facebook LinkedIN LinkedIN - follow
Hlavní partner sekce
Partneři sekce
Tematické sekce
 
Branžové sekce

Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky

Přehledy
 
Partneři webu
IT SYSTEMS 4/2009 , IT Security

Přístupy k řízení rizik webových a portálových aplikací

Jan Guzanič


Mnoho organizací při provozování své činnosti využívá v současnosti stále více možností informačních a komunikačních technologií pro zefektivnění komunikace. Webové a portálové aplikace slouží pro komunikaci v rámci organizace, s jejími členy, zákazníky, partnery a organizacemi, pro které moderní způsoby komunikace získávají konkurenční výhody. Cenou za získání těchto výhod je však i následné získání závislosti organizací na těchto formách komunikace, a dále pak vystavení organizace dodatečným rizikům plynoucím z elektronizace jejich podnikání. Rizika kyberkriminálních aktivit se zvyšují a útočníci se vyskytují v různých skupinách, ať už se jedná o vlastní zaměstnance, dodavatele, konkurenci, různé kyberkriminální živly či vyšší moc.


Webové a portálové aplikace představují vstupní bránu k cenným datům organizace. Útočníci se pokoušejí prostřednictvím těchto aplikací o získání dat organizace. V současné době jsou aplikace vystaveny zvýšeným rizikům a velké množství útoků je vedeno skrze ně. Těžiště zranitelností se posunulo k aplikačním zranitelnostem, jako jsou dle projektu „Top 10 Web Application Vulnerabilities for 2007” organizace OWASP, zabývající se bezpečností webových aplikací, například: cross site scripting, injection flaws, malicious file execution, insecure direct object reference, cross site request forgery. Útočníci tvořivě využívají narůstající množství zranitelností, kombinují existující způsoby útoků a tvoří nové. Útočníci tvoří a využívají komunity, nástroje, zdroje, … To vše funguje na principu samoorganizace útočníků se svou vlastní samoorganizovanou ekonomikou, kterou řídí poptávka po prakticky využitelných cenných datech, jež umožní útočníkům realizovat finanční či jiný profit. Neviditelná ruka trhu řídí i kyberkriminální ekonomiku. Organizace však sami musejí řídit svou rukou svou bezpečnost.
Způsob, jak se s nastalou situací vypořádat, spočívá v kontinuální, systematické a systémové práci v oblasti řízení bezpečnosti, a to v průběhu celého životního cyklu aplikace. Výchozím předpokladem je stanovení bezpečnostní politiky, která stanoví potřebu organizace a nutnost řešit bezpečnostní problematiku při využívání moderních informačních a komunikačních technologií.
Řízení bezpečnosti aplikací musí začít již ve fázi stanovení požadavků na bezpečnost aplikace. Tyto požadavky lze odvodit z požadavků organizace na danou aplikaci. Pokud jsou bezpečnostní požadavky jasně stanoveny a definovány spolu s požadavky na funkčnost aplikace, lze je pak daleko snadněji naplňovat v dalších fázích životního cyklu aplikace.
Vývoj aplikací by měl zajistit naplnění bezpečnostních požadavků. Samotný vývojový proces musí zároveň probíhat bezpečným způsobem, aby bylo možno garantovat danou úroveň bezpečnosti aplikace. Měla by být používána metodika pro bezpečný vývoj a vývojáři by měli být školeni ve specifických otázkách bezpečnosti.
Testováním bezpečnosti aplikace lze získat ujištění, že během vývoje byly naplněny bezpečnostní požadavky. Dle úrovně požadavků na bezpečnost se testuje zdrojový kód, komponenty, či celá sestavená aplikace. Testování bezpečnosti je nezbytně nutné provést alespoň před uvedením aplikace do provozu. Dále by aplikace v provozu měly být testovány každý rok, aby bylo zajištěno, že neobsahují nové či dříve nezjištěné zranitelnosti.
Provoz aplikace je fází, ve které dochází k největšímu počtu incidentů. Aplikace je vystavena k používání a jsou skrze ni přístupna aktuální cenná data. Aplikace by měla mít stanovenu bezpečnostní politiku, která by měla být dodržována a případně auditována. Součástí bezpečného provozu je samozřejmě testování bezpečnosti aplikace. Testování pomocí různých skenerů zranitelnosti není dostatečné a často nestačí ani provést penetrační testování. Metodou, která poskytuje věrný obraz stavu bezpečnosti aplikace, je sofistikovaná prověrka vícevrstvých aplikací, která v sobě kombinuje prověrky a testy aplikace, systémů, vybraného zdrojového kódu a penetračního testování.
Nesmíme zapomínat ani na sociální inženýrství, při kterém se útočník pokouší využít a zmanipulovat nikoliv technologii, ale lidi, kteří s aplikací či jejími částmi přicházejí do styku. Velice vhodnou ochranou proti sociálnímu inženýrství jsou dobrá pravidla bezpečnosti pro všechny pracovníky, a zejména bezpečnostní školení s ukázkami, které zvýší obezřetnost pracovníků a jejich odolnost vůči útokům tohoto typu.
