Ця стаття є сирим з іншої мови. Можливо, вона створена за допомогою машинного перекладу або перекладачем, який недостатньо володіє обома мовами. (вересень 2019) |
Безпека застосунків, або безпека прикладних програм (англ. Application Security) — це комплекс заходів, які спрямовані на аналіз, виявлення та усунення уразливостей у застосунках та забезпеченні їхньої безпеки. Забезпечення безпеки охоплює заходи підвищення безпеки програми, зазвичай шляхом пошуку, виправлення та запобігання уразливостям системи безпеки. Для цього використовуються методи виявлення таких уразливостей на різних етапах життєвого циклу додатків, таких як проектування, розробка, розгортання, модернізація, технічне обслуговування. На кожному з цих етапів користувач може зіштовхнутися з певними проблемами, що здебільшого виникають у результаті реалізації програм, які у свою чергу служать для забезпечення певних потреб користувача.
Здебільшого у програмах спостерігається зростання кількості різного роду дефектів та уразливостей, які з часом можуть завдати суттєвої шкоди програмному забезпеченню.
Сучасні темпи розвитку інформаційних систем вимагають відповідних знань, ідей, рішень у галузі безпеки для злагодженої роботи усього контенту застосунків, які на даний час виступають кінцевими продуктами та мають широке застосування у світі. Необхідність у реалізації максимально надійної системи безпеки та різного роду протоколів, оновлень постає перед сучасними компаніями із розробки ПЗ.
Терміни
- Актив — це ресурс такого значення як дані у сховищі зберігання даних, гроші на рахунку в аккаунті, файли у файловій системі або системний ресурс.
- Уразливість — це певне «слабке місце» у програмі, яке може бути використане різного виду загрозами для отримання несанкціонованого доступу до активу.
- Атака (напад або використання) — дія, яка спрямована на завдання шкоди активу.
- Загроза — це все, що може використовувати уразливості та отримати, нанести шкоду або знищити актив.
Методи
Методи знаходять різні підмножини (осередки) уразливостей безпеки, що заховані у програмі і є найбільш ефективними у окремі періоди її життєвого циклу. Кожен з них представляє певні цикли часу, зусилля, витрати щодо знаходження цих уразливостей.
1. Огляд «білої скриньки» або огляд коду.
Інженер глибоко розуміє програму та вручну переглядає початковий код, записуючи уразливості безпеки. Після здійсненого аналізу інженер знаходить унікальні вирішення знайдених проблем. У такому випадку відома внутрішня структура програми, де проходить перевірка побудови всіх елементів програми та коректність взаємодії її частин.
2. Огляд «чорної скриньки».
Використовується лише за допомогою програми, яка перевіряє її на наявність уразливостей безпеці, при якому не потрібні початкові коди.
3. Інструментарій.
Існують автоматизовані інструменти, які перевіряють наявність недоліків та дефектів безпеки, часто з більшою позитивною швидкістю, ніж залучення людини. До такого інструментарію відносяться сканери, фаєрволи, антивіруси, фільтри та інше.
Використання цих методів належним чином протягом усього життєвого циклу розробки програмного забезпечення для максимізації безпеки — роль команди, що займається питаннями безпеки.
Загрози застосункам (атаки)
Загрози або атаки є головним чинником впливу на роботу прикладних програм. Спільнота OWASP винайшла список 10 уразливостей для вебпрограм та описує практики безпеки для організацій, прагнучи створити відкриті стандарти для цієї галузі. З 2017 року організація перераховує основні загрози безпеки застосунків, такі як:
Тип загрози | Опис |
---|---|
Вхід (валідація) | Переповнення буфферу; крос-сайт сценаріїв; мова структурованих запитів (англ. SQL — Structured query language). |
Вторгнення програми | Такий софт модифікує існуючу поведінку запуску програми з метою несанкціонованих дій. З'являється у наслідку оновлення, заміни коду або ж розширення коду. |
Аутентифікація | Мережеве прослуховування. Атаки грубої сили. Атаки перебору. Атаки відтворення файлів cookie. Крадіжка облікових даних. |
Авторизація | Підвищення привілеїв. Розголошення конфіденційної інформації. Вторгнення шкідливих даних. |
Управління конфігурацією | Неавторизовний доступ до інтерфейсів. Неавторизований доступ до налаштувань конфігурації. Отримання чистого тексту даних. Відсутність власної відповідальності. Супер-користувальницькі процеси та сервіси. |
Чутлива інформація | Доступ до чутливого коду або даних у сховищі. Прослуховування мережі. Вторгнення небажаного коду або даних. |
Управління сеансом | Викрадення сеансів. Відтворення сеансу роботи. « Людина по середині». |
Криптографія | Помилка генерації ключів або погане управління ключами. Слабке або індивідуальне криптування. |
Маніпуляція параметрами | Маніпуляції полем запиту. З полем форми. Маніпуляції з файлами cookie. Різного роду маніпуляції з гіпертекстом (HTTP — Hyper Text Transfer Protocol). |
Управління винятками | Розсекречення інформації. Відмова в обслуговуванні (Deny of Service — DoS). |
Аудит і вхід у систему | Користувач блокує виконання операції. Використовує додаток без слідів його застосування та дій. |
Захист мобільних застосунків
Очікується, що частка мобільних пристроїв, які надають функціональні можливості відкритої платформи, будуть збільшуватись надалі. Відкритість цих платформ дає значні можливості для усіх частин мобільних середовищ забезпечуючи простір дій для гнучких програм і сервісів: опції можуть бути встановлені, видалені або оновлені безліч разів згідно із потребами та вимогами користувача. Проте, із відкритості систем приходить і необмежений доступ до мобільних ресурсів і прикладних програмних інтерфейсів (API's — Application Programming Interface's), невідомими і недовіреними оригіналами, які можуть нанести значну шкоду користувачу, пристрою, мережі або усім складовим відразу, якщо вони не будуть управлятися відповідними захисними структурами і мережевими запобіжними засобами. Захист мобільних застосунків у деякому розумінні забезпечується на більшості відкритих операційних систем мобільних пристроїв (Symbian OS, Microsoft, інші). Промислові групи також створили певні рекомендації включаючи організацію GSM та Mobile Terminal Plaform, OMTP.
