Öryggi forrits samanborið við hugbúnaðaröryggi: Hver er munurinn?

Monika Chakraborty

Hugtökin „umsóknaröryggi“ og „hugbúnaðaröryggi“ eru oft notuð til skiptis. Hins vegar er í raun munur á þessu tvennu. Brautryðjandi í upplýsingaöryggi, Gary McGraw, heldur því fram að öryggi forrita sé viðbragðssöm nálgun, sem eigi sér stað þegar hugbúnaður hefur verið settur á vettvang. Öryggi hugbúnaðar felur hins vegar í sér fyrirbyggjandi nálgun sem á sér stað innan forvalsins.
Til að tryggja að hugbúnaður sé öruggur verður öryggi að vera innbyggt í öllum stigum líftíma hugbúnaðarþróunar (SDLC). Öryggi hugbúnaðar er því ekki öryggi forrita - það er miklu stærra.

Umsóknaröryggi sem hluti af öryggi hugbúnaðar

Eins og þú veist, eru forrit tengsl gagnanna og notandans (eða annars forrits).
Þegar notandi vill framkvæma flókna greiningu á læknisfræðilegum upplýsingum sjúklings, til dæmis, er hægt að framkvæma þær auðveldlega með forriti til að forðast flókna, tímafreka, handvirka útreikninga. Að sama skapi eru viðskipti með netbanka framkvæmd með vefbundnum forritum eða farsímaforritum og ógagnleg fjárhagsleg gögn eru unnin, send og geymd í þessu ferli.
Hugbúnaður kannast ekki við næmi eða trúnað gagnanna sem hann vinnur eða sendir á Netinu. Þannig þarf að hanna og þróa hugbúnað út frá næmi gagnanna sem hann vinnur. Ef gögn eru flokkuð sem „opinber“, þá er hægt að nálgast þau án þess að þurfa notandann að staðfesta. Eitt dæmi eru upplýsingar sem finnast á tengiliðasíðu vefsíðu eða stefnusíðu vefsíðu. Hins vegar, ef hugbúnaðurinn framkvæmir notendastjórnun, er búist við að fjöldi þátta auðkenningaraðferð sé til staðar til að fá aðgang að þessum upplýsingum. Byggt á flokkun gagna sem eru í vinnslu af forritinu, ætti að hanna viðeigandi staðfesting, heimild og vernd gagna í geymslu eða flutningi fyrir forritið auk þess að framkvæma örugga kóðun.
Til að vernda hugbúnaðinn og skyld viðkvæm gögn, skal mæla á hverjum áfanga SDLC. Þessi mæling skiptir í stórum dráttum málum í þróun og stigi þróunar. Aftur, hugbúnaðaröryggi fjallar um for-dreifingarmál og öryggi forrita sér um vandamál eftir uppsetningu.

Starfsemi hugbúnaðaröryggis (fyrir dreifing) felur í sér:

- Örugg hugbúnaðargerð
 - Þróun á öruggum kóðunarleiðbeiningum sem verktaki geta fylgst með
 - Þróun á öruggum stillingum og stöðlum fyrir dreifingarstigið
 - Örugg kóðun sem fylgir settum leiðbeiningum
 - Staðfesting á inntak notenda og framkvæmd viðeigandi kóðunarstefnu
 - Auðkenning notanda
 - Stjórnun notendatíma
 - Aðgangsstýring aðgerðarstigs
 - Notkun sterkrar dulmáls til að tryggja gögn í hvíld og í flutningi
 - Mat á íhlutum þriðja aðila
 - Handtaka allra galla í hönnun / arkitektúr hugbúnaðar

Aðgerðir öryggis forrita (eftir dreifingu) fela í sér:

- Öryggispróf eftir sendingu
 - Handtaka galla í stillingum hugbúnaðarumhverfis
 - Greining á skaðlegum kóða (útfærð af framkvæmdaraðila til að búa til afturdyr, tímasprengju)
 - Bætur / uppfærsla
 - IP síun
 - Læstu stjórnendur
 - Eftirlit með forritum í afturkreistingum til að framfylgja stefnu um notkun hugbúnaðar

Skoðaðu starfsemi Building Security In Maturity Model (BSIMM) til að fá frekari leiðbeiningar.

