Zanimljiv

5 tehnologija koje pomažu u rješavanju sigurnosnog problema aplikacije

5 tehnologija koje pomažu u rješavanju sigurnosnog problema aplikacije

Problem sigurnosti aplikacija nije ništa novo, zapravo, još 1965. godine Multics CTSS (uređivač teksta) na IBM 7094 imao je ranjivost - ako bi se otvorilo više instanci uređivača sustava, bilo kojem korisniku bilo bi moguće pročitajte datoteku lozinke.

Međutim, danas je problem sigurnosti aplikacija veći i presudniji nego ikad otkad sve više ljudi koristi razne aplikacije koje su svakim danom sve složenije. Aplikacije često trebaju pristup osjetljivim podacima poput korporativnih ili osobnih podataka, koji ako se izgube ili ukradu, postaju odgovornost pojedinca ili organizacije.

Zapravo je količina podataka ukradenih iz aplikacija zapanjujuća. Primjerice, u 2018. je bilo izloženo 5 milijardi zapisa, ti su podaci uključivali osjetljive podatke poput adresa e-pošte, bankovnih računa, podataka o putovnici itd. Zbog toga je važnije nego ikad osigurati aplikacije, a time i potrebu za sigurnošću aplikacija.

Sigurnost aplikacija postupak je pronalaska programskih pogrešaka, njihovog ispravljanja i poboljšanja sigurnosti aplikacija. Iako se to uglavnom događa tijekom razvojne faze, uključuje i post-razvojne tehnologije uvođenja jer vrijeme izvođenja također može povećati ili ometati sigurnost aplikacije.

Zbog toga postoje brojne tehnologije i alati za zaštitu aplikacija, od procjene prijetnji kodiranja do procjene šifriranja, procjene prijetnji tijekom izvođenja i revizije korisničkih dozvola.

Analiza sastava softvera (SCA)

Analiza softverske kompozicije (SCA) obuhvaća skup alata koji analiziraju otvorene komponente programa. To je neophodno jer svoju aplikaciju ne možete osigurati ako ne znate njene komponente. Budući da moderne aplikacije sadrže većinu aplikacija otvorenog koda, SCA se pokazao ključnom sigurnosnom tehnologijom.

Osim što identificiraju komponente, SCA alati pružaju razne informacije o tim knjižnicama, poput njihovih licenci, bilo kakvih sigurnosnih ranjivosti itd. To znači da vam govore o greškama kako biste ih mogli popraviti u svojim aplikacijama.

Uz to, neki napredni alati nude više značajki - uglavnom za poduzeća. Na primjer, mogu sadržavati "automatsko provođenje pravila" referenciranjem svake komponente s pravilima vaše organizacije i poduzimanjem konfiguriranih radnji, recimo slanjem zahtjeva za odobrenje stručnjaku ili neuspjehom u procesu izrade.

Tehnologija softverskih spremnika

Softverska tehnologija kontejnera ili tehnologija kontejnera skup je tehnologija za standardizaciju pakiranja aplikacije zajedno s njezinim ovisnostima. Među mnogima su popularne tehnologije kontejnera Docker, Kubernetes itd.

Prema Google Cloudu, „spremnici nude logičan mehanizam pakiranja u kojem se aplikacije mogu apstrahirati iz okoline u kojoj stvarno rade. Ovo razdvajanje omogućuje upotrebu aplikacija temeljenih na spremnicima lako i dosljedno, bez obzira je li ciljno okruženje privatni podatkovni centar, javni oblak ili čak osobni laptop programera. "

Iako je primarna prednost tehnologije kontejnera prijenosnost aplikacija, ona pomaže i kod sigurnosnog problema aplikacije. U spremniku je aplikacija izolirana ili zaštićena od ostalih aplikacija pokrenutih na istom stroju. Dakle, ako je druga aplikacija ugrožena, napadač je ne može koristiti za pristup ili napadanje sadržane aplikacije.

Međutim, softverski spremnici nisu eksplicitne sigurnosne granice, za razliku od virtualnih strojeva. To znači da se spremnik može ugroziti izvana, recimo ako je potkopan demon ili hipervizor spremnika. Rješenje je osigurati spremnike učvršćivanjem zaštite dokera i sigurnosti spremnika općenito.

