Optisis
dsc
Beenius
ZAPRI+

Pregled spletnih strani in aplikacij

Preprečite nastanek poslovne škode

Spletne aplikacije so danes glavna vstopna točka napadalca v informacijski sistem, saj so jedro marsikaterega poslovnega okolja. Navadno gre za najbolj pomembne oz. kritične aplikacije v podjetju.

Preverite vpliv ranljivih spletnih aplikacij na vaše poslovanje

Največ servisov in aplikacij se v omrežju pojavlja v obliki spletnih aplikacij. Posledično so izvor največjega števila varnostnih groženj, na tem področju je zaznanih tudi največ pomanjkljivosti.

Dodatna težava je tudi v tem, ker ranljivosti spletnih aplikacij omogočajo zelo širok nabor načinov vdora oz. nevarnih posledic, od nepooblaščenega dostopa do podatkov, vdora na spletne strežnike in naprej v notranjost omrežja, neposredno denarno škodo idr. Pregled preveri zmožnost zlorabe aplikacij in potencialnih posledic vdora.

Posebnost izvedbe je v tem, da vključuje bistveno več ‘ročnega’ preverjanja, nujna je uporaba več različnih orodij in metodologij, zato ga ni mogoče enačiti z drugimi načini varnostnega preverjanja.

Koristi, ki jih pridobite z izvedbo testiranja

Podrobno pisno poročilo vam razkrije seznam vseh spletnih aplikacij v vašem sistemu IT in njihove varnostne pomanjkljivosti, lahko pa se osredotoča na točno določeno aplikacijo.

idea

Avtomatsko testiranje po priporočilih AWASP

lupa

Pregled vseh varnostnih pomanjkljivosti

demo icon

Poskus zlorabe ugotovljenih pomanjkljivosti in potrditev dejanske prisotnosti

checklist

Priporočila za optimalen način odprave

Najpogostejša vprašanja & odgovori

Vse, kar morate vedeti o izvedbi pregleda spletnih aplikacij.

Zakaj je na varnostnem pregledu spletnih aplikacij poseben poudarek?

Predvsem zaradi dveh dejstev:

  • največ servisov in aplikacij se v omrežju naročnika pojavlja v obliki spletnih aplikacij ter
  • za ustrezen pregled spletnih aplikacij ni dovolj zgolj identifikacija servisov ter identificiranje pomanjkljivosti, kar je velikokrat možno pri določenih drugih aplikacijah. Spletne aplikacije so zelo kompleksne, tako da pregled zahteva uporabo posebne (ročne) metodologije.

Glede na količino vloženega dela in glede na izbrane metodologije ugotavljanja varnostnih pomanjkljivosti tovrstnega pregleda ni mogoče enačiti z ostalimi načini varnostnega preverjanja.

Glede na to da gre za kritičen segment poslovanja, mu je potrebno nameniti posebno pozornost.

V čem se razlikuje od ostalih varnostnih pregledov?

Specifičnost spletnih aplikacij je v tem, da je varnost odvisna od sistema, na katerem aplikacija teče (operacijskega sistema, tipa servisa – npr. Apache) ter od podrobnih nastavitev servisa in skript, ki so del aplikacije.

Za poljubno aplikacijo velja, da je varnost servisa odvisna od operacijskega sistema in konkretnega servisa ter nastavitev. Vendar pa je za spletne aplikacije značilno, da je varnost bistveno bolj odvisna od nastavitev, skript ipd., ki so za vsako okolje posebej lahko unikatne. Večina ostalih aplikacij si je v različnih okoljih bolj podobna in je zato varnostni pregled podoben, četudi ga izvajamo v različnih okoljih. Pri spletnih aplikacijah pa velja, da je vsaka aplikacija unikatna in posledično je tudi vsak varnostni pregled unikaten.

Edinstvenost je razlog, da so orodja za t. i. avtomatsko preverjanje ranljivosti potrebna, vendar nikakor ne zadostna. Orodja zgolj ponudijo generalni vpogled v okolje spletne aplikacije, s čimer lahko vsaj delno usmerimo ročne aktivnosti, potrebne za uspešno izvedbo pregleda. Pri ostalih aplikacijah velja, da orodja (če so seveda pravilno uporabljena in ustrezno izbrana) izvedejo večji del pregleda in se nato z ročnimi posegi preverijo zgolj nianse.

