Bezpieczeństwo aplikacji

Choć organizacja OWASP (Open Web Application Security Project) zajmuje się głównie wspomaganiem konsultantów zajmujących się bezpieczeństwem aplikacji oraz specjalistów w testach penetracyjnych, ale opublikowała też bezpłatny przewodnik "Application security Guide for CISOs" adresowany do osób zajmujących się bezpieczeństwem informacji – CISO (Chief Information Security Officer).

Zdaniem specjalistów z OWASP, jedyną metodą zapewniającą zabezpieczenie aplikacji jest położenie nacisku na opracowanie i realizację dobrej strategii zabezpieczeń, a nie wdrażanie kolejnych technicznych rozwiązań, które czasami mogą generować zbędne koszty.

Zobacz również:

• Krajobraz zagrożeń mijającego roku – podsumowanie Cisco

Impulsem do jego przygotowania były m.in. badania przeprowadzone przez OWASP w 2013 roku wśród menedżerów odpowiedzialnych za bezpieczeństwo informacji w firmach.

Ich wyniki mówią, że 75% firm odnotowało wzrost liczby zewnętrznych ataków na systemy IT w ich firmach, a jednocześnie 70% CISO uważa, że największym zagrożeniem są obecnie ataki na aplikacje webowe, a nie na infrastrukturę sieciową.

Dlatego też można zaobserwować, że zmienia się struktura inwestycji w systemy bezpieczeństwa. Następuje przesunięcie wydatków z klasycznego obszaru zabezpieczeń sieci w kierunku rozwiązań zwiększających bezpieczeństwo aplikacji.

Zwiększenie wydatków na takie systemy deklaruje 48% ankietowanych CISO, 37% - ich utrzymanie na stabilnym poziomie, a tylko 15% przewiduje ich zmniejszenie.

Wdrażanie systemów do zabezpieczania aplikacji jest jednak dużym wyzwaniem dla menedżerów odpowiedzialnych za bezpieczeństwo IT, bo wymaga innej wiedzy i umiejętności niż wymagały tradycyjne metody zabezpieczania informacji. W wypadku aplikacji webowych, zapewnienie ich bezpieczeństwa wymaga odpowiedniej dbałości w procesie projektowania oprogramowania i całym cyklu jego życia SDLC (Software Development Life Cycle).

Według OWASP, standardowa metoda zapewnienia wysokiego poziomu bezpieczeństwa aplikacji webowych wymaga zastosowania metodologii określanej jako S-SDLC (Security in the SDLC), analizy ryzyka związanego z architekturą systemu, systematycznego testowania potencjalnych luk, statycznej analizy kodu źródłowego oraz regularnego wykonywania testów penetracyjnych.

Obecnie istnieje kilka typów metodologii S-SDLC, które można wykorzystać. Są to m.in. OWASP CLASP, Microsoft SDL i Digital Touch Points.

Incydenty związane z atakami APT (Advanced Persistent Threat) są trudne, a nawet niemożliwe do uniknięcia. Dlatego szczególnie ważne jest opracowanie odpowiedniej strategii pozwalającej na sprawne uruchomienie procedur ograniczających skutki ataku i naprawę systemu. Bo, jak uczy doświadczenie, „po wykryciu ataku ATP z reguły jest już za późno, aby zrobić cokolwiek innego” mówi Rik Ferguson z Trend Micro.

Terminem APT najczęściej określny jest atak na jeden lub kilka celów przy wykorzystaniu zaawansowanej, nie znanej na masowym rynku techniki. Jego zadaniem jest kradzież wrażliwych informacji przechowywanych w systemie IT, które mają różne znaczenie. Mogą to być dane dające atakującemu zyski ekonomiczne, ale także służące do realizacji własnych celów społecznych lub militarnych.

Dlatego też autorami takich ataków mogą być (i wydaje się, że są) nie tylko standardowo rozumiani „cyberprzestępcy”, ale również grupy lub organizacje wspierane przez rządy państw lub duże korporacje.

Dowody na to bardzo trudno jest znaleźć, bo z zasady ani państwa, ani duże firmy nie prowadzą takich działań bezpośrednio. Z reguły są one realizowane za pośrednictwem innych, niezależnych firm, organizacji i wynajmowanych hakerów, którzy wykonując zadania mogą co najwyżej domyślać się, kto jest ich prawdziwym zleceniodawcą.

Niektóre mechanizmy stosowane w atakach APT są wykorzystywane również przez typowych cybeprzestępców. W tym wypadku, najczęściej trudno jest jednak mówić o metodach szczególnie zaawansowanych.

W kontekście APT często mówi się o wykorzystaniu luk Zero-Day, ale nie są one najważniejszym atrybutem takich ataków. Luki takie są powszechnie poszukiwane i wykorzystywane przez cyberprzestępców we wszelkiego typu kodach szkodliwego oprogramowania, bo z zasady zwiększają skuteczność ataków.

Podstawowa różnica między ukierunkowanym atakiem APT, a innego typu zagrożeniami to przede wszystkim intencje i cele ich autorów, a nie narzędzia, taktyka lub stosowane mechanizmy.

Jeśli bliżej przyjrzeć się szczegółom ujawnionych ataków APT i innych incydentów nie określanych jako APT, które jednak doprowadziły do wycieku wrażliwych danych z firmowych systemów IT to nie widać między nimi prawie żadnej, istotnej z technicznego punktu widzenia, różnicy.

Nie znaczy to, że APT nie mają specyficznych cech, które starają się zdefiniować specjaliści od bezpieczeństwa systemów IT. “Sądzę, że można wymienić kilka różnic między atakami ukierunkowanymi i standardowymi kampaniami cyberprzestępczymi. Przede wszystkim są to faza określana jako rekonensans, specyficzna dla ataków kierunkowych, a także związek między ofiarą, a atakującym. W wypadku ataków ukierunkowanych z reguły nie ma takiego bezpośredniego związku, a strona będąca jego inicjatorem jest trudna do zidentyfikowania” mówi Rick Ferguson z Trend Micro. Natomiast tradycyjny mechanizm wykorzystuje bezpośrednie połączenie, które z punktu widzenia cyberprzestępcy można określić tak: „włamałem się do twojego systemu, ukradłem kasę, dane lub inne wrażliwe informacje i znikam” wyjaśnia Rick Ferguson.

Oprócz tego, warto zauważyć, że grupy stojące za atakami APT nie wykorzystują jedynie względnie prostych i powszechnie dostępnych narzędzi, a raczej rozbudowane zestawy mechanizmów, włączając w to manipulację socjologiczną oraz wyszukiwanie luk w oprogramowaniu i aplikacjach webowych.

Od typowych cyberprzestępców odróżnia je także dostępność stałego wsparcia finansowego i dobrze zdefiniowane cele strategiczne. W efekcie mogą konsekwentnie dążyć do ich realizacji, często niezależnie od tego jak dużo czasu i środków finansowych będzie niezbędne.

Dlatego też określenie APT jako ataku budzi wątpliwość niektórych specjalistów. Bo nie są to typowe ataki, a ukierunkowane, długotrwałe kampanie. Ich celem często nie jest uzyskanie wrażliwych informacji ad hoc, ale przede wszystkim pozostawienie w systemie zaczepu, który będzie można wykorzystać jutro, za miesiąc lub za kilka lat.