Існує декілька стратегій підвищення безпеки мобільних програм:
- «Білий список» (white listing).
- Забезпечення безпеки транспортного рівня.
- Надійна аутентифікація та авторизація.
- Криптування даних перед записом пам'яті
- Sandboxing застосунків.
- Збільшення рівнів доступу застосунків за один API рівень.[]
- Процеси прив'язані до ідентифікатора (ID) користувача.
- Попередньо визначена взаємодія між мобільним застосунком та операційною системою.
- Вимагати[] від користувача привілейованого або підвищеного рівня доступу.
- Правильна обробка сеансу.
Одним із способів захисту програм є їх оновлення. Оновлення коду запобігає існуванню уже існуючих проблем та уразливостей у попередній версії програми за рахунок виправлень проблемних зон коду. Регулярне оновлення може зменшити ризик виникнення таких незручностей.
Захист вебзастосунків
Вебзастосунок (англ. Web Application) — це застосунок, у якому клієнтом виступає браузер, а сервером — вебсервер. Вони являють собою об'єкти потенційного впливу так як:
- Весь час перебувають під впливом Інтернету та використовують незахищені інструменти.
- Через необхідність їх використання та швидшої реалізації, безпека може бути недокінця продуманою, що може викликати помилки.
- Зібрані, здебільшого, із гібридного відкритого коду, сторонніх бібліотек, які можуть містити у собі уразливості.
Discovery: За даними SANS, багато організацій навіть не знають, скільки програм вони мають у своїх доменах. Служба Discovery вирішує цю різницю видимості, створивши загальну інвентаризацію всіх вебзастосунків, таких як корпоративні сайти, тимчасові маркетингові сайти, пов'язані сайти (.mail, .info тощо), міжнародні домени та сайти, отримані через M & A. Крім того, Discovery масово використовує паралельну інфраструктуру автоматичного масштабування, щоб перевірити тисячі програм на день.
DynamicMP (Massively Parallel): знижує рівень ризику шляхом швидкого виявлення уразливостей, які віднайдені організацією OWASP та CWE / SANS . Протестувати тисячі вебзастосунків одночасно можна динамічним скануванням. Зменшити ризик можливо закривши тимчасові сайти та передаючи інформацію про захист та розповсюдження до мережевих брандмауерів (WAF).
DynamicDS (Глибоке сканування). Використовує глибоке різностороннє сканування, яке визначає вразливості вебзастосунків, використовуючи як аутентифіковані, так і неаутентифіковані сканування, включаючи пошук векторів атак, таких як міжсистемні скрипти (XSS), SQL injection, недостатньо захищені облікові дані та витоки інформації. Також інтегрує інформацію про розвідувальний захист з WAF, щоб забезпечити віртуальне оновлення.
Virtual Scan Appliance (VSA): виконує глибоку перевірку програм, що знаходяться під захистом брандмауера, як правило, в QA або в середовищі сканування, щоб знайти вразливості перед застосуванням. VSA також допомагає захищати внутрішні вебпрограми від інсайдерських атак або атак зловмисними сторонніми особами, які хочуть отримати доступ до активу особи.
Всі результати об'єднуються з іншою інформацією про загрозу через центральну платформу на основі хмар.
Організація захисту вебзастосунків
Застосування різного роду фаєрволів, систем запобіганню вторгнень(IDS — Intrusion Detection System) допомагають фільтрувати мережевий трафік, відслідковувати пакети і порівнювати їх із сигнатурами атак. Ці системи можуть блокувати усі відхилення від протоколів прикладного рівня. Одним із рішень є застосування системи WAF, яка аналізує протоколи HTTP/HTTPS, виявляє атаки із використанням автоматичних засобів. Важливим зі сторони подібного роду захисних систем виступає логічне осмислення та зрозумілість роботи програми у поєднанні із інтелектуальним дослідженням спроб проникнення. Перед командою із захисту вебзастосунків поставлені задачі високого рівня складності та способів їх реалізації.
Рішення щодо реалізації захисту вебзастосунків:
- Значний рівень захисту утворюється за допомогою злагодженої роботи інструментів та їх сумісності із поставленими завданнями.
- Автоматизовані системи зменшують шанс потрапляння загрози.
- Системи безпечні, масштабовані, зрозумілі, прості у розгортанні та керуванні.
Тестування безпеки програм
Уразливості залишають програми відкритими до будь-якого використання. Методи тестування безпеки усувають уразливості у безпеці програм[]. Вважається, що тестування безпеки реалізується протягом усього життєвого циклу програми, щоб уразливості були знешкоджені правильно та у встановлений час. Є випадки, у яких тестування часто виконується як наслідок, у кінці життєвого циклу.
Сканери уразливостей та зокрема сканер вебзастосунків, інакше відомих як інструменти тестування, історично використовувались організаціями та консультантами з безпеки для автоматичного тестування безпеки HTTP запитів-відповідей. Але це не замінює потребу в фактичному огляді вихідного коду. Початковий код програм може бути перевірений вручну або автоматично. Враховуючи індивідуальний звичайний розмір програм людський мозок не в змозі провести аналіз потоку даних з необхідним аналізом для повного контролю програми, щоб знайти програмні вразливості. Людський мозок спрямований на фільтрацію, переривання[] та звіт про вихід[] автоматизованих інструментів аналізу вихідного коду, доступних у комерційному відношенні, а також про можливі шляхи через скомпільовану кодову базу для виявлення уразливостей на рівні виникнення головної причини.
