Mengapa Keamanan Aplikasi Web Mengamankan aplikasi web perusahaan adalah aspek yang paling diabaikan saat ini untuk mengamankan perusahaan. Peretasan sedang meningkat dengan sebanyak 75% dari serangan cyber dilakukan melalui web dan melalui aplikasi web.
Sebagian besar perusahaan telah mengamankan data mereka di tingkat jaringan, tetapi mengabaikan langkah penting memeriksa apakah aplikasi web mereka rentan terhadap serangan.
Aplikasi web meningkatkan masalah keamanan tertentu. 1. Untuk memberikan layanan (dimaksudkan oleh desain) kepada pelanggan, aplikasi web harus online dan tersedia 24x7x365 2. Ini berarti bahwa mereka selalu tersedia untuk umum dan tidak dapat membedakan antara pengguna yang sah dan peretas 3. Agar berfungsi dengan baik, aplikasi web harus memiliki akses langsung akses ke database backend yang berisi informasi sensitif. 4. Sebagian besar aplikasi web dibuat khusus dan jarang melewati pemeriksaan jaminan kualitas yang ketat untuk aplikasi di luar rak 5. Melalui kurangnya kesadaran akan sifat serangan hack, organisasi melihat lapisan aplikasi web sebagai bagian dari jaringan lapisan ketika datang ke masalah keamanan.
The Jeffrey Rubin Story Dalam review tahun 2005 yang diterbitkan oleh Information Week, seorang pakar keamanan terkemuka bernama Jeffrey Rubin, menceritakan pengalamannya dengan serangan hack yang sukses. Berikut ini adalah kutipan dari artikelnya (referensi lengkap diberikan pada akhir artikel ini):
"Kami seperti kebanyakan pengembang Web yang menggunakan platform Microsoft ... Meskipun kami mencoba untuk tetap up to date dengan tambalan dan paket layanan, kami menyadari penyerang sering mengejar aplikasi, daripada jaringan, kerentanan. Seorang kolega menyarankan agar kami memasang firewall perangkat keras untuk mencegah serangan di masa depan.Bukan saran yang buruk, tetapi hampir tidak menyembuhkan semua mengingat bahwa kita memiliki Port 21, 80 dan 443 dan server SQL kita (pada port yang tidak standar) terbuka lebar untuk keperluan pengembangan. dalam bisnis mengembangkan halaman Web dinamis, dan klien kami ada di seluruh negeri ".
Kisah Jeff sangat mengejutkan karena (a) pengembang, seperti semua, juga rentan terhadap kesalahan terlepas dari semua tindakan pencegahan yang mereka ambil untuk membersihkan aplikasi yang dikembangkan mereka dan (b) sebagai ahli ia masih terbuai dalam rasa aman yang salah dengan menerapkan tambalan dan paket layanan terbaru. Kisah Jeff, sayangnya, tidak unik dan muncul dari kesalahpahaman infrastruktur keamanan suatu organisasi dan solusi yang tersedia untuk membantu orang dalam perjuangan mereka untuk melindungi data mereka.
Karena banyak organisasi tidak memantau aktivitas online di tingkat aplikasi web, peretas bebas berkuasa dan bahkan dengan lubang loop terkecil dalam kode aplikasi web perusahaan, peretas berpengalaman dapat memecah hanya menggunakan browser web dan dosis kreativitas dan penentuan. Keamanan yang kendur juga berarti bahwa percobaan serangan akan tidak diperhatikan karena perusahaan hanya bereaksi terhadap peretasan yang berhasil. Ini berarti bahwa perusahaan akan memperbaiki situasi setelah kerusakan terjadi. Akhirnya, sebagian besar serangan peretasan ditemukan beberapa bulan setelah pelanggaran awal hanya karena penyerang tidak mau dan tidak akan meninggalkan uji coba audit.
Administrator sistem, CTO dan pelaku bisnis sama-sama menganggap intrusi cyber sebagai intrusi fisik standar: pencuri di rumah Anda meninggalkan spidol, misalnya, jendela yang rusak atau kunci paksa. Dalam serangan aplikasi web, bukti fisik ini tidak ada.