Kako poteka varnostni pregled spletnih aplikacij?

V veliki meri ročno poteka ročno. Spletne aplikacije so lahko zelo kompleksne. To pomeni, da imajo na voljo veliko število skript, direktorijev, strani HTML ipd. Pomembno je najprej spoznati aplikacijo in nato v optimalnem načinu postopoma preveriti vse možne varnostne pomanjkljivosti.

Zavedati se je potrebno, da velikokrat aplikacije vsebujejo tudi t. i. ‘zaprti del’, ki je dostopen zgolj pooblaščenim uporabnikom. Nujno je potrebno preveriti tudi ta del. Marsikatera varnostna pomanjkljivost se v resnici nanaša na ta ‘zaprti del’. Ali lahko pooblaščen uporabnik pridobi pravice drugega pooblaščenega uporabnika? Ali lahko nepooblaščeni uporabnik preko napada na pooblaščenega uporabnika pridobi nekaj, česar ne bi smel? Vsa ta vprašanja vplivajo na ‘zaprti del’, ki je vedno vključen v varnostni pregled.

Za klasične aplikacije in servise veljajo znane varnostne pomanjkljivosti, ki so neposredne. Primer je, ta verzija tega servisa ima to pomanjkljivost. Trik uspeha napadalca je torej ‘zgolj’ ugotoviti, ali obstaja v sistemu tak servis s tako verzijo in potem z znanimi pristopi lahko relativno hitro preizkusi, ali je dejanska ranljivost prisotna, ali ne (določene okoliščine – IDP, nastavitve ipd. lahko še vedno preprečijo zlorabo).

Ko se pogovarjamo o spletnih aplikacija uporabljamo t. i. terminologijo OWASP. To so znani principi zlorab spletnih aplikacij, kjer pa je dejanski način zlorabe lahko zelo različen za posamezno aplikacijo. Z orodji in ročnim pregledom se torej zgolj iščejo indici/deli aplikacij, ki bi lahko bili dovzetni za tovrstne pomanjkljivosti. Nato sledi ročno delo, ki z različnimi poizkusi preveri, ali se določena ranljivost in zloraba na tem delu dejansko lahko pojavi.

Testiranje lahko vsebuje tudi dostop in pregled izvorne kode posameznih skript. Čeprav je navadno večji del pregleda usmerjen v vlogo uporabnika in ne v t. i. programersko pregledovanje izvorne kode skript.

Kaj je rezultat pregleda spletnih aplikacij?

Podrobno pisno poročilo, sestavljeno iz dveh delov, ki vam ga predstavimo v obliki delavnice:

  • Vodstveno poročilo
    Je strnjen pregled za vodstvo z osnovnimi informacijami o stanju kibernetske varnosti.
  • Tehnično poročilo
    Namenjeno je skrbniku in podrobno opredeljuje pregled (ne)uspešnih ročnih pregledov in preizkusov zlorab spletne aplikacije, z dodanimi ‘print-screeni’ in ostalimi podatki. Vsaka potrjena ranljivost je podrobno obrazložena, navede so možen posledice zlorabe in navodila za odpravo.

Kdaj je najprimernejši čas za izvedbo pregleda?

Kadarkoli. Spletne aplikacije so napadalcem stalno na voljo, zato je nevarnost zlorabe nenehna.

‘Izgovori’ oz. razlogi za neizvedbo, ki jih pogosto slišimo, a so za zagotavljanje varnost zelo nevarni, so naslednji:

  • V naslednjem letu načrtujemo prenovo spletne aplikacije, tako da najbolje, da pregled izvedemo takrat. Kaj pa je z varnostjo do takrat?
  • Spletne aplikacije ne ponujajo uporabnikom nič posebnega, kar bi bilo vredno zlorabiti. Ni res! Zloraba spletnih aplikacij ne pomeni samo dostop do podatkov, ampak bistveno več.
  • Pred leti smo izvedli pregled, pa ni pokazal nič posebnega. Od takrat nismo nič spreminjali, tako da smo verjetno še vedno varni. Ne drži! Napadalci vedno znova in znova odkrivajo nove načine zlorab.