Існує багато видів автоматизованих інструментів для ідентифікації програмних уразливостей. Деякі з них вимагають великого досвіду проведення експертизи безпеки, а інші використовуються для повного автоматичного застосування. Результати залежать від типу інформаційних елементів (вихідної, бінарної, HTTP — трафіку, конфігурації, бібліотек, з'єднань), що надають інструменту якість аналізу і виправлення уразливостей. Звичайні технології для ідентифікації програмної вразливості включать:
- Статичне тестування безпеки (SAST, англ. Static Application Security Testing) — це технологія, яка здебільшого використовує інструмент аналізу початкового коду (англ. Source Code Analysis Tool). Метод аналізує безпеку коду програми перед її запуском і використовується для посилення коду. Цей метод дає меншу кількість неточностей, але вимагає доступу до початкового коду програми.
- Динамічне тестування безпеки (DAST, англ. Dynamic Application Security Testing) — це технологія, яка може знайти видиму вразливість пропускаючи URL ресурсу через автоматичний сканер. Цей метод дуже масштабний, добре інтегрований та швидкий.[] Недоліки DAST полягають у складності конфігурації і високої імовірності помилкового спрацювання.
- Інтерактивне тестування безпеки додатка (IAST, англ. Interactive Application Security Testing) — це таке тестування, яке оцінює додатки з використанням ПЗ. Ця методика дозволяє IAST комбінувати сили обох методів SAST і DAST, та забезпечувати доступ до коду, HTTP — трафіку, бібліотек, зворотніх зв'язків та інформації про конфігурацію. Деякі продукти IAST вимагають реалізації атаки, у той час як інші можуть використовуватися під час нормального тестування.
Організація безпеки додатків
Прогрес у професійному шкідливому програмному забезпеченні, орієнтованому на клієнтів онлайн організацій змінив вимоги до вебдодатків з 2007 року. Як правило, передбачається, що значна частина Інтернет-користувачів буде скомпроментована через шкідливе ПЗ, та що будь-які дані, отримані від інфікованого хоста, можуть бути шкідливими. Тому, захист додатків почав зароджувати унікальні розвинені системи для боротьби з шахрайством та евристичними системами виявлення у back-office, а не в межах коду клієнта або коду вебсервера. З 2016 року розроблені додатки самозахисту (RASP) під час виконання програми. RASP — це технологія, яка використовується разом із середовищем або у середовищі виконання додатка, яка налаштовує додаток, проводить виявлення атак та їх запобіганню.
Cisco FirePower як система оптимальної організації та захисту додатків
Cisco FirePower — це міжмережевий екран, який має набір функцій, які допомагають організувати безпеку додатків, застосувань, вебзастосувань та іншого софту. Cisco FirePower включає у себе такі сервіси:
- моніторинг та контроль за додатками;
- превентивний захист від Інтернет-загроз;
- аналітика та автоматизація;
- VPN та політика аутентифікації;
- захист від шкідливого ПЗ;
- профілювання мережі
Cisco FirePower слідкує за мережевим середовищем, додатками, застосунками, трафіком і має багатий функціонал по обмеженню доступу до різного роду додатків, наприклад, Tor, Skype, Oracle та інші. Система не просто фільтрує трафік на мережевому рівні, але вона має можливість відстежувати поведінку недозволених додатків, а також забороняти використовувати функції, сервіси або додатки. Як приклад буде слугувати додаток Skype через який проводиться спілкування, відеозв'язок, обмін повідомленнями. Cisco FirePower може обмежити повний список функцій або дозволити виконувати лише одну з них. Така реалізація є досить суттєвою, коли головною метою, щодо захисту інформації є обмеження права на одну або декілька функцій, в залежності від потреб безпеки. Також програма дозволяє проаналізувати та подивитися список усіх користувачів додатків у одній мережі. Контроль здійснюється за різного роду додатками: вебдодатки, клієнтські додатки, серверні додатки. Окрім цих функцій, Cisco FirePower дозволяє бачити та контролювати користувачів відомих програм Proxy, Onion, інші. Це може значно покращити рівень обслуговування додатків та запобігти неправомірним діям зі сторони користувача.
Проблеми забезпечення безпеки додатків
Складність: більшість організацій мають десятки різних технологій забезпечення безпеки, які часто несумісні між собою, крім того ситуація ускладнюється відсутністю на ринку достатньої кількості досвідчених фахівців в цій області.
Відкритість коду: доступ до такого коду у додатку є у кожного, тобто туди можна вносити зміни і створювати свої додатки, змінювати функціонал, створювати уразливості та на базі них віруси.
Практики безпеки додатків
У таблиці наведені основні практики безпеки додатків та їх опис.
