WEB-owy koszmar
- Patryk Królikowski,
- 09.02.2009
Myśl logicznie
Foundstone Hacme Books 2.0 - platforma do nauki tworzenia bezpiecznego oprogramowania.
Problem bezpieczeństwa aplikacji webowych narasta, ale widać jednocześnie, że rynek nie pozostaje wobec niego obojętny. Nie zanosi się jednak na to, że rok 2009 okaże się pierwszym, w którym zanotujemy spadek liczby ataków. Bądźmy więc przygotowani.
Björn Riebel
1. Warto odpowiedzieć sobie na pytanie, na jakim poziomie oraz jakiego rodzaju zabezpieczenia potrzebuje nasza firma. Może się bowiem zdarzyć, że infrastruktury bezpieczeństwa oparte wyłącznie na urządzeniach zabezpieczających na poziomie sieci, takich jak zapory sieciowe czy systemy zapobiegania włamaniom, nie będą w stanie w pełni zabezpieczać przed atakami w warstwie aplikacji. Może to spowodować, że zarówno aplikacje, jak i serwery mogą pozostać narażone na wiele znanych i nieznanych zagrożeń. Warto zatem pokusić się o zastosowanie rozwiązania analizującego cały ruch dwukierunkowy, które zapewni scentralizowane zabezpieczenie warstwy aplikacji dla wszystkich aplikacji i usług sieciowych, a jednocześnie nie będzie wprowadzało żadnych modyfikacji w aplikacjach.
2. Zastosuj rozwiązanie, które zdefiniuje właściwy model bezpieczeństwa. Obecnie stosowane ataki na aplikacje są coraz bardziej skomplikowane. Współczesne firmy powinny już nie tylko polegać na sygnaturach ataków lub technikach rozpoznawania wzorców, lecz zastosować model zabezpieczenia, który akceptuje jedynie właściwe zachowanie danej aplikacji, blokując jako złośliwe wszystkie nietypowe procedury. Dla firm jest to sprawdzony sposób natychmiastowej ochrony przed nowymi rodzajami jeszcze nieznanych zagrożeń.
3. Dopasuj zasady polityki bezpieczeństwa. Często zdarza się, że atakom ulegają aplikacje, które nie mają prawidłowo zdefiniowanych reguł bezpieczeństwa lub też nie są określone w pełni. Kluczowym zatem działaniem jest analiza podstawowych aspektów zachowania każdej aplikacji. Gdy zostaje ono ustalone, możliwe jest wygenerowanie jasnej rekomendacji dotyczącej określonej polityki bezpieczeństwa. Odpowiednio zdefiniowane reguły bezpieczeństwa oraz rygorystyczna kontrola dostępu mogą być wówczas używane w stosunku do każdej aplikacji. Stosowanie rozwiązań z funkcją tzw. uczenia się zapewnia firmie ochronę przed złożonymi atakami w warstwie aplikacji, zabezpieczając również przed atakami wymierzonymi w konkretne sesje użytkownika. Tego typu zabezpieczenia są kluczowe z punktu widzenia aplikacji stosowanych chociażby w e-handlu, bezpiecznych sieciach extranet i bankowości elektronicznej.