Вставай! Лучшие практики безопасности приложений, которые вы больше не можете игнорировать

Программа-вымогатель, утечка данных, несанкционированный доступ к базе данных — это, пожалуй, самые популярные словечки в современном деловом мире. Удивительно, как эти слова нашли место в деловой лексике, несмотря на их технический характер. Причина — неустанное освещение в СМИ всевозможных нарушений безопасности за последние пару лет. Одним из потрясающих аспектов, возникших в результате безумия, является то, что безопасность данных и систем становится все более серьезной. Лидеры бизнеса и их коллеги из ИТ понимают риски безопасности приложений и стремятся устранить всевозможные пробелы и недостатки в безопасности небезопасных приложений.

Если вы тоже хотите защитить все приложения, используемые на вашем предприятии, это руководство поможет вам с некоторыми проверенными временем и очень актуальными рекомендациями.

Инвентаризация безопасности приложений

Последнее десятилетие было масштабной перестройкой ИТ-приложений для большинства предприятий. От шлюзов обработки платежей до программного обеспечения для управления запасами, от облачного хранилища до инструментов управления проектами, от коммуникационных форумов до наборов для планирования ресурсов предприятия — список можно продолжать и продолжать. Точно так же, как список превосходных степеней, который вы можете привести для «Трансформеров 5», поскольку этот фильм был таким невероятным, но это другая тема.

Теперь, чтобы сделать экосистему приложений вашего предприятия полностью безопасной, вам необходимо провести полную инвентаризацию приложений, представленных на картинке. Будьте готовы к сюрпризам, потому что вы найдете приложения, о которых вы даже не подозревали!

Ни одна модель безопасности веб-приложений не может быть реализована без полного списка всех задействованных цифровых активов.

Необходимая минимальная информация — это количество приложений, последние обновленные версии, потребность в дальнейшем использовании, режимы развертывания, количество и характер уровней в приложениях, а также существующие методы безопасности, используемые для приложения. Это поможет вам понять, какой объем обновлений безопасности и исправлений необходимо выполнить.

Классифицировать приложения по критичности и характеру

Теперь, когда у вас есть список всех приложений, используемых на предприятии, вам немедленно нужно классифицировать их по таким ярлыкам, как «критические», «важные», «обычные», «едва используемые», «можно вывести из эксплуатации» и т. д., Это упражнение лучше всего выполнять параллельно с инвентаризацией безопасности приложений, потому что это займет много времени, если вам нужно вернуться к заинтересованным сторонам для уточнения вопросов.

• Фронтальные приложения (взаимодействующие с поставщиками и клиентами и хранящие конфиденциальную финансовую информацию) требуют немедленного и целенаправленного внимания с точки зрения безопасности.
• Важные приложения (которые являются неотъемлемой частью бэк-офисных операций и управления процессами) должны стать следующими в очереди на обновления безопасности.
• Обычные приложения из-за их повседневного использования обычно исправляются с точки зрения последних обновлений безопасности от поставщиков. Однако их необходимо перепроверить, как только вы закончите с более важными.
• У вас всегда будет список приложений, которые уже не поддерживаются поставщиками, будут выведены из эксплуатации или почти не используются несколькими конечными пользователями (и могут быть заменены существующими приложениями на предприятии). Как правило, разумно не тратиться на радикальные обновления безопасности этих приложений; вместо этого доработайте свои планы на закат.

На этом этапе у вас будет четкое представление о потенциальной угрозе ваших корпоративных приложений.

Рейтинги риска

Результаты, опубликованные в отчете Trustwave Global Security Report, показали, что среднее приложение может иметь до 20 уязвимостей. Что еще более важно, вы должны знать, что вашим главным приоритетом является устранение уязвимостей, которые могут фактически привести к нарушению безопасности.

Рассмотрите возможность использования модели оценки рисков, такой как методология оценки рисков (OWASP) Open Web Application Security Project (OWASP), чтобы понять агенты угроз, недостатки безопасности, векторы атак, влияние на бизнес и технические последствия. Вы также можете рассмотреть возможность реализации собственного метода оценки рисков.

Оценка жизненно важных приложений вашего предприятия поможет вам составить четкий план того, какое приложение нуждается в том или ином виде обновлений безопасности. Эти усилия очень помогут вам при консолидации требований и заключении контрактов с поставщиками технологий безопасности.

Если вы собираетесь использовать собственные ИТ-ресурсы для повышения безопасности приложений, пусть ваши разработчики сосредоточатся на критических уязвимостях (наиболее часто используемых киберпреступниками, на тех, которые сопряжены с максимальными бизнес-рисками, и на тех, которые вносят наибольший вклад). уязвимости корпоративных ИТ-угроз).

Двусторонний подход к безопасности

Вот статистика, которая поможет вам получить представление о проблемах устранения недостатков безопасности. В отчете «Статистика безопасности веб-приложений» показаны средние сроки устранения недостатков безопасности в приложениях. В среднем на устранение критической уязвимости безопасности уходит 146 дней. Это почти пять месяцев; это слишком большой риск, учитывая скорость, с которой распространяются кибератаки. Поэтому вам нужно работать над двусторонним подходом:

• Во-первых, начните работу над решением основной проблемы.
• Во-вторых, внедрите дополнительные уровни безопасности для временной изоляции приложения, что обеспечит защиту от потенциальных кибератак.

Например, брандмауэр веб-приложений (WAF) может помочь вам защитить приложения, пока ваши разработчики работают над устранением бреши в системе безопасности. В частности, для компаний с десятками приложений и отсутствием пропускной способности или опыта для управления всеми уязвимостями безопасности WAF предлагает быстрое исправление, которое дает компании время разобраться.

Еще одним краткосрочным обходным путем для защиты уязвимых приложений является введение ограничений, таких как автоматическое время ожидания сеанса и ограниченные учетные записи пользователей с ограниченным доступом к базе данных.

Автоматизированное тестирование на проникновение

Автоматизированное тестирование приложений существует уже несколько лет. Однако большинство угроз безопасности приложений носят логический характер и не могут быть обнаружены с помощью автоматических тестовых сценариев. Тестирование на проникновение фокусируется на этих логических рисках, подвергая точки интеграции приложения блицкригу тестовых сценариев, как это сделал бы хакер.

Сочетая возможности автоматизированного тестирования и тестирования на проникновение, приложения могут быть подвергнуты надежному набору тестов, которые могут выявить критические уязвимости. Со временем эта модель может полностью окупить усилия, затраченные на ее реализацию, поскольку она может управлять готовностью безопасности для множества приложений на вашем предприятии.

Заделайте пробелы

Безопасность корпоративных приложений — если не самая большая, то одна из самых важных забот ИТ-лидеров, точно так же, как Ниган — главная забота Рика в потрясающем сериале «Ходячие мертвецы», но не будем больше отвлекаться на это. Более того, рассмотренные выше методы, практики и рекомендации помогут вам организовать, расставить приоритеты и методично устранять бреши в безопасности корпоративных приложений.