Практика | Опис |
---|---|
Оцінка ризиків | Розуміння цінності того, що захищається, допоможе виправдати витрати на безпеку. |
Створення політики безпеки | Створення політики, яка чітко окреслює корпоративні правила, обов'язки та очікування. |
Заходи фізичної безпеки | Обмеження доступу до комунікаційних шаф, серверних кімнат, а також до систем пожежогасіння. |
Ретельна перевірка персоналу | У співробітників повинні бути належним чином вивчені анкетні дані та перевірені зв'язки. |
Виконання і перевірка резервних копій | Регулярне виконання резервного копіювання та перевірка можливості відновлення даних з них. |
Підтримка виправлень і оновлень системи безпеки | Регулярне оновлення операційних систем і програмного забезпечення серверів, клієнтів і мережевих пристроїв. |
Використання засобів контролю доступу | Налаштування ролі і рівні привілеїв користувачів, а також надійна аутентифікація. |
Регулярна перевірка реагування на інциденти | Сформована команда реагування на інциденти і перевірка сценаріїв аварійного реагування. |
Впровадження інструменту моніторингу, аналізу та керування мережею | Рішення для моніторингу безпеки, яке інтегрується з іншими технологіями. |
Впровадження мережних пристроїв безпеки | Використання нового покоління маршрутизаторів, фаєрволів та інших пристроїв безпеки. |
Впровадження комплексного рішення безпеки кінцевої точки | Використання на рівні підприємства антивірусних програм від усіх видів шкідливого ПЗ. |
Навчання користувачів | Ерудиція користувачів та співробітників у процедурах безпеки. |
Шифрування даних | Шифрування усіх конфіденційних даних компанії, включаючи електронну пошту. |
Протоколи та стандарти захисту додатків
- (HIPAA)
- ISO/IEC 27034-1:2011 Information technology — Security techniques — Application security — Part 1: Overview and concepts
- ISO/IEC TR 24772:2013 Information technology — Programming languages — Guidance to avoiding vulnerabilities in programming languages through language selection and use
- OWASP
- PCI Data Security Standard (PCI DSS)
- Sarbanes-Oxley Act (SOX)
Див. також
Посилання
- . Contrast Security. 23 February 2017. Архів оригіналу за 11 квітня 2018. Процитовано 10 April 2018.
- (PDF). OWASP. 2017. Архів оригіналу (PDF) за 26 липня 2018. Процитовано 10 April 2018.
- «Platform Security Concepts» [ 23 грудня 2017 у Wayback Machine.], Simon Higginson.
- . Архів оригіналу за 29 березня 2009.
{{}}
: Cite має пустий невідомий параметр:|df=
() - . Veracode. Архів оригіналу за 15 квітня 2018. Процитовано 15 квітня 2018.
- . Itbiz.ua. 25 жовтня 2016. Архів оригіналу за 16 квітня 2018. Процитовано 15 квітня 2018.
- Williams, Jeff (22 September 2015). . DARKReading. Архів оригіналу за 11 квітня 2018. Процитовано 10 April 2018.
- . TATA Cyber Security Community. 9 червня 2016. Архів оригіналу за 20 червня 2018. Процитовано 15 квітня 2018.
- Williams, Jeff (2 липня 2015). . Contrast Security. Архів оригіналу за 11 квітня 2018. Процитовано 10 квітня 2018.
- Abezgauz, Irene (17 лютого 2014). . Quotium. Архів оригіналу за 3 квітня 2018. Процитовано 15 квітня 2018.
- Rohr, Matthias (26 листопада 2015). . Secodis. Архів оригіналу за 20 червня 2018. Процитовано 15 квітня 2018.
- . Gunter Ollmann. October 2008. Архів оригіналу за 4 квітня 2016. Процитовано 15 квітня 2018.
- . Veracode. Архів оригіналу за 26 січня 2018. Процитовано 15 квітня 2018.
- . Gartner. Архів оригіналу за 6 березня 2018. Процитовано 15 квітня 2018.
- Feiman, Joseph (June 2012). . Computer Weekly. Архів оригіналу за 26 січня 2018. Процитовано 15 квітня 2018.
- . Vtkt.ru. Архів оригіналу за 16 квітня 2018. Процитовано 15 квітня 2018.
- . Cisco. Архів оригіналу за 16 квітня 2018. Процитовано 15 квітня 2018.
- «Краткий справочник по кибербезопасности Cisco за 2016г.(російською)» [ 16 квітня 2018 у Wayback Machine.], Cisco.
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Cya stattya ye sirim perekladom z inshoyi movi Mozhlivo vona stvorena za dopomogoyu mashinnogo perekladu abo perekladachem yakij nedostatno volodiye oboma movami Bud laska dopomozhit polipshiti pereklad veresen 2019 Bezpeka zastosunkiv abo bezpeka prikladnih program angl Application Security ce kompleks zahodiv yaki spryamovani na analiz viyavlennya ta usunennya urazlivostej u zastosunkah ta zabezpechenni yihnoyi bezpeki Zabezpechennya bezpeki ohoplyuye zahodi pidvishennya bezpeki programi zazvichaj shlyahom poshuku vipravlennya ta zapobigannya urazlivostyam sistemi bezpeki Dlya cogo vikoristovuyutsya metodi viyavlennya takih urazlivostej na riznih etapah zhittyevogo ciklu dodatkiv takih yak proektuvannya rozrobka rozgortannya modernizaciya tehnichne obslugovuvannya Na kozhnomu z cih etapiv koristuvach mozhe zishtovhnutisya z pevnimi problemami sho zdebilshogo vinikayut u rezultati realizaciyi program yaki u svoyu chergu sluzhat dlya