Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.02.2020

Serwery Enterprise

OVHCloud stawia na Ryzeny
20.02.2020

Monitory dla biznesu

Newline IP
20.02.2020

Przemysłowe SSD

Dyski Transcend M.2 NVMe
23.01.2020

Google Project Zero

Inicjatywa Google Project Zero
23.01.2020

Ochrona tylko w chmurze

Kaspersky Security Cloud Free
23.01.2020

Eksport SI pod lupą

Export Control Reform Act
23.01.2020

Orkiestracja na medal

Bug bounty dla Kubernetes
23.01.2020

Długie pożegnanie

Chrome na Windows 7
23.01.2020

Dell XPS 13

Dell zaprezentował najnowszą odsłonę laptopa będącego jednym z najczęstszych wyborów...

Ochrona aplikacji na poziomie warstw

Data publikacji: 04-07-2019 Autor: Sebastian Kuniszewski

Stworzenie solidnej strategii obrony aplikacji wymaga zrozumienia sposobu ich działania, obszarów podatności na ataki, wskazania poziomu ryzyka dla każdej z aplikacji oraz przyjęcia całościowego podejścia do kwestii zabezpieczenia w oparciu o zebraną wiedzę dotyczącą luk, typów zagrożeń i poziomu ryzyka.

 

Aplikacje są podstawą niemal każdego biznesu. Instalowane na urządzeniach lub dostępne z chmury pozwalają m.in. organizować pracę i rozwijać firmę, zachować konkurencyjność, analizować dane, komunikować się i budować relacje z klientami. Aplikacje są też celem przestępców i furtką, przez którą mogą wyciec dane, narażając bezpieczeństwo użytkowników i reputację firmy.

Aplikacje dostarczane są z i do różnych miejsc, takich jak centra danych, prywatne chmury, chmury publiczne, kontenery, platformy SaaS… Niezbędne jest więc zintegrowane podejście do ochrony infrastruktury, oprogramowania i danych. Dzięki analizie pojawiających się zagrożeń, wykorzystywaniu i udostępnianiu informacji o podatnościach oraz dostosowaniu rozwiązań zabezpieczających do rzeczywistych potrzeb można stworzyć kompleksowy system bezpieczeństwa.

Zrozumienie kontekstu działania aplikacji i miejsc, w których mogą być one narażone na atak, to ważny punkt wyjściowy. Analizując stan firmowego ekosystemu IT, należy przyjrzeć się: sieci, w której udostępniana jest/działa aplikacja; danym, które użytkownik przesyła do  aplikacji; serwerowi DNS, który przetwarza adresy IP potrzebne do uzyskania dostępu do aplikacji; serwerom internetowym w przypadku, gdy są używane przez aplikacje, oraz powiązanym interfejsom API wykorzystywanym przez inne aplikacje. Taka kontrola infrastruktury przyda się zarówno wtedy, gdy aplikacja będzie głównym celem ataku, jak i w sytuacji gdy będzie ona elementem użytym do przeprowadzania ataków na większą skalę (przykładem są botnety IoT). W udostępnionym przez firmę F5 raporcie pt. „Application Security in the Changing Risk Landscape”, zrealizowanym na podstawie badań Ponemon Institute, zebrano i przejrzyście usystematyzowano najpopularniejsze typy ataków, na które narażone są aplikacje.

ATAKI TYPU INJECTION NA USŁUGI APLIKACJI

Pozwalają atakującemu na wstrzyknięcie bezpośrednio do działającej aplikacji poleceń lub nowego kodu w określonym celu. Luki w zabezpieczeniach związane z podatnością na tego typu ataki są obecne w każdej aplikacji, mogą co najwyżej być jeszcze nierozpoznane (wg informacji WhiteHat Security stanowią one około 20% wszystkich wykrywanych luk). Z uwagi na to należy w firmie nadać odpowiednio wysoki priorytet diagnostyce i wdrażaniu poprawek dla używanych aplikacji oraz blokować możliwość wykorzystania tego typu luk.

ATAKI W ZAKRESIE DESERIALIZACJI

Serializacja to proces, podczas którego aplikacja konwertuje dane na format odpowiedni do ich przesyłu. Deserializacja jest procesem odwrotnej konwersji. Serializacja i deserializacja są z reguły używane do przesyłania obiektów przez sieć lub poza aplikację oraz do przechowywania obiektów w pliku lub bazie danych. Serializacja zatem służy do pobierania obiektu i umieszczania go w strumieniu bajtów lub dokumencie XML, natomiast deserializacja zamienia strumień bajtów lub dokument XML na obiekty. Ataki tego typu są coraz bardziej powszechne, ponieważ aplikacje stają się połączonymi w sieci klastrami, złożonymi z podsystemów wymagających do działania strumieni komunikacyjnych z danymi. Atakujący osadzają polecenia w strumieniu danych i przekazują je w postaci niefiltrowanej prosto do jądra silników aplikacji. Działania aplikacji powinny być więc monitorowane, a wszystkie dane wprowadzane przez użytkownika filtrowane.

 

[...] 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"