Dreamstime
StoryEditor

Aplikácie vedia všetko o tom, čo a kedy robíme

16.12.2022, 00:00

Platba cez telefón? Tri kliky. Kontrola zabezpečenia firmy na displeji? Dva kliky. Prenos dát z idúceho auta do centrály? Pilierom je aplikačná bezpečnosť.

Údaje v „appkách“ sú tým najcennejším aj pre ich tvorcov a prevádzkovateľov, či už ide o prácu, alebo zábavu. 

Spracovanie informácií v aplikáciách, ich prenos a uchovávanie v systémoch prevádzkovateľa sa stáva jednou z najdôležitejších úloh bezpečnostného sektora.

Optikou konkurencie

Aplikácie sú neoddeliteľnou súčasťou komunikácie, riadenia, výroby aj služieb. Organizácie okrem používania štandardných biznis aplikácií majú často aj vlastný vývoj. „Údaje môžu urobiť zásadný rozdiel medzi výhrou a prehrou,“ hovorí Julian A. Garcia-Grajales, zodpovedný za výkon tímu Jaguar TCS Racing. Firemný tím používa päťdesiat aplikácií zabudovaných v pretekárskom aute, ktoré predstavujú štvrť milióna riadkov kódu.

Treba dobre začať

Aplikácie sa používajú na načítanie a analýzu aktuálnych údajov aj údajov z predchádzajúcich pretekov a testovacích jázd. Takže rozhodnutia, ako nastaviť stratégiu na okruhu a dosiahnuť čo najlepší výkon, sú plne založené na dátach. Bezpečnosť aplikácií a ich prevádzky v komplexnom prostredí sú pre tím Jaguaru životne dôležité.  Pri vývoji nových fun­kcií alebo optimalizácii aplikácií je kľúčové analyzovať už zdrojový kód, aby bol bezpečný. Tu sa využíva statická analýza. Softvérový nástroj Fortify kategorizuje a prio­ritizuje zistenia, aby ich vývojári mohli okamžite riešiť.

Čo všetko appky zvládnu

Samotná korporácia prevádzkuje cloudové prostredie, ktoré uľahčuje spoluprácu medzi všetkými pretekmi Jaguar tímu. Väčšina prístupu k aplikáciám je cez webové alebo aplikačné rozhrania a práve tu sa uplatňuje dynamické skenovanie. Táto funkcia zabezpečuje, aby bol kód robustný a zostal plne bezpečný. Súčasné statické a dynamické skenovanie identifikuje potenciálne zraniteľnosti v kóde aplikácie. Všetky zraniteľnosti sú tak vyriešené skôr, ako by mohli spôsobiť problémy v produkčnom prostredí. Pravidelné skenovanie kódu zas pomáha vývojárom dizajnovať lepšiu štruktúru a ochranu aplikačného rozhrania, čo vedie k vyššej kvalite aplikácií.

Jednoducho a intuitívne

Vývojári aplikácií a zadávatelia často vinili bezpečnostné požiadavky za to, že ich zdržujú a brzdia vo vývoji. Preto hľadajú jednoduchý a flexibilný spôsob, ako testovať aplikácie rýchlo, presne a bez toho, aby museli vyčleniť ďalšie zdroje alebo inštalovať a spravovať ďalšie riešenia. Riešenie Fortify On Demand umožňuje vývojárom využívať bezpečnostný softvér ako službu (Software-as-a-Service) a nevyžaduje zmenu nástrojov. Vplyv na prevádzku je iba minimálny.

Kde sú slabé stránky

Na rastúce hrozby reaguje komunita Open Web Application Security Project, ktorá ponúka voľne dostupné metodiky, dokumentáciu a nástroje pre bezpečnosť webových aplikácií. V minulom roku klasifikovala ako najväčšie riziko narušenie či prelomenie kontroly prístupu. Až 94 percent testovaných aplikácií malo v tejto oblasti slabé stránky. Následkami sú neoprávnené zverejnenia informácií, modifikácie či zničenie údajov alebo aktivity bez povolenia používateľa.

Niečo o silných stránkach

Prácou kybernetických zločincov je stále odhaľovať a vyhľadávať nové zraniteľnosti v softvéri. Čoraz častejšie to robia nástroje na báze umelej inteligencie. Ochrana aplikácií si vyžaduje rovnako sofistikované nástroje a ešte vyššiu rýchlosť. Súčasťou testov je preto aj kontinuálna analýza bezpečnostných rizík, ktoré vznikajú v čase.

Nástroje na testovanie bezpečnosti využívajú informácie priamo z monitorovania nových hrozieb. Bezpečnostný tím Fortify Software Security Research deteguje viac ako tisíc kategórií zraniteľnosti v dvadsiatich siedmich programovacích jazykoch a pokrýva viac ako jeden milión aplikačných rozhraní.

„Skrátene povedané, najlepší kód je bezpečný kód. Či už ide o aplikácie pre pretekárske tímy, logistické firmy, zdravotníctvo, finančné služby, alebo využitie v malých vývojárských firmách,“ uzatvára Anna Stehlíková.

image

Aby sme videli svetlo na konci tunela. A aby nešlo v protismere

image

Najzaujímavejšie otázky a odpovede, ak riešite kybernetický incident

menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
04. február 2023 21:22