zabezpechennya pevnih potreb koristuvacha Zdebilshogo u programah sposterigayetsya zrostannya kilkosti riznogo rodu defektiv ta urazlivostej yaki z chasom mozhut zavdati suttyevoyi shkodi programnomu zabezpechennyu Suchasni tempi rozvitku informacijnih sistem vimagayut vidpovidnih znan idej rishen u galuzi bezpeki dlya zlagodzhenoyi roboti usogo kontentu zastosunkiv yaki na danij chas vistupayut kincevimi produktami ta mayut shiroke zastosuvannya u sviti Neobhidnist u realizaciyi maksimalno nadijnoyi sistemi bezpeki ta riznogo rodu protokoliv onovlen postaye pered suchasnimi kompaniyami iz rozrobki PZ TerminiAktiv ce resurs takogo znachennya yak dani u shovishi zberigannya danih groshi na rahunku v akkaunti fajli u fajlovij sistemi abo sistemnij resurs Urazlivist ce pevne slabke misce u programi yake mozhe buti vikoristane riznogo vidu zagrozami dlya otrimannya nesankcionovanogo dostupu do aktivu Ataka napad abo vikoristannya diya yaka spryamovana na zavdannya shkodi aktivu Zagroza ce vse sho mozhe vikoristovuvati urazlivosti ta otrimati nanesti shkodu abo znishiti aktiv MetodiMetodi znahodyat rizni pidmnozhini oseredki urazlivostej bezpeki sho zahovani u programi i ye najbilsh efektivnimi u okremi periodi yiyi zhittyevogo ciklu Kozhen z nih predstavlyaye pevni cikli chasu zusillya vitrati shodo znahodzhennya cih urazlivostej 1 Oglyad biloyi skrinki abo oglyad kodu Inzhener gliboko rozumiye programu ta vruchnu pereglyadaye pochatkovij kod zapisuyuchi urazlivosti bezpeki Pislya zdijsnenogo analizu inzhener znahodit unikalni virishennya znajdenih problem U takomu vipadku vidoma vnutrishnya struktura programi de prohodit perevirka pobudovi vsih elementiv programi ta korektnist vzayemodiyi yiyi chastin 2 Oglyad chornoyi skrinki Vikoristovuyetsya lishe za dopomogoyu programi yaka pereviryaye yiyi na nayavnist urazlivostej bezpeci pri yakomu ne potribni pochatkovi kodi 3 Instrumentarij Isnuyut avtomatizovani instrumenti yaki pereviryayut nayavnist nedolikiv ta defektiv bezpeki chasto z bilshoyu pozitivnoyu shvidkistyu nizh zaluchennya lyudini Do takogo instrumentariyu vidnosyatsya skaneri fayervoli antivirusi filtri ta inshe Vikoristannya cih metodiv nalezhnim chinom protyagom usogo zhittyevogo ciklu rozrobki programnogo zabezpechennya dlya maksimizaciyi bezpeki rol komandi sho zajmayetsya pitannyami bezpeki Zagrozi zastosunkam ataki Zagrozi abo ataki ye golovnim chinnikom vplivu na robotu prikladnih program Spilnota OWASP vinajshla spisok 10 urazlivostej dlya vebprogram ta opisuye praktiki bezpeki dlya organizacij pragnuchi stvoriti vidkriti standarti dlya ciyeyi galuzi Z 2017 roku organizaciya pererahovuye osnovni zagrozi bezpeki zastosunkiv taki yak Tip zagrozi OpisVhid validaciya Perepovnennya bufferu kros sajt scenariyiv mova strukturovanih zapitiv angl SQL Structured query language Vtorgnennya programi Takij soft modifikuye isnuyuchu povedinku zapusku programi z metoyu nesankcionovanih dij Z yavlyayetsya u naslidku onovlennya zamini kodu abo zh rozshirennya kodu Autentifikaciya Merezheve prosluhovuvannya Ataki gruboyi sili Ataki pereboru Ataki vidtvorennya fajliv cookie Kradizhka oblikovih danih Avtorizaciya Pidvishennya privileyiv Rozgoloshennya konfidencijnoyi informaciyi Vtorgnennya shkidlivih danih Upravlinnya konfiguraciyeyu Neavtorizovnij dostup do interfejsiv Neavtorizovanij dostup do nalashtuvan konfiguraciyi Otrimannya chistogo tekstu danih Vidsutnist vlasnoyi vidpovidalnosti Super koristuvalnicki procesi ta servisi Chutliva informaciya Dostup do chutlivogo kodu abo danih u shovishi Prosluhovuvannya merezhi Vtorgnennya nebazhanogo kodu abo danih Upravlinnya seansom Vikradennya seansiv Vidtvorennya seansu roboti Lyudina po seredini Kriptografiya Pomilka generaciyi klyuchiv abo pogane upravlinnya klyuchami Slabke abo individualne kriptuvannya Manipulyaciya parametrami Manipulyaciyi polem zapitu Z polem formi Manipulyaciyi z fajlami cookie Riznogo rodu manipulyaciyi z gipertekstom HTTP Hyper Text Transfer Protocol Upravlinnya vinyatkami Rozsekrechennya informaciyi Vidmova v obslugovuvanni Deny of Service DoS Audit i vhid u sistemu Koristuvach blokuye vikonannya operaciyi Vikoristovuye dodatok bez slidiv jogo zastosuvannya ta dij Zahist mobilnih zastosunkivOchikuyetsya sho chastka mobilnih pristroyiv yaki nadayut funkcionalni mozhlivosti vidkritoyi platformi budut zbilshuvatis nadali Vidkritist cih platform daye znachni mozhlivosti dlya usih chastin mobilnih seredovish zabezpechuyuchi prostir dij dlya gnuchkih program i servisiv opciyi mozhut buti vstanovleni vidaleni abo onovleni bezlich raziv zgidno iz potrebami ta vimogami koristuvacha Prote iz vidkritosti sistem prihodit i neobmezhenij dostup do mobilnih resursiv i prikladnih programnih interfejsiv API s Application Programming Interface s nevidomimi i nedovirenimi originalami