Στον κόσμο της κυβερνοασφάλειας, είναι φυσικό να φτάσεις στο σημείο να «ζυγίζεις» τους κινδύνους και τα μέτρα ασφαλείας. Σε τελική ανάλυση, δεν υπάρχει τρόπος να επιτευχθεί η απόλυτη ασφάλεια και ως εκ τούτου κάπου θα πρέπει να πείτε «στοπ». Αν ωστόσο βασίζεστε σε δικαιολογίες και υποτιμάτε τις απειλές, οι πιθανότητες να πέσετε θύμα μίας σοβαρής επίθεσης αυξάνουν σε μεγάλο βαθμό. Οι κυβερνοεγκληματίες είναι έξυπνοι – επιτίθενται κυρίως σε όσους τους διευκολύνουν.
Έχουμε δει επιχειρήσεις να αντιμετωπίζουν την ασφάλεια διαδικτυακών εφαρμογών ως λιγότερο σημαντική από ότι, για παράδειγμα, να έχουν ένα antivirus. Μπορούμε να καταλάβουμε μία τέτοια προσέγγιση αν η συγκεκριμένη επιχείρηση «τρέχει» απλώς μία διαφημιστική ιστοσελίδα σε WordPress. Ωστόσο, αποτελεί αδικαιολόγητη αβλεψία αν πρόκειται για μία επιχείρηση που έχει αναπτύξει επαγγελματικές διαδικτυακές εφαρμογές B2B για τεράστιες εταιρείες, οι οποίες χρησιμοποιούν αυτές τις διαδικτυακές εφαρμογές για να επεξεργαστούν τόνους ευαίσθητων πληροφοριών! Και όμως, το έχουμε δει και αυτό να συμβαίνει!
Ακολουθούν μερικές από τις δικαιολογίες που έχουμε ακούσει σχετικά με την ασφάλεια διαδικτυακών εφαρμογών. Τα συμπεριλαμβάνουμε στο άρθρο για να σας βοηθήσουμε να αποφύγετε παρόμοιες παγίδες όταν αρχίσετε να λαμβάνετε αποφάσεις για το πως να προχωρήσετε στο ταξίδι σας στην ασφάλεια.
«Το λογισμικό μας είναι μόνο για εσωτερική χρήση, οπότε δεν υπάρχει κίνδυνος επίθεσης»
Η υπόθεση ότι κακόβουλοι χάκερ επιτίθενται μόνο σε δημόσια εκτεθειμένες διαδικτυακές εφαρμογές ένας από τους βασικούς λόγους για ορισμένες σοβαρές παραβιάσεις δεδομένων. Όχι μόνο συμβαίνουν πολύ συχνά «δουλειές» από το εσωτερικό στον κόσμο της κυβερνοασφάλειας (π.χ. από κάποιον κακόβουλο υπάλληλο), αλλά οι εισβολείς μπορούν να βρουν τρόπο να εισέλθουν στο εσωτερικό δίκτυο αποκτώντας πρόσβαση σε εσωτερικές διαδικτυακές εφαρμογές από εκεί.
Αυτό σημαίνει ότι σε κάθε περίπτωση θα πρέπει να αντιμετωπίζετε την ασφάλεια διαδικτυακών εφαρμογών σας με τον ίδιο τρόπο, ανεξάρτητα από το αν είναι δημοσίως εκτεθειμένες, χρησιμοποιούνται μόνο μέσω εσωτερικών δικτύων και VPN ή προστατεύονται από έλεγχο ταυτότητας και φιλτράρισμα IP. Αυτό σημαίνει για παράδειγμα ότι ακόμα και στην περίπτωση που η εφαρμογή σας είναι προσβάσιμη μόνο από ένα επιλεγμένο εύρος IP και απαιτεί έλεγχο ταυτότητας, αυτό δεν σημαίνει ότι είναι άτρωτη ή εκ σχεδιασμού ασφαλής. Ακόμα χειρότερα, οι κυβερνοεγκληματίες ενδέχεται να επιδιώξουν να εισχωρήσουν σε τέτοιες εφαρμογές, κυρίως επειδή γνωρίζουν ότι οι δημιουργοί τους δεν αντιμετωπίζουν τις όποιες ευπάθειες τους με την απαραίτητη προσοχή και επομένως δεν ελέγχουν καν για τυχόν παραβιάσεις.
Εν κατακλείδι, σαρώστε κάθε εφαρμογή για ευπάθειες ασφαλείας, ανεξάρτητα από το πόσο καλά προστατεύονται από τα μέτρα ασφαλείας δικτύου που έχετε λάβει και τον έλεγχο ταυτότητας!
«Ο τρόπος που το έχουμε υλοποιήσει καθιστά αδύνατη την ύπαρξη ευπαθειών»
Και όμως, έχουμε ακούσει και αυτό το επιχείρημα από μια εταιρεία, η οποία χρησιμοποιεί το Hibernate ORM για την ανάπτυξη Java της. Από κατασκευής το Hibernate υποτίθεται ότι εξαλείφει τις όποιες ευπάθειες SQL injection επειδή η βάση δεδομένων επιστρέφει πάντα ένα μοναδικό σύνολο αποτελεσμάτων. Δυστυχώς όμως κάτι τέτοιο δεν ισχύει. Αυτή η δυνατότητα του Hibernate πράγματι αντιμετωπίζει ορισμένες επιθέσεις SQL injection, αλλά όχι όλες. Αυτή η δυνατότητα δεν μπορεί σε καμία περίπτωση να αντιμετωπίσει με αποτελεσματικότητα τις μη σχετικές με SQL ευπάθειες.