Atburðarás # 1: Öryggi vefforrita
 
Vefforrit eru oftast forrit sem byggir á viðskiptavini og þar sem vafrinn starfar sem viðskiptavinur, sendir beiðnir og fær svör frá netþjóninum til að kynna upplýsingarnar fyrir notandanum. Þess vegna varða öryggi vefforritanna um málefni viðskiptavinarins, verndun netþjóna og verndun gagna í hvíld og í flutningi.
Erfiðara er að laga mál viðskiptavinarhliða nema varúðar sé gætt við hönnun notendaviðmótsins. Eitt dæmi er DOM-undirstaða forskriftir yfir vefsvæði þar sem gildi DOM mótmæla er stillt frá öðrum DOM hlut sem hægt er að breyta með Javascript. Nútíma vafrar eru verndari fyrir forrit en mörg forrit styðja samt afturvirkni til að innihalda fjölbreyttari notendur, eldri útgáfur af vöfrum og óöruggar tölvur viðskiptavina. Þess vegna þurfa íhlutir viðskiptavinar að innleiða öryggi í hönnunarstiginu þegar þessi mál eru skoðuð.
Hægt er að vernda hluti netþjóna með því að innleiða mótvægisaðgerðir á hönnunar- og kóðunarstigum þróunar forrita. Þetta krefst þess að öruggur kerfis- / netþjónshugbúnaður sé settur upp. Úreltur netþjónn eins og Apache Tomcat (3.1 og fyrri) er ekki lengur studdur opinberlega og það geta verið ótilkynntar varnarleysi fyrir þessar útgáfur. Þessar ætti strax að uppfæra í nýjustu útgáfuna.

Aðrar algengar varnarleysi við innviði eru:

- Munnur borði borði
 - Skyndiminni af síðum er heimilt að geyma gögn á staðnum og í flutningi
 - Veikar dulritsvítur með stuðningi netþjónsins
 - Innri netföng birtast af vafrakökum
 - Öryggi kex

Atburðarás # 2: Öryggi farsímaforrita

Farsímakerfi eins og snjallsímar og spjaldtölvur sem nota fjölbreytt stýrikerfi og öryggishönnun eru algengari en vefforrit þessa dagana. Þessi tæki og forritin sem keyra á þessum tækjum geta skapað gríðarlega áhættu fyrir viðkvæm gögn sem þau geyma. Tölvupóstur fyrirtækja og persónulegir tengiliðir geta verið óvarðir netkerfum. Þessi forrit hafa einnig samskipti við margar stoðþjónustur. Hægt er að stela tækjum. Hægt er að setja upp malware. Hægt er að snúa farsímaforritum til að fá aðgang að viðkvæmum fyrirtækjagögnum. Þetta eru aðeins nokkrar af möguleikunum. Að auki geta sum markaðsforrit sem keyra í farsímum safnað persónulegum eða fagmannlega viðkvæmum upplýsingum, svo sem textaskilaboðum, sögu símtala og tengiliðum.

Áhættuþættir í hugbúnaði sem byggir á farsíma eru ma:

- Forritunarkóðun
 - Dreifing umsókna
 - Stillingar forrita
 - Stillingar tækja

Hreyfanleg forrit ættu að vera hönnuð með innbyggðum getu Root / Jailbreak uppgötvun, átt við mótstöðu gegn öfugri verkfræði, margháttað staðfesting sem notar rödd, fingraför, mynd og landfræðilega staðsetningu. Svo ekki sé minnst á að þeir ættu að fylgja öruggum leiðbeiningum um erfðaskrá.
Forritaverslanir fyrir mismunandi framleiðendur farsíma nota mismunandi öryggisskoðunarferla. Það er mikilvægt að gæta þess að forrit skemmist ekki meðan á dreifingarferlinu stendur. Viðnám gegn bút er sérstaklega mikilvægt á þessu stigi.
Tæki sem þessi forrit keyra nota hugbúnað eigin kerfa og þau geta verið stillt á óöruggan hátt. Tækjasamsetningar sem tengjast verndun forritskóða, uppgötvun rótar / malware, auðkenningu og staðfestingu rásar ætti að framkvæma í samræmi við stillingarstaðla fyrir farsíma. Það er ekki aðeins forritið sem er mikilvægt að hafa í huga hér; einnig þarf að hanna farsímahugbúnaðinn með tilliti til allra þessara möguleika og stilla hann á öruggan hátt.
Framkvæmd öryggisráðstafana í farsímaforritum er erfiðari miðað við vefforrit. Nauðsynlegt er að gera ráðstafanir eins og niðurdregningu kóða og greina átt við (til að forðast fals á kóða) í farsímaforritum en í vefforritum.