yaki mozhut nanesti znachnu shkodu koristuvachu pristroyu merezhi abo usim skladovim vidrazu yaksho voni ne budut upravlyatisya vidpovidnimi zahisnimi strukturami i merezhevimi zapobizhnimi zasobami Zahist mobilnih zastosunkiv u deyakomu rozuminni zabezpechuyetsya na bilshosti vidkritih operacijnih sistem mobilnih pristroyiv SymbianOS Microsoft inshi Promislovi grupi takozh stvorili pevni rekomendaciyi vklyuchayuchi organizaciyu GSM ta Mobile Terminal Plaform OMTP Isnuye dekilka strategij pidvishennya bezpeki mobilnih program Bilij spisok white listing Zabezpechennya bezpeki transportnogo rivnya Nadijna autentifikaciya ta avtorizaciya Kriptuvannya danih pered zapisom pam yati Sandboxing zastosunkiv Zbilshennya rivniv dostupu zastosunkiv za odin API riven sho ce Procesi priv yazani do identifikatora ID koristuvacha Poperedno viznachena vzayemodiya mizh mobilnim zastosunkom ta operacijnoyu sistemoyu Vimagati yak vid koristuvacha privilejovanogo abo pidvishenogo rivnya dostupu Pravilna obrobka seansu Odnim iz sposobiv zahistu program ye yih onovlennya Onovlennya kodu zapobigaye isnuvannyu uzhe isnuyuchih problem ta urazlivostej u poperednij versiyi programi za rahunok vipravlen problemnih zon kodu Regulyarne onovlennya mozhe zmenshiti rizik viniknennya takih nezruchnostej Zahist vebzastosunkivVebzastosunok angl Web Application ce zastosunok u yakomu kliyentom vistupaye brauzer a serverom vebserver Voni yavlyayut soboyu ob yekti potencijnogo vplivu tak yak Ves chas perebuvayut pid vplivom Internetu ta vikoristovuyut nezahisheni instrumenti Cherez neobhidnist yih vikoristannya ta shvidshoyi realizaciyi bezpeka mozhe buti nedokincya produmanoyu sho mozhe viklikati pomilki Zibrani zdebilshogo iz gibridnogo vidkritogo kodu storonnih bibliotek yaki mozhut mistiti u sobi urazlivosti Discovery Za danimi SANS bagato organizacij navit ne znayut skilki program voni mayut u svoyih domenah Sluzhba Discovery virishuye cyu riznicyu vidimosti stvorivshi zagalnu inventarizaciyu vsih vebzastosunkiv takih yak korporativni sajti timchasovi marketingovi sajti pov yazani sajti mail info tosho mizhnarodni domeni ta sajti otrimani cherez M amp A Krim togo Discovery masovo vikoristovuye paralelnu infrastrukturu avtomatichnogo masshtabuvannya shob pereviriti tisyachi program na den DynamicMP Massively Parallel znizhuye riven riziku shlyahom shvidkogo viyavlennya urazlivostej yaki vidnajdeni organizaciyeyu OWASP ta CWE SANS Protestuvati tisyachi vebzastosunkiv odnochasno mozhna dinamichnim skanuvannyam Zmenshiti rizik mozhlivo zakrivshi timchasovi sajti ta peredayuchi informaciyu pro zahist ta rozpovsyudzhennya do merezhevih brandmaueriv WAF DynamicDS Gliboke skanuvannya Vikoristovuye gliboke riznostoronnye skanuvannya yake viznachaye vrazlivosti vebzastosunkiv vikoristovuyuchi yak autentifikovani tak i neautentifikovani skanuvannya vklyuchayuchi poshuk vektoriv atak takih yak mizhsistemni skripti XSS SQL injection nedostatno zahisheni oblikovi dani ta vitoki informaciyi Takozh integruye informaciyu pro rozviduvalnij zahist z WAF shob zabezpechiti virtualne onovlennya Virtual Scan Appliance VSA vikonuye gliboku perevirku program sho znahodyatsya pid zahistom brandmauera yak pravilo v QA abo v seredovishi skanuvannya shob znajti vrazlivosti pered zastosuvannyam VSA takozh dopomagaye zahishati vnutrishni vebprogrami vid insajderskih atak abo atak zlovmisnimi storonnimi osobami yaki hochut otrimati dostup do aktivu osobi Vsi rezultati ob yednuyutsya z inshoyu informaciyeyu pro zagrozu cherez centralnu platformu na osnovi hmar Organizaciya zahistu vebzastosunkiv Zastosuvannya riznogo rodu fayervoliv sistem zapobigannyu vtorgnen IDS Intrusion Detection System dopomagayut filtruvati merezhevij trafik vidslidkovuvati paketi i porivnyuvati yih iz signaturami atak Ci sistemi mozhut blokuvati usi vidhilennya vid protokoliv prikladnogo rivnya Odnim iz rishen ye zastosuvannya sistemi WAF yaka analizuye protokoli HTTP HTTPS viyavlyaye ataki iz vikoristannyam avtomatichnih zasobiv Vazhlivim zi storoni podibnogo rodu zahisnih sistem vistupaye logichne osmislennya ta zrozumilist roboti programi u poyednanni iz intelektualnim doslidzhennyam sprob proniknennya Pered komandoyu iz zahistu vebzastosunkiv postavleni zadachi visokogo rivnya skladnosti ta sposobiv yih realizaciyi Rishennya shodo realizaciyi zahistu vebzastosunkiv Znachnij riven zahistu utvoryuyetsya za dopomogoyu zlagodzhenoyi roboti instrumentiv ta yih sumisnosti iz postavlenimi zavdannyami Avtomatizovani sistemi zmenshuyut shans potraplyannya zagrozi Sistemi bezpechni masshtabovani zrozumili prosti u rozgortanni ta keruvanni Testuvannya bezpeki programUrazlivosti zalishayut programi vidkritimi do bud yakogo vikoristannya Metodi testuvannya bezpeki usuvayut urazlivosti u bezpeci program dzherelo Vvazhayetsya sho