Με την τεράστια δημοτικότητα του λογισμικού ανοιχτού κώδικα όπως είναι τα Linux, WordPress ή Magento ενδεχομένως να αναρωτιέστε γιατί η κατάσταση είναι τόσο διαφορετική στον κόσμο της ασφάλειας διαδικτυακών εφαρμογών. Ας προσπαθήσουμε να συγκρίνουμε τους σαρωτές ευπαθειών ανοιχτού κώδικα με εμπορικές λύσεις και σύντομα θα γίνει σαφές γιατί οι επιχειρήσεις αποφεύγουν τα εργαλεία ασφάλειας διαδικτυακών εφαρμογών ανοιχτού κώδικα.
Λογισμικό ανοιχτού κώδικα και ασφάλεια πληροφορικής
Δεν είναι λίγα τα εργαλεία ασφαλείας IT που διανέμονται με τη χρήση άδειας ανοιχτού κώδικα. Για παράδειγμα τα περισσότερα εργαλεία δοκιμών διείσδυσης (penetration testing), όπως τα nmap και Wireshark, είναι ανοιχτού κώδικα. Στην λίστα μάλιστα συμπεριλαμβάνονται και ορισμένες προηγμένες λύσεις, όπως το Snort IPS/IDS και ο σαρωτής ευπάθειας δικτύου OpenVAS (offshoot του Nessus). Γιατί λοιπόν τα πράγματα διαφέρουν στην περίπτωση της ασφάλειας διαδικτυακών εφαρμογών;
Η ποιότητα των εργαλείων ασφαλείας διαδικτυακών εφαρμογών ανοιχτού κώδικα υστερεί σε σύγκριση την ποιότητα των εμπορικών προϊόντων. Αν και βεβαίως υπάρχουν ορισμένες μικρές επιχειρήσεις που ισχυρίζονται ότι τα εργαλεία ανοιχτού κώδικα επαρκούν στην περίπτωση τους, μελλοντικά τείνουν να αλλάζουν γνώμη καθώς αυξάνονται σε μέγεθος.
Παρακάτω παρατίθενται ορισμένοι από τους λόγους για τους οποίους τα εργαλεία ασφαλείας διαδικτυακών εφαρμογών ανοιχτού κώδικα δεν μπορούν να συγκριθούν με επαγγελματικές λύσεις όπως είναι το Acunetix.
1ος λόγος. Ευκολία χρήσης
Όταν εμφανίστηκαν οι πρώτοι σαρωτές ασφάλειας ιστού, προορίζονταν να χρησιμοποιούνται χειροκίνητα για την εκτέλεση δοκιμών ευπάθειας. Προορίζονταν για χρήση από ειδικούς στον τομέα της ασφάλειας, όπως από δοκιμαστές διείσδυσης, από ερευνητές ασφαλείας κ.λπ. Επομένως, η ευκολία χρήσης δεν αποτελούσε ποτέ σημαντικό παράγοντα στην ανάπτυξη των προϊόντων του είδους, επειδή οι ειδικοί είχαν βαθιά κατανόηση της ασφάλειας των διαδικτυακών εφαρμογών για να γνωρίζουν και πως να αξιοποιούν στο έπακρο το λογισμικό. Αυτή η τάση εξακολουθεί να ισχύει στην περίπτωση των χειροκίνητων εργαλείων.
Με τον καιρό, το κοινό στο οποίο απευθύνονταν οι σαρωτές διαδικτυακών ευπαθειών άλλαξε, μετατοπίστηκε. Άρχισαν λοιπόν να τους χρειάζονται και άτομα χωρίς βαθιά γνώση της ασφάλειας πληροφορικής, όπως διαχειριστές συστημάτων που ήταν επιφορτισμένοι με τη διαχείριση της ασφάλειας σε μικρότερες επιχειρήσεις, διαχειριστές DevOps που ρύθμιζαν ευέλικτες SLDCs ή ακόμα και οι ίδιοι οι προγραμματιστές. Γιατί δεν γίνονται επενδύσεις σε περισσότερο προσωπικό ασφαλείας; Για έναν απλό λόγο – οι ανάγκες ασφάλειας αυξάνονται με τέτοιους ρυθμούς που δεν υπάρχουν αρκετοί επαγγελματίες στον χώρο της ασφάλειας για να προσληφθούν. Υπάρχει ένα μεγάλο κενό δεξιοτήτων στον κυβερνοχώρο, το οποίο μάλιστα με την πάροδο του χρόνου αναμένεται να επιδεινωθεί. Επομένως, όλο και περισσότερες εργασίες ασφάλειας είναι απαραίτητο να πέφτουν στους ώμους ατόμων που έχουν λιγότερες γνώσεις και εκπαίδευση και που βασίζονται σε αυτοματοποιημένα εργαλεία.