Αν και τα μοντέρνα περιβάλλοντα ανάπτυξης και υλοποίησης καθιστούν δυσκολότερες ορισμένες επιθέσεις, δεν υπάρχει περιβάλλον που μπορεί να σας βοηθήσει να τις αποτρέψετε όλες ή έστω τις περισσότερες. Αν πιστεύετε ότι ο τρόπος με τον οποίο σχεδιάσατε την ανάπτυξη και την υλοποίησή σας είναι αρκετός χωρίς να έχετε συμπεριλάβει δοκιμές ασφαλείας, ξανασκεφτείτε το.
Συμπερασματικά, δοκιμάστε όλες τις εφαρμογές σας για ευπάθειες ασφαλείας, ανεξάρτητα από το περιβάλλον ανάπτυξης και υλοποίησης που χρησιμοποιείτε (ακόμη και αν υποτίθεται ότι εξαλείφουν σφάλματα ασφαλείας).
«Κάθε λίγο καιρό πραγματοποιούμε μια σάρωση ασφαλείας αλλά ποτέ δεν εντοπίσαμε κάτι σοβαρό»
Ορισμένες επιχειρήσεις πιστεύουν ότι αρκεί μία σάρωση των εφαρμογών τους κάθε λίγους μήνες, για παράδειγμα λίγο πριν από κάποιο μεγάλο release. Από ότι φαίνεται, δεν βλέπουν την ανάγκη επαλήθευσης της ασφάλειας κάθε υποψήφιου release ενώ είναι και λιγότερο πρόθυμοι να συμπεριλάβουν τη σάρωση ασφαλείας ως μέρος των DevOps τους. Το επιχείρημα τους είναι ότι οι σαρώσεις δεν είχαν δείξει μέχρι σήμερα σημαντικά ζητήματα.
Μια τέτοια προσέγγιση μπορεί να συγκριθεί με το να αφήσετε τη πόρτα του αυτοκινήτου σας ξεκλείδωτη (και τα κλειδιά σας στη μίζα) μπροστά από το σούπερ μάρκετ. Ασφαλώς και στις περισσότερες περιπτώσεις δεν θα συμβεί τίποτα επειδή δεν θα βρίσκονται διαρρήκτες αυτοκινήτων εκεί κοντά. Αν ωστόσο βρεθεί έστω και ένας κλέφτης αυτοκινήτων εκείνη τη στιγμή, το όχημα σας θα αλλάξει ιδιοκτήτη γρήγορα. Πρόκειται για την ίδια περίπτωση: αρκεί μόνο μια σημαντική ευπάθεια, που δεν έχει ανιχνευθεί μεταξύ δύο μεγάλων releases για να οδηγήσει σε παραβίαση της ασφάλειας σας και στην έκθεση όλων των ευαίσθητων δεδομένων σας καταστρέφοντας τη φήμη της επιχείρησης σας.
Εν κατακλείδι, δοκιμάστε τις υποτιθέμενες ασφαλείς εφαρμογές σας ακόμη πιο διεξοδικά από εκείνες που νομίζατε ότι είναι ανασφαλείς.
Προσέχουμε, για να έχουμε
Η φράση «προσέχουμε, για να έχουμε» ισχύει στο μέγιστο βαθμό όταν μιλάμε για τη κυβερνοασφάλεια (και γενικότερα για την ασφάλεια). Κατά την άποψη μας, όποιες και αν είναι οι αποφάσεις ασφαλείας που λαμβάνετε για την επιχείρηση σας, θα πρέπει να τις περνάτε υπό το ίδιο πρίσμα που περνάτε όσον αφορά την ασφάλεια των προσωπικών σας στοιχείων. Για παράδειγμα, αν το διαμέρισμά σας βρισκόταν σε μία πολυκατοικία με θυρωρό και ασφάλεια στην είσοδο, θα αφήνατε την πόρτα σας ξεκλείδωτη; Ακόμα και αν δεν συνέβη ποτέ κλοπή στη γειτονιά σας θα αφήνατε το παράθυρο του διαμερίσματος σας ανοιχτό όταν πηγαίνετε στη δουλειά;
Αντί λοιπόν να ψάχνετε για δικαιολογίες και αρχίσετε να σκέφτεστε τα χειρότερα σενάρια, είναι πολύ λιγότερο πιθανό να βρεθείτε στις επικεφαλίδες των ειδήσεων εξαιτίας κάποιας παραβίασης δεδομένων. Και το κόστος του να συμπεριλάβετε την ασφάλεια διαδικτυακών εφαρμογών στο SDLC σας συγκριτικά με τις όποιες απώλειες θα μπορούσατε να υποστείτε εξαιτίας μίας παραβίασης δεδομένων είναι ακριβώς το ίδιο συγκριτικά με το κόστος μιας κλειδαριάς σε σχέση με το κόστος όλων των πραγμάτων που έχετε στο σπίτι σας.
Κάντε τη σωστή επιλογή, μην προβάλετε δικαιολογίες.
Πηγή: Acunetix