+36 1 781 4842 info@fortix.hu

világjárvány az információbiztonság szemüvegén keresztül

Az elmúlt hónapban a koronavírus járvány elterjedése számos akadály és megpróbáltatás elé állította a vállalkozásokat, mérettől függetlenül.

Ahol ez lehetséges volt, otthoni munkavégzésre álltak át részben vagy egészben, annak minden előnyével és hátrányával együtt. A távoli munkavégzés – mint lehetséges B terv – nem minden szervezetben kiforrott folyamat korábbi tapasztalatok híján, ezért az átállás sok esetben komfortzónán kívüli működést eredményezett

Cikkünkben a távoli munkavégzés egy sajátos kiberbiztonsági veszélyét, a távmunkát is támogató alkalmazás sérülékenységét mutatjuk be.

A működés szempontjából elengedhetetlen folyamatokat hálózaton keresztüli működésre kellett átállítani, illetve a klasszikus információtárolást is távolról elérhető módszerekre kellett cserélni, amelyet számos esetben rögtönzött megoldással hidaltak át. 

A kritikus folyamatokon túl a konferencia-beszélgetések lebonyolítását is abszolválni kellett, amely szintén valamilyen internetes felület segítségével valósulhat meg.  

A rögtönzött megoldások ritkán eredményeznek minden szempontból megfelelő módszert vagy folyamatot, ezért számítani lehet a normál működés biztonsági szintjének csökkenésére.

A helyzetet kihasználva a kiberbűnözők a korábbinál nagyobb energiát fektetnek az informatikai rendszerek támadására, a vállalatok zavartalan működésének akadályozására, információszerzésre vagy adatok lopására.  

Ennek ismeretében elmondhatjuk, hogy a koronavírus nem csak pandémiát hozott, hanem a vállalatok túlnyomó többségének esetében egy információbiztonsági szempontból is jelentősen kritikus időszakot. 

Mit tehetünk? 

Az online működésre átállás nem csak üzletmenet-folytonossági, hanem információbiztonsági szempontból is kritikus változást jelent. Sok szervezet esetén nem elegendő áthidaló megoldásként a nagy szoftveróriások szolgáltatásait igénybe venni a munkafolyamatok életben tartásához, vizsgálni szükséges azok illeszthetőségét is.  

A Microsoft Teams, vagy a – nemrég a sérülékenységével reflektorfénybe került – Zoom ugyan a napi megbeszélések és kapcsolattartás eszköze lehet, a folyamatok egy részét azonban olyan, jellemzően saját vagy testreszabott megoldás támogatja, amelyet eddig csak az intranetes hálózaton belül használt a szervezet.  

A belső hálózaton kívüli használat előtt első lépésként szükséges felmérni, hogy infrastrukturális szempontból megfelelően biztonságos-e a hozzáférés, következő lépésként pedig az alkalmazás sebezhető pontjaira kell fényt deríteni. Ezekre a sebezhető pontokra egy sérülékenység vizsgálat adhat választ a legegyszerűbben.

  

Alkalmazások sérülékenysége 

Az online alkalmazások sérülékenységét az OWASP (Open Web Application Security Project) módszertan alapján vizsgálják etikus hackerek, amely módszertan lényege, hogy a legyakoribb 10 hackertámadás ismérveit felhasználva nyújt segítséget mind a felderítésben, mind azok megelőzésében.  

 

A megelőzés rendszerint már a szoftverfejlesztési életciklus tervezési fázisában kezdődik, ennek megfelelően a rendszertervnek, a rendszerbiztonsági tervnek és a részletes funkcionális specifikációnak is tartalmaznia kell olyan aspektusokat, amelyek a fejlesztendő rendszer zártságát hivatottak megőrizni. Tervezési hiba szokott lenni például mai napig a nem megfelelő protokoll alkalmazása, jellemzően a HTTPS helyett HTTP használata. 

Nem csak a fejlesztés tervezése, hanem a kivitelezés, a tényleges szoftverkód írása során is bizonyos szabályokat be kell tartani ahhoz, hogy az online megoldás ne tartalmazzon sebezhető elemeket. A fejlesztők számlájára írhatók például az injektálási sérülékenységek, amelyek ellen védekezni az input adatok megfelelő, szerver oldali lekezelésével lehet.  

Amennyiben a biztonsági szempontok érvényesítésére sem a tervezés, sem a kódírás során nem volt lehetőség, a sérülékenységvizsgálat utólag felderítheti a kényes pontokat, így azok hibajavítással, vagy újabb fejlesztéssel korrigálhatók. Az utólagos felderítés azonban mind időben, mind költségben felülmúlja a tervezési vagy fejlesztési szakasz során észlelt kockázatok korrekcióját.  

És hogy miért is fontos az online alkalmazások sérülékenységének vizsgálata, azt a számos, híradásokban is szereplő adatvesztés, felhasználó-jelszó párok napvilágra kerülése, és bizalmas információk kompromittálódása önmagában is megválaszolja: nagyobb veszteség egy-egy ilyen incidens mind anyagi, mind reputáció szempontjából, mint az időben és megfelelő szakemberek által elvégzett sérülékenység vizsgálat ellentételezése. 

Érdekességképpen az elmúlt három év top 10 sérülékenysége 

  • Injektálás (SQL)
  • Autentikációés session menedzsment hibák kihasználása 
  • Érzékeny adatokkal visszaélés
  • XML hibák kiaknázása
  • Jogosulatlan hozzáférés szerzés
  • Biztonsági konfigurálás hibái
  • XSS hibák 
  • Kód végrehajtási hibákfelhasználása 
  • Sérülékeny komponensek alkalmazása a fejlesztés során
  • Nem megfelelő logolásés monitorozás  

Az OWASP idén felül fogja vizsgálni az elmúlt évek változásait alapul véve nem csak a sérülékenységi top 10-es listát, hanem az általuk kiadott fejlesztési módszertan is, amely az online alkalmazások biztonságosságát hivatott megőrizni.  

A technológiai kockázatokon túl azonban ne felejtsük, hogy bár az átállás egyik mellékhatása lehet többek között a folyamatok, alkalmazások biztonságának csökkenése, a felhasználók információbiztonsági tudatossága és a távmunkára való felkészítése is ugyanakkora kihívást jelent, amelyet incidens kutatások is alátámasztanak: a leggyengébb láncszem sok esetben maga a felhasználó. 

Iratkozzon fel hírlevelünkre!



(*)