ללא אבטחה ברמת האפליקציה, לעולם לא נהיה "מוגני סייבר"

ללא אבטחה ברמת האפליקציה, לעולם לא נהיה "מוגני סייבר"

This post is also available in: enEnglish (אנגלית)

18496818_sמה הן "נקודות התרופה של אבטחת אפליקציות"?

נקודת התורפה של יישום או אפליקציה היא פגם במערכת או חולשה ביישום שניתנים לניצול כדי לפגוע באבטחה של היישום. ברגע שהתוקף מוצא פגם, או נקודת תורפה ביישום, התוקף או ההאקר יכולים לאחר מכן לנצל זאת.

 פגמי אבטחת בשכבת היישום, הם בדרך כלל תוצאה של פגמים בקידוד היישומים שנשלחו כך או שהותקנו על גבי מכשירי חישובי כגון: טבלטים, מחשבים ניידים ומחשבים שולחניים לאחר פריסה.

Buffer overflow, אחסון לא מאובטח של נתונים רגישים, אלגוריתמים קריפטוגרפיים לא מתאימים, סיסמאות מקודדות בקוד עצמו, ויישומי "דלת אחורית" הוא רק קבוצת מדגם של סוגי פגמיםם בשכבת היישום.

התוצאה של ניצול פגמי אבטחת שכבת היישום יכולה לנוע בין העלאת ההרשאות של מערכת ההפעלה לצורך גישה קלה למידע רגיש, גניבת מידע, שינוי ושיבוש מידע ושירותים.

אחת הסיבות העיקריות לפגמים באבטחת יישומים היא הלחץ שמופעל על צוותי פיתוח תוכנה חדשה כדי לקצר זמן הגעה לשוק. לחץ כלכלי זה מאלץ מפתחים רבים להתעלם או ל"חפף" את היבט האבטחה של תהליך מחזור החיים הסדור של פיתוח התוכנה – SDLC.

SDLC משמעו מחזור החיים של פיתוח תוכנה (Software Development Life Cycle). מחזור החיים של פיתוח תוכנה הוא למעשה שורה של צעדים, או שלבים, המספק מודל לפיתוח וניהול מחזור חיים של יישום או פיסת תוכנה. המתודולוגיה בתוך תהליך SDLC יכולה להשתנות בין תעשיות וארגונים שונים.

אם היישומים לא פותחו מתוך תשומת לב לנושא האבטחה, אז זה נותן לעברייני הסייבר את היכול לנצל את נקודות תורפה ביישומים כדי לאפשר עבירות סייבר. היעדים של עברייני סייבר אלו הם: סודיות, יושר, זמינות או (הידוע בשם "שלישיית ה-CIA" בתחום אבטחת מידע) של משאבים שבידי יישום, בעליו והמשתמשים בו.

תוקפים/עברייני-סייבר בדרך כלל מסתמכים על כלים או שיטות ספציפיות לביצוע גילוי נקודות התורפה של היישומים.

על פי "גרטנר אבטחה", שכבת היישום מכילה כיום 90% מכלל נקודות התורפה (גרטנר וסימנטק, יוני 2006).

מסקנה – נקודות תורפה בשכבת האפליקציה הם גורם משמעותי בתחום עבריינות-הסייבר.

למאמר המלא (אנגלית) לחץ על קישור זה

 

סיכום

חשיבותו העיקרית של אבטחת יישומים היא העובדה שיישום / תוכנות שאינן מקודדות בצורה מספיק מאובטחת דומות לבניית בניין רב קומות מודרני – במרכז האזור נגוע הפשע של העיר שנראה נחמד ויציב מרחוק, אבל ככל שאנו מתקרבים אנו יכולים לראות שיש לבנים חסרות, דלתות אחוריות בכל מקום וחלונות ללא שמשות. אנחנו גם יכולים לראות שאין שום פתרון אבטחה במקום כדי להזהיר אותנו פשעים שמבוצעים שם.

חינוך המפתחים להשתמש בשיטות קידוד מאובטחות, הוא חיוני למאבק מתמשך נגד עברייני-סייבר.

מודעות גוברת והולכת לאבטחה בשלב הפיתוח היא גורם מרכזי בהצלחה שלנו בשמירה על מה שהוא שלנו, חסוי, אותנטי וזמין.

הבניין עשוי להיות יציב כמבנה, אבל כמה זמן אתם חושבים שזה ייקח לעבריין להיכנס ולנצל את נכסי הבניין הזה?

נכתב ע"י ג'ואי פלג וחיים גרינברג מ- Appsec

Appsec – מייסודו וניהולו של ארז מטולה

הרשמו כעת – כנס ה"ביג דאטא ומודיעין" – מחר !!!

bigData 980x200

 

 


למידע נוסף


הרשמה לניוזלטר