Během provozu aplikací samozřejmě může dojít k různým haváriím, z rozličných příčin. Nejlepší obranou je mít havarijní plán a havarovat tak bezpečně. Havarijní plán by měl využívat různé scénáře podle očekávaných typů havárií. Součástí havarijního plánu je pak plán obnovy, který slouží k obnově služeb poskytovaných aplikacemi na požadovanou úroveň. Vhodnou součástí je i plán komunikace, který má za účel včas a korektně informovat (než to za vás udělá někdo jiný méně korektně) své zákazníky, zaměstnance a partnery. Plán komunikace by měl zajistit včasné poskytnutí praktických informací všem zainteresovaným skupinám. V případech, ve kterých lze očekávat publicistický zájem, je vhodné mít připraven i PR plán pro komunikaci s médii.
Na bezpečnost aplikací a jimi zpracovávaných dat je třeba myslet i na konci jejich životního cyklu, kdy jsou vyřazeny z provozu a případně jsou pořizovány zálohy dat za účelem zajištění archivních dat. Součástí opatření je politika pro vyřazení aplikace, archivaci a likvidaci dat. Zde je třeba si uvědomit rozsah celého ekosystému IT infrastruktury, kterou aplikace používá ke svému provozu.
V současnosti nastupuje nový trend ochrany webových a portálových aplikací prostřednictvím technologie webových aplikačních firewallů (web application firewall, WAF). Webový aplikační firewall je technologie navržená speciálně pro ochranu webových aplikací před útoky, které dosud nezjištěné prochází přes ochrannou vrstvu tradičních firewallů či systémů pro detekci průniku. Významnou výhodou jejich nasazení je fakt, že nevyžadují žádné úpravy chráněných aplikací. Aplikační firewall se pouze předřadí aplikaci obdobně jako reverzní proxy a poskytuje tak další úroveň ochrany proti útokům směřujícím na webové aplikace. Lze tak efektivně zajistit ochranu proti širokému spektru nebezpečných útoků.
Vyspělé aplikační firewally však ve svém přínosu zacházejí mnohem dále a poskytují zajištění širokého spektra bezpečnostních, provozních a compliance požadavků v oblastech provozování webových a portálových aplikací a řízení jejich bezpečnosti. Některé aplikační firewally přidávají další přidanou hodnotu svému řešení, jako je například v oblasti sjednocení a rozšiřování možností autentizačních schémat stávajících aplikací použití jednoho přihlášení pro více aplikací. Vhodně zvolený aplikační firewall může výrazným způsobem snížit náklady na provozování bezpečnosti webových a portálových aplikací organizace. Z finančních důvodů bývá mnohdy obtížné zajistit široké spektrum činností a opatření nezbytných k zajištění bezpečnosti webových a portálových aplikací organizace. Vyspělý aplikační firewall, který naplňuje požadavky vyplývající z normy ISO 27001 používané pro řízení bezpečnosti, může být v mnoha oblastech významným přínosem pro bezpečné provozování webových a portálových aplikací organizace a nákladově efektivně zajistit vysokou míru ochrany.
Z ekonomického pohledu je budování a provozování bezpečnosti nákladem, který organizace musí nést pro zajištění bezpečnosti svých aktiv a svého provozu. Metodami řízení rizik lze určit priority, co a jak chránit a jakou míru pozornosti a nákladů věnovat jednotlivým oblastem bezpečnosti.
Je vždy nutné zvážit, jakým způsobem je konkrétní organizace závislá na tom, že používá webové a portálové aplikace. Dále jakým je vystavena rizikům a co by pro ni znamenal různě dlouhý výpadek aplikací z provozních či bezpečnostních důvodů a co by znamenal únik dat, která jsou organizací vlastněna nebo zpracovávána. Budování bezpečnosti je nejvíce nákladné v počátečních fázích. Čím časněji se s budováním informační bezpečnosti začne, tím jsou pak celkové náklady jejího provozování nižší.

Autor působí jako senior IT security consultant ve společnosti Cleverlance Enterprise Solutions.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Umělá inteligence už není pro české firmy tabu

IT Systems 5/2025V aktuálním vydání IT Systems je opět hlavním tématem umělá inteligence, která v českých firmách stále více nachází uplatnění. Potvrzují to i závěry reportu Digitalizace podniků, který vydala společnost Asseco Solutions. Jiří Hub, CEO Asseco Solutions, jej shrnul slovy, že české podniky se opřely do digitalizace a umělá inteligence už pro ně není tabu. Stále ovšem mají co objevovat, protože ze studie společnosti McKinsey vyplývá, že potenciál AI zatím využívá jen zlomek firem a její implementaci v Česku táhnou především sektory bankovnictví, pojišťovnictví a e-commerce.