Virtualni strojevi

Virtualni stroj je emulacija koja se naziva i tehnologija virtualizacije koja oponaša računalni sustav unutar fizičkog stroja. To znači da možete pokretati drugo ili više računala unutar jednog fizičkog računala. Na primjer, možete pokrenuti Windows OS i Ubuntu (popularna Linux distribucija) na Windows računalu.

Prema Microsoft Azureu, on pruža „korisnicima isto iskustvo na virtualnom stroju kakvo bi imalo i na samom operativnom sustavu domaćina. Virtualni stroj zaštićen je od ostatka sustava, što znači da softver unutar virtualnog stroja ne može pobjeći niti se miješati u samo računalo. "

Među svojim raznim prednostima, virtualni stroj nudi izolirano okruženje za aplikaciju, poput softverskog spremnika. To znači da, ako je operativni sustav domaćina ili jedna od njegovih aplikacija ugrožena, napadač neće moći zaraziti operativni sustav ili aplikaciju unutar virtualnog stroja.

Štoviše, virtualni su strojevi sigurniji od softverskih spremnika. Google Cloud objašnjava, "najčešća zabluda o sigurnosti spremnika je da bi spremnici trebali djelovati kao sigurnosne granice baš kao i VM-ovi, a kako nisu u mogućnosti pružiti takvo jamstvo, oni su manje sigurna opcija implementacije."

Interaktivno testiranje sigurnosti aplikacija (IAST)

Interaktivno testiranje sigurnosti aplikacija (IAST) grupa je sigurnosnih alata koja se fokusira na otkrivanje sigurnosnih problema u kodu aplikacije u stvarnom vremenu. Oni analiziraju tijek izvršenja i dolazni promet dok nadgledaju samu aplikaciju.

Budući da IAST alati rade analizu unutar aplikacije, imaju pristup izvornom kodu, kontroli protoka podataka i vremena izvođenja, informacijama o memoriji i tragovima steka, web zahtjevima i komponentama aplikacije. Zbog toga mogu točno odrediti problem, omogućujući tako programerima aplikacija da brzo provjere i poprave ranjivost.

To je prednost IAST alata u odnosu na DAST (Dynamic Application Security Testing) alate. Dok izvještavaju o problemima, alati DAST ne pružaju nikakve informacije o izvornom kodu koji je odgovoran za problem. Međutim, IAST alati točno određuju sigurnosni problem u izvornom kodu, olakšavajući tako rad s pogreškama.

Samozaštita runtime aplikacije (RASP)

Samozaštita runtime aplikacija (RASP) tehnologija je koja pomaže aplikacijama da se zaštite u stvarnom vremenu prepoznavanjem i blokiranjem prijetnji. Djeluje kao da je vatrozid web aplikacije upakovan izravno u vrijeme izvođenja aplikacije.

RASP štiti aplikaciju presretanjem i provjerom valjanosti poziva i pratećih zahtjeva za podacima iz aplikacije u sustav. Ako otkrije napad, blokira povezane pozive, čime štiti aplikaciju. Na primjer, zaustavlja pozive iz aplikacije u bazu podataka ako pozive tumači kao napad SQL ubrizgavanja.

VIDI TAKOĐER: OVA TEHNIČKA RJEŠENJA RJEŠAVAJU TRILEMMU O POTREBI INTERNETA

U stvari, RASP može poduzeti i druge radnje kada pronađe prijetnju kao što je završetak korisničke sesije, zaustavljanje izvršavanja aplikacije ili upozorenje sigurnosnog stručnjaka.

Dobra je praksa koristiti kombinaciju tehnologija za rješavanje sigurnosnog problema aplikacije. IAST i SCA pomažu osigurati aplikaciju tijekom razvojne faze, a ostali pomažu u osiguravanju tijekom faze implementacije. Predlaže se da u obje faze primijenite osnovne sigurnosne mjere i alate.

U stvari, RASP zajedno s virtualnim strojevima dobro funkcionira u zaštiti vaših aplikacija od niza napada. Međutim, spremnici s preporučenim sigurnosnim mjerama mogu zamijeniti virtualne strojeve i pomoći u zaštiti vaših aplikacija u kombinaciji s RASP-om.


Gledaj video: Face ID u vreme Korone. OTKLJUČAVANJE BEZ SKIDANJA MASKE. iPhone (Siječanj 2022).