonsági feladatok teljes körű ellátásához.

Csatlakozás az OWASP magyarországi tagozatához

Az OWASP (Open Web Application Security Project) a webes technológiájú alkalmazások biztonságával foglalkozik. A szervezet küldetése az alkalmazások biztonságának "láthatóvá" tétele, hogy a szervezetek világszerte képesek legyenek jól informáltan, felelős döntéseket hozni a szoftverek jelentette kockázatok kapcsán. Azért dolgoznak, hogy ingyenesen elérhető módszerekkel, eszközökkel és technológiákkal segítsék a szakembereket a biztonságos szoftverek fejlesztésében, beszerzésében és üzemeltetésében. A szervezet teljes mértékben független a technológiai beszállítóktól.

A 2012. november 28-i szakmai konferencián már elhangzott, hogy az OWASP magyarországi tagozathoz folyamatosan várják a szakmai résztvevők és érdeklődők jelentkezését, ahol is munkacsoportokra bontva, együtt dolgozhatják ki hazánkra szabva a jövő alkalmazásbiztonsági teendőit, szervezhetik az OWASP szakmai rendezvényeit és közösen adhatnak folyamatos tájékoztatást a szakmai további résztvevői felé.

Hozzászólások

480x100 CEE 2014

Események

Nincs esemény létrehozva még.

mySec talk #6

Vigyázat! Kamu Facebook alkalmazások a láthatáron!

Bár a Facebooknak már van hivatalos mobilapplikációja, ez abszolút nem tartja vissza a kiberbűnözőket attól, hogy

A hamis antivírus halott és élvezi

Szóval a hamis antivírus fenyegetések valójában mégsem haltak ki, azóta sem szűntek meg létezni

Csaláselhárítás fordított képkereséssel

Úgy tűnik a csodás fogyókúra témakörben terjedő átverések sosem tűnnek el, sőt egyre gyakrab

Végre kiesett a Conficker féreg

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját

Snapchat-es átverősdi

Továbbra sem csendesedik a tavaly kezdődött adatszivárgási, feltörési hullám, melyeknek gyakorta

Vigyázat! Kamu Facebook alkalmazások a láthatáron!

Bár a Facebooknak már van hivatalos mobilapplikációja, ez abszolút nem tartja vissza a

A hamis antivírus halott és élvezi

Szóval a hamis antivírus fenyegetések valójában mégsem haltak ki, az

Veszélyesek lehetnek a sztárok Facebook oldalai - Így terjesztik az androidos programokat a bűnözők

A népszerű világsztárok közösségi oldalait több tízmillió felhasználó követi vi

Végre kiesett a Conficker féreg

Az ESET minden hónapban összeállítja a világszerte terjedő számít

Csaláselhárítás fordított képkereséssel

Úgy tűnik a csodás fogyókúra témakörben terjedő átverések sosem

mySec Információ