Tegundir prófa forrita

Prófun er ætluð til að greina galla við útfærslu, galla á hönnun og byggingarlist og óöruggar stillingar. Hér eru nokkrar árangursríkar tegundir prófunar á öryggi forrita:

  1. Static Application Security Testing (SAST) leggur áherslu á kóðann.
  2. Dynamic Application Security Testing (DAST) leggur áherslu á að greina veikleika sem eru til staðar í forritinu og innviði.
  3. Interactive Application Security Testing (IAST) notar samsetningu bæði DAST og SAST og framkvæmir hegðunargreiningar til að greina gagnaflæði, inntak / úttak osfrv.
  4. Runtime Application Self Protection (RASP) gerir forritum kleift að vernda sig með því að nota öryggisaðgerðir vélarinnar í að keyra tíma, svo sem lokun fundar, lokun forrita, tilkynning um bilun osfrv.

Sem sagt, það er mikilvægt að hafa í huga að öryggi forrita er aðeins eitt af mörgum lénum í hugbúnaðaröryggi.

Hugbúnaðaráhætta felur í sér:

- Vefur / ekki vefforrit / innviðir
 - Óörugg hönnun
 - Misstillingar
 - Takmarkanir á tækni
 - Sending dulkóðun
 - Öryggi gagnagrunns

Eins og sést í þessum tveimur sviðsmyndum sem kynntar eru hér að ofan, eru prófanir á forritum á vettvangi eftir notkun á vefnum og farsímaforritum mismunandi á margan hátt. Farsímaforritum er hættara við fals en vefforrit. Að auki er öryggi vélbúnaðar farsíma stór þáttur í öryggi farsímaumsókna.

Hvar passar netöryggi inn í þetta allt?

Það er algengur misskilningur varðandi öryggi hugbúnaðar að jaðaraðgerðir, svo sem eldveggir, séu nógu góðar til að takmarka framkvæmd forrits eða meðhöndlun gagna með sérstökum forritum. Fyrirtæki eyða miklu til að koma í framkvæmd mótmælaaðgerðum við netöryggi (svo sem beinar sem geta komið í veg fyrir að IP-tala einstakrar tölvu sé beint sýnileg á Netinu).

Aðrar algengar mótvægisaðgerðir eru:

- Hefðbundnar eldveggir
 - Dulkóðunar / afkóðunarforrit
 - Vírusforrit
 - Spyware uppgötvun / flutningur forrit
 - Líffræðileg tölfræðileg auðkenningarkerfi
 - Gagnagreining og tól til að koma í veg fyrir tap

Skýrslutilkynning 2015 um Regin sýnir aðeins 9,4% af árásum á vefforrit á milli ólíkra atvika. Hugbúnaðaröryggisverkefni stofnunar (SSI) ætti að líta út fyrir öryggi forrita og taka heildræna nálgun - með lykkju í öllum tegundum hugbúnaðar.

[tweetthis remove_hidden_hashtags = “true”] # Appsec og #Swsec eru oft notuð til skiptis. Hins vegar er mikill munur. Hér er ástæðan: [/ kvak þetta]

Öryggi forrits samanborið við hugbúnaðaröryggi: draga það saman

Að hanna og umrita forrit á öruggan hátt er ekki eina leiðin til að tryggja forrit. Stilla þarf innviði sem forrit er í ásamt netþjónum og nethlutum á öruggan hátt. Til að forrit verði eins öruggt og mögulegt er, ætti að taka tillit til notkunar og stillingar netþjóns, dulkóðun sendinga, geymslu auðkenningarskilríkja og aðgangsstýringar í gagnagrunninn þar sem skilríki og dulkóðunarlyklar eru geymdir.
Bæði þarf að verja hugbúnað og innviði sem hugbúnaður er í til að viðhalda hámarks stigi hugbúnaðaröryggis. Þetta felur í sér bæði hugbúnaðaröryggi (í hönnunar-, kóðunar- og prófunarstigum) og öryggi forrita (prófun eftir dreifingu, eftirlit, plástur, uppfærsla osfrv.). Hugbúnaðaröryggi felur í sér heildræna nálgun hjá stofnun til að bæta upplýsingaöryggisstöðu sína, vernda eignir og framfylgja friðhelgi upplýsinga sem ekki eru opinberar; umsóknaröryggi er aðeins eitt lén í öllu ferlinu.

Öryggi forrita er aðeins fyrsta skrefið í öryggisleið hugbúnaðarins. Læra meira.