Організації можуть побудувати надійну безпеку вебзастосунків через постійні, комплексні та автоматизовані сканування їхніх attack surfaces.
Вебзастосунки та application programming interfaces (APIs) відіграють ключову роль у модернізації надання послуг і комунікації між громадянами та державними установами. Проте, за даними щорічного дослідження Verizon стосовно витоків даних, вебзастосунки стали основною точкою атаки для зловмисних хакерів.
Для організацій державного сектора, які модернізувалися за допомогою вебзастосунків, стає критично важливо перейти від періодичних або одноразових оглядів вразливостей. Це зроблено до впровадження автоматизованих програм безпеки застосунків, для посилення захисту від дедалі більших кіберінцидентів.
Державні організації стикаються з унікальними викликами, які відрізняють їх від приватного сектора. Довговічні застарілі системи з вебінтерфейсами та APIs різної давнини створюють перешкоди для своєчасного оновлення та покращення безпеки. На відміну від комерційних секторів, які можуть досить швидко впроваджувати технологічні вдосконалення, державні установи часто відстають через свою залежність від старих застосунків або систем. Проте, установи можуть почати вирішувати нові загрози, прагнучи до глибшого розуміння сценарію атак та набуваючи доступні інструменти, необхідні для подолання цих викликів.
“Потрібне комплексне розуміння будь-яких можливих сценаріїв атак; необхідно зрозуміти, хто має доступ до цих застосунків, їхню природу та рівень чутливості, а також відповідно коригувати рішення. Проблема збільшується при роботі з застарілими системами, які протидіють легким змінам або швидким оновленням”– каже Франк Катуччі, CTO Invicti.
“У певних випадках, останні версії програмного забезпечення можуть бути непридатними через наявність старіших компонентів або речей, які є критичними для інфраструктури або бізнес-функцій, які не можуть бути порушені. Тому в таких випадках ретельне тестування стає обов’язковим. І необхідно зрозуміти, без зайвого шуму, де знаходяться реальні ризики,” – додає Катуччі. Визначення всіх потенційних вразливостей є критично важливим, оскільки все більше і більше застосунків стають вебзастосунками та набувають вразливості.
Синхронізація безпеки з розробкою
Оскільки APIs слугують шлюзами до цінних даних, вони перетворилися на значні поверхні для атаки. Розробники дедалі більше покладаються на APIs у своїх застосунках, тому потреба в рішеннях, які ефективно ідентифікують вразливості в APIs, стала критичною.
“Поставки сучасних додатків відбуваються набагато швидше і частіше, що означає, що ми не випускаємо програмне забезпечення раз на квартал або раз на рік, як це було з нашими застарілими застосунками. Ми випускаємо їх кілька разів на день для більш сучасних типів застосунків і APIs. Тому ми маємо розглянути це з іншої перспективи”,- пояснює Катуччi.
“Сучасні застосунки мають інший поріг, що означає, що зміни відбуваються кілька разів на день у швидкому темпі. Ми не можемо чекати на сканування в певний момент часу. Щоб пристосуватися до цього швидкого темпу змін, потрібно змінити перспективу та інтегрувати практики безпеки у DevOps процеси”,- додає він.
Середня вартість витоку даних у 2023 році становила $4.45 мільйона. Для того, щоб уникнути цих потенційних витрат, періодичне сканування вебзастосунків і APIs є недостатнім. Сучасна розробка вебзастосунків потребує стратегії, яка збалансовує швидкість, точність і збільшену частоту тестування.
Software development cycle (SDLC)
Впровадження рішень (software development cycle (SDLC)), які інтегруються в цикл програмного забезпечення, покриває всебічне покриття для застосунків у розробці та виробництві, надаючи точні результати та зменшуючи обсяг ручної роботи. Прикладами таких рішень є dynamic application security testing (DAST), interactive application security testing (IAST) або software composition analysis (SCA).
Ці рішення для тестування не є одноразовими зусиллями. Як тільки код змінюється або еволюціонує, можуть з’явитися нові вразливості, а старі — повторюватися, що робить регулярне та автоматизоване тестування необхідністю. Згідно з AppSec Indicator від Invicti, “Сканування постійно зростає з року в рік з 2019 року. За останні чотири роки частота сканування на один обліковий запис зросла на 50%, що свідчить про тенденцію компаній до більш частого сканування внутрішніх та зовнішніх вебзастосунків і APIs у міру розширення тестування безпеки вліво (на етапі розробки) та вправо (у виробництві).”
Крім того, звіт показав, що при збільшенні частоти сканування спостерігалося зниження відсотка серйозних вразливостей. Він зменшився майже на 20% у 2022 році. Дані вказують на те, що виділення ресурсів для покращення програм безпеки застосунків, що включають сканування або тестування на різних етапах SDLC, приносить позитивні результати.
Підвищення частоти сканування призвело до зменшення кількості сканувань, які виявляють критичні вразливості, згідно з доповіддю. Відповідно, це знижує ризик витоку даних для організацій. І оскільки темпи розробки програмного забезпечення прискорюються, ініціативи щодо безпеки застосунків повинні прийняти подвійний підхід — розширювати заходи безпеки як на ранніх, так і на пізніх етапах циклу розробки, щоб зменшити потенційні витоки даних.