Δυστυχώς, η ανάπτυξη εργαλείων ανοιχτού κώδικα δεν ακολούθησε αυτή την τάση. Οι σαρωτές διαδικτυακών ευπαθειών ανοιχτού κώδικα παρέμειναν μάλλον δύσχρηστοι, όπως συμβαίνει και με πολλά άλλα εργαλεία ανοιχτού κώδικα.
2ος λόγος. Κάτι περισσότερο από απλή σάρωση ευπάθειας
Τα εργαλεία ασφάλειας διαδικτυακών εφαρμογών ανοιχτού κώδικα είναι εξ’ ορισμού μόνο σαρωτές ευπάθειας. Οι σημερινές επιχειρήσεις ωστόσο χρειάζονται πολλά περισσότερα από το να στρέφουν ένα εργαλείο προς έναν διακομιστή ιστού και να λαμβάνουν μια λίστα με ευπάθειες. Δεν μπορείτε να επιδιορθώσετε όλες τις ευπάθειες ταυτόχρονα – μια επιχείρηση πρέπει να γνωρίζει σε ποιες ευπάθειες πρέπει να δοθεί προτεραιότητα, διότι ενέχουν μεγαλύτερο κίνδυνο ασφάλειας. Πρέπει επίσης να είστε σε θέση να διαχειριστείτε τη διαδικασία επιδιόρθωσης και επανελέγχου.
Τα επαγγελματικά εργαλεία ασφάλειας διαδικτυακών εφαρμογών, όπως το Acunetix, δεν είναι απλώς σαρωτές – αλλά και εργαλεία διαχείρισης ευπαθειών και αξιολόγησης/ εκτίμησης ευπαθειών. Έχουν λοιπόν και το πλεονέκτημα να εκτιμούν τη σοβαρότητα των ευπαθειών, ώστε να σας βοηθήσουν να ξεκινήσετε επιδιορθώνοντας πρώτα τα σημαντικότερα ζητήματα, όπως είναι τα SQL Injection ή Cross-Site Scripting και στη συνέχεια να αφιερώσετε τον χρόνο σας επιδιορθώνοντας μη κρίσιμης σημασίας εσφαλμένες διαμορφώσεις/ ρυθμίσεις. Επιπλέον, τα εργαλεία αυτού του τύπου έχουν επίσης ενσωματωμένη διαχείριση ζητημάτων ενώ ενσωματώνονται out-of-the-box με δημοφιλή προγράμματα ανίχνευσης/ παρακολούθησης ζητημάτων όπως το Jira.
3ος λόγος. Διατηρούν την επαφή τους με την ανάπτυξη
Ο 3ος λόγος για τον οποίο τα εργαλεία ασφάλειας διαδικτυακών εφαρμογών ανοιχτού κώδικα είναι ακατάλληλα για χρήση από επιχειρήσεις έχει να κάνει με την ταχεία ανάπτυξη της ασφάλειας διαδικτυακών εφαρμογών. Μια επιχείρηση δεν μπορεί να περιμένει τις ομάδες ανάπτυξης έργων ανοιχτού κώδικα να βρουν λίγο χρόνο για να προσθέσουν νέες κατηγορίες ευπαθειών, νέες λειτουργίες ή να προσθέσουν υποστήριξη για νέα web frameworks. Η ασφάλεια διαδικτυακών εφαρμογών γίνεται ολοένα και κρισιμότερης σημασίας – επειδή πολύ απλά, όλο και περισσότερες επιχειρήσεις μεταβαίνουν από τις εσωτερικές/ on-premises λύσεις σε εικονικά περιβάλλοντα (στο cloud). Και αυτό επίσης σημαίνει, ότι οι κυβερνοεγκληματίες παρακολουθούν τις εξελίξεις και θα κάνουν ότι περνάει από το χέρι τους για να εντοπίσουν νέους τρόπους να εκμεταλλευτούν τις ευπάθειες.