Infrastruktur Keamanan suatu Organisasi Lebih mudah untuk memikirkan infrastruktur suatu organisasi sebagai satu dengan berbagai lapisan. Dengan cara yang sama Anda akan melindungi dari karat dengan mengaplikasikan berbagai cat, bahan kimia dan anti-oksidan berlapis-lapis, seorang administrator sistem menempatkan beberapa solusi keamanan khusus yang masing-masing menangani area masalah tertentu.
Lapisan keamanan ini mewakili pandangan holistik yang memandang keamanan sebagai tindakan keras yang diambil untuk meminimalkan risiko intrusi dan memaksimalkan perlindungan di sekitar aset utama organisasi mana pun, datanya.
Lapisan keamanan standar meliputi:
Lapisan Pengguna yang berisi perangkat lunak termasuk firewall pribadi, kit anti-root, pembersih registri, cadangan, anti-virus, anti-phishing, dan anti-mata-mata / adware
Lapisan Transport termasuk enkripsi SSL, HTTPS dan protokol serupa
Lapisan Akses dengan kontrol akses, otentikasi, kriptografi, firewall, VPN, Aplikasi Web Firewall
Lapisan Jaringan dengan firewall, pemindai jaringan, VPN, dan deteksi intrusi.
Lapisan Kelima adalah lapisan Aplikasi dan harus menyertakan web siote dan pemindaian kerentanan web. Analisis kode sumber cocok di sini Pemindai Kerentanan Web bukan Pemindai Jaringan Pemindai kerentanan web (misalnya, Acunetix WVS, Spi Dynamics WebInspect) bukan pemindai jaringan (misalnya, Qualys, Nessus).
Sementara pemindai keamanan jaringan menganalisis keamanan aset pada jaringan untuk kemungkinan kerentanan, Pemindai Kerentanan Web (WVS) memindai dan menganalisis aplikasi web (mis., Keranjang belanja, formulir, halaman masuk, konten dinamis) untuk setiap celah yang dihasilkan dari pengkodean yang tidak benar yang mungkin dimanipulasi oleh peretas.
Misalnya, dimungkinkan untuk mengelabui formulir login untuk meyakini bahwa Anda memiliki hak administrasi dengan menyuntikkan perintah SQL (bahasa yang dimengerti oleh basis data) yang dibuat khusus. Ini hanya mungkin jika input (mis., Nama pengguna dan / atau kata sandi bidang) tidak dibersihkan dengan benar (yaitu, dibuat kebal) dan dikirim langsung dengan query SQL ke database. Ini SQL Injection!
Pertahanan keamanan jaringan tidak memberikan perlindungan terhadap serangan technicaltalk.net web semacam itu karena serangan ini diluncurkan pada port 80 (default untuk situs web) yang harus tetap terbuka untuk memungkinkan operasi bisnis yang teratur.
Yang diperlukan adalah pemindai aplikasi web / pemindai kerentanan web atau alat pengujian kotak hitam.
Pengujian kotak hitam Pengujian kotak hitam hanyalah metodologi desain uji .. Dalam pengujian aplikasi kotak hitam web, aplikasi web itu sendiri diperlakukan secara keseluruhan tanpa menganalisis logika dan struktur internal. Biasanya, pemindai aplikasi web akan melihat apakah aplikasi web secara keseluruhan dapat dimanipulasi untuk mendapatkan akses ke database. Teknologi modern memungkinkan otomatisasi tingkat besar, sehingga mengurangi input manual yang diperlukan dalam pengujian aplikasi web.
Penting untuk mengatakan mengurangi dan tidak meminimalkan atau menghilangkan. Seperti yang dikatakan oleh konsultan keamanan mana pun, otomatisasi tidak akan pernah menggantikan kecerdasan dan kreativitas intervensi manusia.
Secara umum, pemindai otomatis pertama merayapi seluruh situs web, menganalisis secara mendalam setiap file yang akan mereka temukan dan menampilkan seluruh struktur situs web. Setelah tahap penemuan ini, pemindai melakukan audit otomatis untuk kerentanan dengan meluncurkan serangkaian serangan peretasan, yang pada dasarnya meniru seorang peretas. Pemindai akan menganalisis setiap halaman untuk tempat-tempat di mana data dapat dimasukkan dan selanjutnya akan mencoba semua kombinasi input yang berbeda. Pemindai akan memeriksa kerentanan pada server web (pada port terbuka), semua aplikasi web dan dalam konten situs web itu sendiri. Produk yang lebih kuat meluncurkan serangan seperti itu secara cerdas menggunakan berbagai tingkat heuristik.
