világjárvány az információbiztonság szemüvegén keresztül
Az elmúlt hónapban a koronavírus járvány elterjedése számos akadály és megpróbáltatás elé állította a vállalkozásokat, mérettől függetlenül.
Ahol ez lehetséges volt, otthoni munkavégzésre álltak át részben vagy egészben, annak minden előnyével és hátrányával együtt. A távoli munkavégzés – mint lehetséges B terv – nem minden szervezetben kiforrott folyamat korábbi tapasztalatok híján, ezért az átállás sok esetben komfortzónán kívüli működést eredményezett.
Cikkünkben a távoli munkavégzés egy sajátos kiberbiztonsági veszélyét, a távmunkát is támogató alkalmazás sérülékenységét mutatjuk be.
A működés szempontjából elengedhetetlen folyamatokat hálózaton keresztüli működésre kellett átállítani, illetve a klasszikus információtárolást is távolról elérhető módszerekre kellett cserélni, amelyet számos esetben rögtönzött megoldással hidaltak át.
A kritikus folyamatokon túl a konferencia-beszélgetések lebonyolítását is abszolválni kellett, amely szintén valamilyen internetes felület segítségével valósulhat meg.
A rögtönzött megoldások ritkán eredményeznek minden szempontból megfelelő módszert vagy folyamatot, ezért számítani lehet a normál működés biztonsági szintjének csökkenésére.
A helyzetet kihasználva a kiberbűnözők a korábbinál nagyobb energiát fektetnek az informatikai rendszerek támadására, a vállalatok zavartalan működésének akadályozására, információszerzésre vagy adatok lopására.
Ennek ismeretében elmondhatjuk, hogy a koronavírus nem csak pandémiát hozott, hanem a vállalatok túlnyomó többségének esetében egy információbiztonsági szempontból is jelentősen kritikus időszakot.
Mit tehetünk?
Az online működésre átállás nem csak üzletmenet-folytonossági, hanem információbiztonsági szempontból is kritikus változást jelent. Sok szervezet esetén nem elegendő áthidaló megoldásként a nagy szoftveróriások szolgáltatásait igénybe venni a munkafolyamatok életben tartásához, vizsgálni szükséges azok illeszthetőségét is.
A Microsoft Teams, vagy a – nemrég a sérülékenységével reflektorfénybe került – Zoom ugyan a napi megbeszélések és kapcsolattartás eszköze lehet, a folyamatok egy részét azonban olyan, jellemzően saját vagy testreszabott megoldás támogatja, amelyet eddig csak az intranetes hálózaton belül használt a szervezet.
A belső hálózaton kívüli használat előtt első lépésként szükséges felmérni, hogy infrastrukturális szempontból megfelelően biztonságos-e a hozzáférés, következő lépésként pedig az alkalmazás sebezhető pontjaira kell fényt deríteni. Ezekre a sebezhető pontokra egy sérülékenység vizsgálat adhat választ a legegyszerűbben.
Alkalmazások sérülékenysége
Az online alkalmazások sérülékenységét az OWASP (Open Web Application Security Project) módszertan alapján vizsgálják etikus hackerek, amely módszertan lényege, hogy a legyakoribb 10 hackertámadás ismérveit felhasználva nyújt segítséget mind a felderítésben, mind azok megelőzésében.
A megelőzés rendszerint már a szoftverfejlesztési életciklus tervezési fázisában kezdődik, ennek megfelelően a rendszertervnek, a rendszerbiztonsági tervnek és a részletes funkcionális specifikációnak is tartalmaznia kell olyan aspektusokat, amelyek a fejlesztendő rendszer zártságát hivatottak megőrizni. Tervezési hiba szokott lenni például mai napig a nem megfelelő protokoll alkalmazása, jellemzően a HTTPS helyett HTTP használata.
Nem csak a fejlesztés tervezése, hanem a kivitelezés, a tényleges szoftverkód írása során is bizonyos szabályokat be kell tartani ahhoz, hogy az online megoldás ne tartalmazzon sebezhető elemeket. A fejlesztők számlájára írhatók például az injektálási sérülékenységek, amelyek ellen védekezni az input adatok megfelelő, szerver oldali lekezelésével lehet.
Amennyiben a biztonsági szempontok érvényesítésére sem a tervezés, sem a kódírás során nem volt lehetőség, a sérülékenységvizsgálat utólag felderítheti a kényes pontokat, így azok hibajavítással, vagy újabb fejlesztéssel korrigálhatók. Az utólagos felderítés azonban mind időben, mind költségben felülmúlja a tervezési vagy fejlesztési szakasz során észlelt kockázatok korrekcióját.
És hogy miért is fontos az online alkalmazások sérülékenységének vizsgálata, azt a számos, híradásokban is szereplő adatvesztés, felhasználó-jelszó párok napvilágra kerülése, és bizalmas információk kompromittálódása önmagában is megválaszolja: nagyobb veszteség egy-egy ilyen incidens mind anyagi, mind reputáció szempontjából, mint az időben és megfelelő szakemberek által elvégzett sérülékenység vizsgálat ellentételezése.
Érdekességképpen az elmúlt három év top 10 sérülékenysége
- Injektálás (SQL)
- Autentikációés session menedzsment hibák kihasználása
- Érzékeny adatokkal visszaélés
- XML hibák kiaknázása
- Jogosulatlan hozzáférés szerzés
- Biztonsági konfigurálás hibái
- XSS hibák
- Kód végrehajtási hibákfelhasználása
- Sérülékeny komponensek alkalmazása a fejlesztés során
- Nem megfelelő logolásés monitorozás
Az OWASP idén felül fogja vizsgálni az elmúlt évek változásait alapul véve nem csak a sérülékenységi top 10-es listát, hanem az általuk kiadott fejlesztési módszertan is, amely az online alkalmazások biztonságosságát hivatott megőrizni.
A technológiai kockázatokon túl azonban ne felejtsük, hogy bár az átállás egyik mellékhatása lehet többek között a folyamatok, alkalmazások biztonságának csökkenése, a felhasználók információbiztonsági tudatossága és a távmunkára való felkészítése is ugyanakkora kihívást jelent, amelyet incidens kutatások is alátámasztanak: a leggyengébb láncszem sok esetben maga a felhasználó.