testuvannya bezpeki realizuyetsya protyagom usogo zhittyevogo ciklu programi shob urazlivosti buli zneshkodzheni pravilno ta u vstanovlenij chas Ye vipadki u yakih testuvannya chasto vikonuyetsya yak naslidok u kinci zhittyevogo ciklu Skaneri urazlivostej ta zokrema skaner vebzastosunkiv inakshe vidomih yak instrumenti testuvannya istorichno vikoristovuvalis organizaciyami ta konsultantami z bezpeki dlya avtomatichnogo testuvannya bezpeki HTTP zapitiv vidpovidej Ale ce ne zaminyuye potrebu v faktichnomu oglyadi vihidnogo kodu Pochatkovij kod program mozhe buti perevirenij vruchnu abo avtomatichno Vrahovuyuchi individualnij zvichajnij rozmir program lyudskij mozok ne v zmozi provesti analiz potoku danih z neobhidnim analizom dlya povnogo kontrolyu programi shob znajti programni vrazlivosti Lyudskij mozok spryamovanij na filtraciyu pererivannya sho ta zvit pro vihid sho avtomatizovanih instrumentiv analizu vihidnogo kodu dostupnih u komercijnomu vidnoshenni a takozh pro mozhlivi shlyahi cherez skompilovanu kodovu bazu dlya viyavlennya urazlivostej na rivni viniknennya golovnoyi prichini Isnuye bagato vidiv avtomatizovanih instrumentiv dlya identifikaciyi programnih urazlivostej Deyaki z nih vimagayut velikogo dosvidu provedennya ekspertizi bezpeki a inshi vikoristovuyutsya dlya povnogo avtomatichnogo zastosuvannya Rezultati zalezhat vid tipu informacijnih elementiv vihidnoyi binarnoyi HTTP trafiku konfiguraciyi bibliotek z yednan sho nadayut instrumentu yakist analizu i vipravlennya urazlivostej Zvichajni tehnologiyi dlya identifikaciyi programnoyi vrazlivosti vklyuchat Statichne testuvannya bezpeki SAST angl Static Application Security Testing ce tehnologiya yaka zdebilshogo vikoristovuye instrument analizu pochatkovogo kodu angl Source Code Analysis Tool Metod analizuye bezpeku kodu programi pered yiyi zapuskom i vikoristovuyetsya dlya posilennya kodu Cej metod daye menshu kilkist netochnostej ale vimagaye dostupu do pochatkovogo kodu programi Dinamichne testuvannya bezpeki DAST angl Dynamic Application Security Testing ce tehnologiya yaka mozhe znajti vidimu vrazlivist propuskayuchi URL resursu cherez avtomatichnij skaner Cej metod duzhe masshtabnij dobre integrovanij ta shvidkij dzherelo Nedoliki DAST polyagayut u skladnosti konfiguraciyi i visokoyi imovirnosti pomilkovogo spracyuvannya Interaktivne testuvannya bezpeki dodatka IAST angl Interactive Application Security Testing ce take testuvannya yake ocinyuye dodatki z vikoristannyam PZ Cya metodika dozvolyaye IAST kombinuvati sili oboh metodiv SAST i DAST ta zabezpechuvati dostup do kodu HTTP trafiku bibliotek zvorotnih zv yazkiv ta informaciyi pro konfiguraciyu Deyaki produkti IAST vimagayut realizaciyi ataki u toj chas yak inshi mozhut vikoristovuvatisya pid chas normalnogo testuvannya Organizaciya bezpeki dodatkivProgres u profesijnomu shkidlivomu programnomu zabezpechenni oriyentovanomu na kliyentiv onlajn organizacij zminiv vimogi do vebdodatkiv z 2007 roku Yak pravilo peredbachayetsya sho znachna chastina Internet koristuvachiv bude skompromentovana cherez shkidlive PZ ta sho bud yaki dani otrimani vid infikovanogo hosta mozhut buti shkidlivimi Tomu zahist dodatkiv pochav zarodzhuvati unikalni rozvineni sistemi dlya borotbi z shahrajstvom ta evristichnimi sistemami viyavlennya u back office a ne v mezhah kodu kliyenta abo kodu vebservera Z 2016 roku rozrobleni dodatki samozahistu RASP pid chas vikonannya programi RASP ce tehnologiya yaka vikoristovuyetsya razom iz seredovishem abo u seredovishi vikonannya dodatka yaka nalashtovuye dodatok provodit viyavlennya atak ta yih zapobigannyu Cisco FirePower yak sistema optimalnoyi organizaciyi ta zahistu dodatkivCisco FirePower ce mizhmerezhevij ekran yakij maye nabir funkcij yaki dopomagayut organizuvati bezpeku dodatkiv zastosuvan vebzastosuvan ta inshogo softu Cisco FirePower vklyuchaye u sebe taki servisi monitoring ta kontrol za dodatkami preventivnij zahist vid Internet zagroz analitika ta avtomatizaciya VPN ta politika autentifikaciyi zahist vid shkidlivogo PZ profilyuvannya merezhi Cisco FirePower slidkuye za merezhevim seredovishem dodatkami zastosunkami trafikom i maye bagatij funkcional po obmezhennyu dostupu do riznogo rodu dodatkiv napriklad Tor Skype Oracle ta inshi Sistema ne prosto filtruye trafik na merezhevomu rivni ale vona maye mozhlivist vidstezhuvati povedinku nedozvolenih dodatkiv a takozh zaboronyati vikoristovuvati funkciyi servisi abo dodatki Yak priklad bude sluguvati dodatok Skype cherez yakij provoditsya spilkuvannya videozv yazok obmin povidomlennyami Cisco FirePower mozhe obmezhiti povnij spisok funkcij abo dozvoliti vikonuvati lishe odnu z nih Taka realizaciya ye dosit suttyevoyu koli golovnoyu metoyu shodo zahistu informaciyi ye obmezhennya prava na odnu abo dekilka funkcij v zalezhnosti vid