Οι προμηθευτές λογισμικού που είναι πλήρως αφοσιωμένοι στην ασφάλεια διαδικτυακών εφαρμογών όπως η Invicti, έχουν ένα μοναδικό πλεονέκτημα: μπορούν να αφοσιωθούν πλήρως στη διατήρηση της επαφής τους με τις τάσεις και τις τεχνολογίες διαδικτύου. Και αυτό δεν αποτελεί το μοναδικό πλεονέκτημα τους έναντι των εργαλείων ανοιχτού κώδικα αλλά και έναντι άλλων εμπορικών παρόχων. Πολλοί προμηθευτές εργαλείων διαδικτυακής ασφάλειας επικεντρώνονται στους σαρωτές δικτυακής ασφάλειας, οι οποίοι έχουν να κάνουν κυρίως με υπογραφές και ενημέρωση κώδικα, και αποφεύγουν τις πολυπλοκότητες της σύγχρονης ασφάλειας διαδικτυακών εφαρμογών. Απλώς, αδυνατούν να διατηρήσουν την επαφή τους. Το Acunetix μπορεί.
4ος λόγος. Τα κρυφά κόστη του ανοιχτού κώδικα
Πολλές επιχειρήσεις που εργάζονται με εργαλεία ανοιχτού κώδικα γνωρίζουν πολύ καλά ότι υπάρχουν ορισμένα κρυφά κόστη που σχετίζονται με το ελεύθερο λογισμικό. Στο λογισμικό, αυτό που λέμε «δωρεάν» ισοδυναμεί με μηδέν βοήθεια και μηδέν υποστήριξη, αν εξαιρέσουμε την υποστήριξη από την κοινότητα. Για παράδειγμα, οι επιχειρήσεις που επιλέγουν να αντικαταστήσουν το λειτουργικό σύστημα Windows με το λειτουργικό σύστημα ανοιχτού κώδικα Linux συχνά πληρώνουν συνδρομή σε κάποιο πρόγραμμα υποστήριξης τρίτου. Και αυτό δεν καθιστά πλέον το λογισμικό ανοιχτού κώδικα δωρεάν ενώ μακροπρόθεσμα, δεν είναι λίγες οι φορές που καταλήγει να είναι ακριβότερο από τις εμπορικές εναλλακτικές λύσεις.
Φυσικά, η ανάγκη για υποστήριξη είναι διαφορετική για διαφορετικές κατηγορίες λογισμικού. Ένας απλός επεξεργαστής κειμένου μπορεί να μην χρειάζεται τόσο υποστήριξη όσο μια σύνθετη λύση ασφάλειας πληροφορικής. Λόγω της φύσης τους, οι σαρωτές διαδικτυακών ευπαθειών ενδέχεται να χρειάζονται υποστήριξη σε ζητήματα που προκύπτουν κατά την αρχική ρύθμιση και ακόμη περισσότερη υποστήριξη στην περίπτωση που σκοπεύετε να αυτοματοποιήσετε εργασίες και να ενσωματώσετε τα εργαλεία στα τρέχοντα περιβάλλοντα σας.
Χωρίς υποστήριξη, τα εργαλεία ανοιχτού κώδικα είναι απλώς χειροκίνητα εργαλεία δοκιμών διείσδυσης για ερευνητές ασφάλειας – βοηθούν στον εντοπισμό απειλών και εκεί τελειώνει η ιστορία.