Koliko pogosto naj takšen pregled izvajam?

Splošno mišljenje je, da se pregled izvaja ob spremembah aplikacije. Kar pa ni nujni pravilno. Četudi nič ne spreminjamo, se lahko zmožnost zlorab povečuje. Napadalci vedno znova odkrivajo nove napade na spletne aplikacije in če je bilo ‘včeraj’ nekaj varno, ni nujno, da je temu tako tudi danes.

Boljši pristop je periodičen. Varnostni pregled spletnih aplikacij naj se izvaja vsakih 6 mesecev, najmanj pa vsakih 12 mesecev. Smiselno je tudi menjati izvajalce varnostnega pregleda, saj ima vsak izvajalec drugačne izkušnje, orodja. metodologijo…

Veliko lahko naredite sami

V beli knjigi Varnost spletnih aplikacij je podrobno opisanih 10 varnostnih mehanizmov, ki jih morate upoštevati, če želite, da bodo vaše spletne aplikacije varne pred napadalci.

Preverite, če lahko obkljukate vse na seznamu.

Zaposleni-najmočnejši člen varnostne verige

Redno ozaveščanje in izobraževanje o hekerskih grožnjah pri uporabi interneta in spletnih aplikacij je ključnega pomena za večjo kibernetsko varnost v podjetju:

  • kdo so hekerji in zakaj so nevarni,
  • kaj je socialni inženiring,
  • kako hekerji pridobivajo vaše podatke,
  • kako prepoznati lažno spletno stran,
  • kako se zaščititi.
newsletterr

Še več vsebin za večjo varnostno osveščenost

Nabor najaktualnejših nasvetov, dobrih praks in trendov s področja informacijske varnosti vsak mesec v vaš e-poštni nabiralnik.

Zakaj nam lahko zaupate testiranje vaše varnosti?

Kot zunanji neodvisni svetovalec s specifičnim znanjem in izkušnjami na podlagi vzajemnega zaupanja in spoštovanja tajnosti podatkov, objektivno ocenimo nivo vaše varnosti.

Nepristranskost

Testiranje izvajamo v okoljih, kjer ne nastopamo kot izvajalec oz. vzdrževalec informacijskega sistema.

Strokovnost

Potrjuje pridobljeni certifikati.

Izkušnje

Preko 60 izvedenih varnostnih preverjanj.

Orodja

Močno pozicionirana orodja ‘hekerjev’.
komunikacija

Zmanjšajte možnosti za uspešen napad

Neodvisno varnostno preverjanje vam razkrije največje ranljivosti in analizo stanja vaših spletnih aplikacij ter poda priporočila za njihovo odpravo.

Tehnološki partnerji

Sodelujemo z globalnimi vodji v posameznih tehnoloških segmentih

Razišči še ostale varnostne nasvete

VPRAŠAJTE NAS
Arrow

Soglašam, da zaupane osebne podatke lahko hranite in uporabite za obveščanje o:

Vaše podatke bomo hranili in obdelovali za občasno posredovanje strokovnih vsebin in vabil na specializirane dogodke preko elektronske pošte. Vaše osebne podatke bomo uporabljali zaupno in jih ne bomo posredovali tretjim osebam. Vašo zasebnost obravnavamo v skladu z določili GDPR in Zakonom o varstvu osebnih podatkov.

Privolitev lahko kadarkoli prekličete, ob prejemu e-sporočila ali na e-naslov marketing@smart-com.si posredujete sporočilo z naslovom Odjava. Po obdelavi zahteve za odjavo vam bo Smart Com prenehal pošiljati vsebine od katerih ste se odjavili.

Podrobnosti o odjavi, obdelavi in varovanju osebnih podatkov si preberite v Pravnih obvestilih.

x
Zapri obrazec
ZAPRI+