potreb bezpeki Takozh programa dozvolyaye proanalizuvati ta podivitisya spisok usih koristuvachiv dodatkiv u odnij merezhi Kontrol zdijsnyuyetsya za riznogo rodu dodatkami vebdodatki kliyentski dodatki serverni dodatki Okrim cih funkcij Cisco FirePower dozvolyaye bachiti ta kontrolyuvati koristuvachiv vidomih program Proxy Onion inshi Ce mozhe znachno pokrashiti riven obslugovuvannya dodatkiv ta zapobigti nepravomirnim diyam zi storoni koristuvacha Problemi zabezpechennya bezpeki dodatkivSkladnist bilshist organizacij mayut desyatki riznih tehnologij zabezpechennya bezpeki yaki chasto nesumisni mizh soboyu krim togo situaciya uskladnyuyetsya vidsutnistyu na rinku dostatnoyi kilkosti dosvidchenih fahivciv v cij oblasti Vidkritist kodu dostup do takogo kodu u dodatku ye u kozhnogo tobto tudi mozhna vnositi zmini i stvoryuvati svoyi dodatki zminyuvati funkcional stvoryuvati urazlivosti ta na bazi nih virusi Praktiki bezpeki dodatkivU tablici navedeni osnovni praktiki bezpeki dodatkiv ta yih opis Praktika OpisOcinka rizikiv Rozuminnya cinnosti togo sho zahishayetsya dopomozhe vipravdati vitrati na bezpeku Stvorennya politiki bezpeki Stvorennya politiki yaka chitko okreslyuye korporativni pravila obov yazki ta ochikuvannya Zahodi fizichnoyi bezpeki Obmezhennya dostupu do komunikacijnih shaf servernih kimnat a takozh do sistem pozhezhogasinnya Retelna perevirka personalu U spivrobitnikiv povinni buti nalezhnim chinom vivcheni anketni dani ta perevireni zv yazki Vikonannya i perevirka rezervnih kopij Regulyarne vikonannya rezervnogo kopiyuvannya ta perevirka mozhlivosti vidnovlennya danih z nih Pidtrimka vipravlen i onovlen sistemi bezpeki Regulyarne onovlennya operacijnih sistem i programnogo zabezpechennya serveriv kliyentiv i merezhevih pristroyiv Vikoristannya zasobiv kontrolyu dostupu Nalashtuvannya roli i rivni privileyiv koristuvachiv a takozh nadijna autentifikaciya Regulyarna perevirka reaguvannya na incidenti Sformovana komanda reaguvannya na incidenti i perevirka scenariyiv avarijnogo reaguvannya Vprovadzhennya instrumentu monitoringu analizu ta keruvannya merezheyu Rishennya dlya monitoringu bezpeki yake integruyetsya z inshimi tehnologiyami Vprovadzhennya merezhnih pristroyiv bezpeki Vikoristannya novogo pokolinnya marshrutizatoriv fayervoliv ta inshih pristroyiv bezpeki Vprovadzhennya kompleksnogo rishennya bezpeki kincevoyi tochki Vikoristannya na rivni pidpriyemstva antivirusnih program vid usih vidiv shkidlivogo PZ Navchannya koristuvachiv Erudiciya koristuvachiv ta spivrobitnikiv u procedurah bezpeki Shifruvannya danih Shifruvannya usih konfidencijnih danih kompaniyi vklyuchayuchi elektronnu poshtu Protokoli ta standarti zahistu dodatkiv HIPAA ISO IEC 27034 1 2011 Information technology Security techniques Application security Part 1 Overview and concepts ISO IEC TR 24772 2013 Information technology Programming languages Guidance to avoiding vulnerabilities in programming languages through language selection and use OWASP PCI Data Security Standard PCI DSS Sarbanes Oxley Act SOX Div takozhZastosunok Urazlivist informacijni tehnologiyi Komp yuterna merezha Operacijnij centr bezpekiPosilannya Contrast Security 23 February 2017 Arhiv originalu za 11 kvitnya 2018 Procitovano 10 April 2018 PDF OWASP 2017 Arhiv originalu PDF za 26 lipnya 2018 Procitovano 10 April 2018 Platform Security Concepts 23 grudnya 2017 u Wayback Machine Simon Higginson Arhiv originalu za 29 bereznya 2009 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Cite maye pustij nevidomij parametr df dovidka Veracode Arhiv originalu za 15 kvitnya 2018 Procitovano 15 kvitnya 2018 Itbiz ua 25 zhovtnya 2016 Arhiv originalu za 16 kvitnya 2018 Procitovano 15 kvitnya 2018 Williams Jeff 22 September 2015 DARKReading Arhiv originalu za 11 kvitnya 2018 Procitovano 10 April 2018 TATA Cyber Security Community 9 chervnya 2016 Arhiv originalu za 20 chervnya 2018 Procitovano 15 kvitnya 2018 Williams Jeff 2 lipnya 2015 Contrast Security Arhiv originalu za 11 kvitnya 2018 Procitovano 10 kvitnya 2018 Abezgauz Irene 17 lyutogo 2014 Quotium Arhiv originalu za 3 kvitnya 2018 Procitovano 15 kvitnya 2018 Rohr Matthias 26 listopada 2015 Secodis Arhiv originalu za 20 chervnya 2018 Procitovano 15 kvitnya 2018 Gunter Ollmann October 2008 Arhiv originalu za 4 kvitnya 2016 Procitovano 15 kvitnya 2018 Veracode Arhiv originalu za 26 sichnya 2018 Procitovano 15 kvitnya 2018 Gartner Arhiv originalu za 6 bereznya 2018 Procitovano 15 kvitnya 2018 Feiman Joseph June 2012 Computer Weekly Arhiv originalu za 26 sichnya 2018 Procitovano 15 kvitnya 2018 Vtkt ru Arhiv originalu za 16 kvitnya 2018 Procitovano 15 kvitnya 2018 Cisco Arhiv originalu za 16 kvitnya 2018 Procitovano 15 kvitnya 2018 Kratkij spravochnik po kiberbezopasnosti Cisco za 2016g rosijskoyu 16 kvitnya 2018 u Wayback Machine Cisco