5ος λόγος. Ψευδώς θετικά σε σαρωτή ευπαθειών
Τα ψευδώς θετικά είναι το σημείο που χωλαίνει περισσότερο η ασφάλεια των διαδικτυακών εφαρμογών. Αυτό οφείλεται στο γεγονός ότι η ασφάλεια διαδικτυακών εφαρμογών έχει να κάνει κυρίως με προσαρμοσμένο κώδικα (custom code). Αν προσδιοριστεί κάποιο ψευδές θετικό από μια δοκιμή ευπάθειας δικτύου, δεν πρόκειται να επηρεάσει τους προγραμματιστές σας και συνήθως σημαίνει ότι οι ενημερώσεις κώδικα που εφαρμόζετε σε λογισμικό ή σε συσκευές δικτύου δεν είναι κρίσιμης σημασίας. Στην περίπτωση της ασφάλειας διαδικτυακών εφαρμογών, μπορείτε είτε να διπλοτσεκάρετε κάθε ευπάθεια που ανιχνεύτηκε χρησιμοποιώντας έναν σαρωτή και να καταναλώσετε τους πόρους της ομάδας δοκιμών διείσδυσης (pen testing team) ή μπορείτε να διακινδυνεύσετε να βάλετε τους προγραμματιστές σας να κυνηγούν φαντάσματα, προσπαθώντας να επιδιορθώσουν ένα πρόβλημα που δεν υπάρχει.
Αυτός είναι ο λόγος για τον οποίο ένα από τα πιο σημαντικά κριτήρια για την επιλογή ενός σαρωτή ασφάλειας διαδικτύου είναι ο τρόπος με τον οποίο διαχειρίζεται τα ψευδώς θετικά. Αν ο σαρωτής μπορεί, κατά κάποιον τρόπο, να αποδείξει ότι υπάρχει η ευπάθεια, αυτό σημαίνει ότι μπορείτε να απευθύνεται το ζήτημα απευθείας στον προγραμματιστή για επιδιόρθωση – δεν υπάρχει ανάγκη χειροκίνητης επιβεβαίωσης. Οι σαρωτές ανοιχτού κώδικα (και πολλά εμπορικά προϊόντα) δεν έχουν τέτοιες δυνατότητες. Κάθε ζήτημα που αναφέρουν είναι απλώς μια πιθανή ευπάθεια και όχι απαραίτητα πραγματικό πρόβλημα. Από την άλλη πλευρά, το Acunetix μπορεί να επιβεβαιώσει 100% μία ευπάθεια και σε πολλές περιπτώσεις να παρέχει και αποδείξεις όπως για παράδειγμα ένα αντίγραφο ευαίσθητων δεδομένων που κανονικά δεν θα έπρεπε να είναι προσβάσιμα.
Ακόμη χειρότερα, το πρόβλημα των ψευδών θετικών δεν αυξάνεται απλώς γραμμικά με τον αριθμό αύξησης των διαδικτυακών εφαρμογών και την ανάπτυξη της επιχείρησης σας. Όσο μεγαλύτερη είναι η επιχείρησή σας και όσο περισσότερες εφαρμογές έχει, τόσο χειρότερος είναι ο αντίκτυπος των ψευδών θετικών στους πόρους σας. Επομένως, αν κοιτάζετε προς το μέλλον, δεν είναι δυνατόν να μείνετε να χρησιμοποιείτε ένα εργαλείο που θα εμποδίζει την ανάπτυξή σας, όπως ένας τυπικός, χειροκίνητος, σαρωτής ασφάλειας διαδικτυακών εφαρμογών ανοιχτού κώδικα.
Μπορείτε να ρισκάρετε να χρησιμοποιήσετε δωρεάν;
Το λογισμικό ανοιχτού κώδικα αποτελεί ένα εξαιρετικό σημείο εκκίνησης αν είστε μαθητευόμενος, ανεξάρτητος ερευνητής ή κάποια μικρή start-up εταιρεία (για παράδειγμα, αν έχετε συνολικά λιγότερες από 5 εφαρμογές ιστού). Αν ωστόσο έχετε στόχο την ανάπτυξη (κάτι ιδιαίτερα υγιές και φυσιολογικό), αργά ή γρήγορα, θα παρατηρήσετε ότι το λογισμικό ανοιχτού κώδικα δεν επαρκεί πλέον, και ακόμη και αν εντοπίζει ευπάθειες, δεν μπορεί να σας βοηθήσει να τις επιδιορθώσετε. Εν τέλει, ο στόχος της ασφάλειας διαδικτυακών εφαρμογών ιστού δεν είναι να επισημάνει τις ευπάθειες και τα τρωτά σημεία αλλά να τα εξαλείφει.
Πηγή: Acunetix