Pemindaian Web Heuristik Penting untuk dipahami bahwa pemindaian kerentanan web tidak boleh terbatas pada pemindaian aplikasi yang diketahui (mis. Kereta belanja tidak tersedia) dan / atau kerentanan modul (mis. Injeksi SQL dalam Formulir Login phpBB) terhadap perpustakaan yang ditentukan sebelumnya masalah yang diketahui. Jika ingin melakukannya, aplikasi khusus akan tetap tidak teruji karena kerentanannya. Ini adalah kelemahan utama dari produk yang didasarkan pada tanda tangan kerentanan yang cocok.
Pertimbangkan perangkat lunak anti-virus sebagai contoh. Produk antivirus standar memindai ribuan virus yang dikenal termasuk virus lama dan dikenal (bahkan yang dibuat untuk sistem Windows 95 lama). Di hari ini dan usia Anda jarang akan menemukan OS ini tetapi dalam benak konsumen apa yang paling penting adalah "berapa banyak virus yang dideteksi perangkat lunak ini?". Pada kenyataannya, memiliki AV terbaru akan memberi Anda perlindungan untuk semua kecuali virus yang bekerja di alam liar. Dan virus-virus inilah yang menciptakan kerusakan terbesar. Produk AV standar tanpa teknologi yang tepat tidak akan mendeteksi virus di alam liar jika ini hanya cocok dengan virus "dikenal". Teknologi antivirus yang baik akan memungkinkan pemeriksaan file heuristik atau cara cerdas mencoba mengidentifikasi pola perilaku aplikasi yang dapat mengakibatkan virus.
Pemindaian kerentanan web berfungsi dengan cara yang sangat mirip. Akan sia-sia mendeteksi kerentanan yang diketahui dari aplikasi yang dikenal saja. Tingkat heuristik yang signifikan terlibat dalam mendeteksi kerentanan karena peretas sangat kreatif dan meluncurkan serangan mereka terhadap aplikasi web yang dipesan lebih dahulu untuk menciptakan dampak maksimum.
Tentu saja, pendekatan semacam itu memang memberikan hasil positif palsu, tetapi bahkan di sini pun terdapat kesalahpahaman dan kebingungan. Positif palsu disebabkan karena pemindaian otomatis akan menandai masalah yang tampaknya rentan. Otomasi adalah bantuan yang tak ternilai dan akurasi pemindaian tergantung pada (a) seberapa baik situs Anda dirayapi untuk membangun strukturnya dan berbagai komponen dan tautan, dan (b) pada kemampuan pemindai untuk memanfaatkan secara cerdas berbagai metode peretasan dan teknik terhadap aplikasi web.
Pemindaian otomatis akan menghasilkan false positive. Tentu saja, tingkat kompleksitas teknologi ini tidak mengarah pada nol positif palsu. Itu tidak mungkin. Pemindaian otomatis akan selalu menghasilkan positif palsu produk mana pun yang Anda gunakan.
Kami selalu merekomendasikan pemindaian otomatis untuk dilengkapi dengan pemindaian manual - ini mungkin salah satu poin yang ditekankan oleh semua pakar keamanan. Sayangnya, perusahaan tidak mengakui pentingnya input manual. Jika Anda ingin aplikasi web Anda aman, Anda harus menghabiskan banyak waktu untuk memeriksa sisi otomatis dari berbagai hal. Ini bukan untuk mengatakan bahwa otomatisasi tidak akurat - sebaliknya, itu sangat akurat dan telah mengurangi banyak pekerjaan. Pemindaian otomatis akan membantu Anda menandai kemungkinan masalah termasuk positif palsu dan meminta penyelidikan manual lebih lanjut.
Dalam keamanan aplikasi web, lebih baik memiliki false positive daripada tidak sama sekali.
Jumat, 29 Mei 2020