Зменшення “больових точок”
Коли AppSec інженери оснащені сучасними рішеннями, вони можуть проводити сканування та ділитися своїми результатами з DevOps командою. При цьому інженери не залучаються безпосередньо в інтенсивні завдання перевірки та усунення цих вразливостей. Цінність цих знахідок полягає у їх здатності визначити, чи достатньо швидкого і стандартного рішення, або ж необхідна більш тривала фаза розслідування та спілкування, яка може тривати тижнями або навіть місяцями.
Інтеграція цього процесу у DevOps workflow дозволяє заощаджувати кошти, виявляючи проблеми безпеки на найраніших етапах. Такий проактивний підхід запобігає потенційно дорогій необхідності визначення, впровадження та повторного тестування виправлень на пізніших етапах проєкту.
Переваги масштабованих інструментів тестування безпеки
DAST – це метод тестування, що не залежить від технологій і не вимагає доступу до вихідного коду. Він є особливо важливим для забезпечення безпеки вебсередовищ, які охоплюють як застарілі, так і сучасні застосунки. Це цінно для урядових організацій, де життєві цикли застосунків, як правило, тривають довше, ніж у комерційних контекстах. Крім того, системи та процеси можуть бути настільки ізольовані, що важко навіть почати розмову про стандартне рішення для безпеки.
Включення тестування з оцінкою proof-based у конвеєр розробки дозволяє організаціям з часом покращувати безпеку, виявляючи вразливості до того, як вони вплинуть на продукцію. Згідно з дослідженням Invicti, prоof-based сканування може підтвердити 94% основних вразливостей, які можна визначити з точністю 99,98%. Prооf-based сканування усуває невизначеність, показуючи, які проблеми є реальними та можна визначити без хибних спрацювань. Це усуває необхідність здогадок і ручної роботи, дозволяючи перейти до безпеки вебзастосунків на будь-якому масштабі.
Крім того, організації повинні розглянути рішення, які пропонують гнучкі варіанти розгортання в різноманітних середовищах. Наприклад, може бути на Windows або Linux системах. Іншим екземпляром є контейнерне розгортання з використанням таких інструментів, як Docker і Kubernetes або програмне забезпечення як послуга (SaaS) у хмарі. Останнім слугують гібридні конфігурації. Це дозволяє командам з обмеженим часом інтегрувати безпеку у свої наявні середовища та робочі процеси, забезпечуючи ефективне, постійне тестування та централізовану видимість.
Об’єднання традиційної та хмарної безпеки
Інший розвиток, який починає спостерігатися, – це об’єднання між традиційною безпекою застосунків та хмарною безпекою. Багато установ переходять на хмарні та контейнерні середовища. Таким чином вони планують отримати переваги масштабованої пропускної здатності на вимогу порівняно з традиційними локальними мережами.
Це призвело до експоненціальної міграції (exponential migration)та розробки вебдодатків, які легше підтримувати в таких середовищах. Відповідно, забезпечення їхньої безпеки вимагає тестування безпеки вебзастосунків і APIs у препродакшн та продакшн у середовищах.
Вирішення цього розширеного ландшафту потребує цілісного підходу, який охоплює людей та процеси. “AppSec не є новим, хмарна безпека не обов’язково нова; керівники повинні зрозуміти їх об’єднання. Не можна більше дозволяти цим двом ізольованим групам працювати окремо,”– каже Катуччі.
Він пояснює, що адаптація практик безпеки для гнучкої, хмаро-центричної сучасної розробки застосунки включає інтеграцію безпеки протягом усього процесу, прийняття принципів zero trust та забезпечення того, щоб люди та процеси були невіддільними компонентами комплексного шляху безпеки.
Стратегії побудови успішної програми AppSec
Забезпечення безпеки робочих навантажень застосунків вимагає оркестрації, автоматизації та управління, які можуть бути надані лише сучасними рішеннями для тестування безпеки вебзастосунків. Щоб прискорити ці зусилля, Катуччі рекомендує:
- Співпрацювати з відомими комерційними постачальниками рішень з кібербезпеки для роботи зі зрілими рішеннями з безпеки та забезпечення підтримки постачальників для гладкої реалізації, інтеграції та кастомізації.
- Прийняти підхід DevSecOps з автоматизованим тестуванням безпеки та розглянути рішення для тестування, такі як Invicti, для ефективного захисту численних вебсайтів, застосунків та APIs.
- Розуміти поверхні атаки шляхом мапування хмарних даних, компонентів з відкритим вихідним кодом та онлайн-ресурсів, включаючи ведення специфікації програмного забезпечення, для виявлення потенційних вразливостей та точок доступу до них.
- Регулярно оновлювати, тестувати та підтримувати план реагування на інциденти, щоб виявляти та усувати прогалини, забезпечуючи кіберстійкість у різних потенційних сценаріях, при цьому впроваджуючи комплексну політику резервного копіювання даних та тестування відновлення для ефективного зменшення ризику втрати даних.
- Виховувати культуру, де кожен співробітник і підрядник визнає свою роль як першої лінії захисту, надаючи пріоритет підвищенню обізнаності з кібербезпеки та освіті як невіддільній частині повсякденних операцій агентства.
