Az alkalmazások biztonsága az utóbbi években került a figyelem középpontjába. Ez köszönhető részben a webes alkalmazások széleskörű elterjedésének, részben annak, hogy a 2010-es években már főleg a szoftverekben hagyott hibákból származik az a rés, amelyen a hackerek támadhatnak.
A 2010-es évek elejéig a biztonsági szakemberek a határvédelemre koncentráltak, a cégek rengeteget költöttek erre a fajta védelemre. A hackerek ezt felmérve az alkalmazások hibái felé fordultak, amelyek, a vállalati környezetekben is, főleg a programozók által hagyott hibákból adódnak, hiszen egyfelől a mai programok jóval komplexebbek, mint 10-20 évvel ezelőtt, másfelől a megrendelői oldal még nem ismerte fel, hogy számára – és ügyfelei számára – csak a fejlesztési folyamatba illesztett biztonsági ellenőrzés jelenthet valódi biztonságot.
„Az OWASP (Open Web Application Security Project) és a biztonsági cégek számára is kiemelten fontos, miszerint a megrendelők részéről szemléletváltásra van szükség ahhoz, hogy a vállalati és felhasználói adatok biztonságát valóban garantálják, a törvényhozói oldal pedig a szabályozással adós. A határvédelmi fókuszt felváltó új szemléletmódban a védelem vezéregyéniségeivé egyre inkább az alkalmazásbiztonsági szakértők válnak, akiknek az a dolguk, hogy a fejlesztés közben hacker szemével monitorozzák a tervezett és a készülő programokat” – mondta el Fekete Tibor, a Cloudbreaker társaság vezetője, a OWASP magyarországi tagozatának egyik alapítója. „A biztonságnak és az alkalmazásbiztonságnak is meg kell hogy változzon a struktúrája, a hatékonyabb, preventív elemek arányát növelni kellene az utólagos ellenőrzések jelenlegi szinten tartása mellett.”
Az elmúlt két évtized elsődleges kiber védelmi alapelve a “határvédelem” volt. Ebben a modellben a védett hálózat külső forgalmából szűrték ki a potenciális támadásokat. A belső hálózatban pedig zónákat hoztak létre, a külső zónában elhelyezve például a webszervereket, a belsőkben pedig az érzékeny adatokat és a szolgáltatásokat. A szakemberek ilyenkor abban bíztak, hogy a támadók fennakadnak a kerítéseken és az ellenőrzött kapukon. Ezzel párhuzamosan a 2000-es években végbement egy korszakváltás, amelynek köszönhetően a szoftveriparban megjelent és a semmiből a biztonsági büdzsék 20-30 százalékát hasította ki az azelőtt szinte teljesen hiányzó funkcionális tesztelés, ami már egy komoly lépést jelentett a biztonság felé.
Napjainkban egy újabb korszakváltásnak vagyunk tanúi: a határvédelemről és az utólagos tesztelésről – amilyen például az etikus hacking, és főleg a penetrációs tesztek – Nyugat-európában és az Egyesült Államokban a figyelem egyre inkább a preventív alkalmazásbiztonságra terelődik. Nem csoda, hiszen a fejlesztés folyamatába illesztett biztonsági ellenőrzés és szakértelem sokkal jobb hatékonyságot és valóságosabb biztonságot – nem csupán a hamis biztonságérzetet – jelent. Emellett a számos országban már létező adatvédelmi törvényi kötelezettségek miatt a preventív alkalmazásbiztonság az egyetlen út, ami valóban megvédheti a piaci szereplőket és ügyfélköreiket a betolakodóktól.
A fejlett országokban mára a biztonsági büdzsék húsz százalékát fordítják alkalmazásbiztonságra, legnagyobb részben etikus hackingre, de folyamatosan nő a preventív megelőzés részaránya is. Magyarországon ez az arány ma még nem éri el az öt százalékot, ami a hazai mintegy 25 milliárd forintos biztonsági piacot alapul véve körülbelül egymilliárd forintos ráfordítást jelent.
Ugyanakkor az alkalmazásbiztonsági piac minden jel szerint dinamikus növekedés előtt át, hiszen ma már a támadások 80 százaléka az alkalmazásokat, a szoftverekben hagyott réseket és nem a határvédelmet veszi célba. Ezeket a javításokat pedig a szokványos garanciális keretek között a fejlesztők nem szokták elvégezni, már csak azért sem, mert az utólagos tesztelésekre sokszor az általánosan szabott három hónapos garanciális határidőn túl kerül sor.
Az adatbiztonság növelését az OWASP hazai tagozatának alapítói, a Cloudbreaker szakértői szerint részben az eddig halogatott törvényi szabályozással, részben a megrendelői oldal szemléletváltásával lehetne elősegíteni. Míg a törvényi szabályozás egyelőre várat magára, a megrendelői oldalon kívánatos szemléletváltást részben az OWASP tevékenysége hivatott előmozdítani. Fekete Tibor szerint a megrendelői oldal és így a hazai internethasználók számára már két fontos lépés is jelentősen nagyobb biztonságot eredményezhetne. Annak kikötése, hogy az OWASP által folyamatosan frissített és publikált Top 10 hiba kiküszöbölése követelmény legyen a fejlesztéseknél.
Ezt szem előtt tartva hozta létre a Cloudbreaker SEQA (Security QA, Security Quality Assurance) nevű termékét, amely a megrendelői oldal számára létrehozott minőségbiztosítási eljárásrend. Amennyiben a megrendelői oldalon eszerint írják ki a beszerzéseket és kötnek szerződést a fejlesztőkkel, akkor biztosítják azt, hogy a biztonsági hibákat a beszállítók már a fejlesztés során – preventíven – folyamatosan kiküszöböljék, így elkerülve azt, hogy hiányosságokra csak az utólagos tesztelések során derüljön fény, ami a hibák egy jelentős részénél már túl késő, a javítás nem, vagy csak nagyon körülményesen és extra ráfordításokkal lesz lehetséges.
Röviden az OWASP-ról
Az Open Web Application Security Project, ahogy a neve is mutatja a webes technológiájú alkalmazások biztonságával foglalkozik. Webes alatt a böngészőből használható szoftvereket értjük. A szervezet küldetése az alkalmazások biztonságának “láthatóvá” tétele, hogy a szervezetek világszerte képesek legyenek jól informált döntéseket hozni a szoftverek jelentette kockázatok kapcsán. Azért dolgoznak, hogy ingyenesen elérhető módszerekkel, eszközökkel és technológiákkal segítsék a szakembereket a biztonságos szoftverek fejlesztésében, beszerzésében és üzemeltetésében. A szervezet bár támogatja a kereskedelmi biztonsági technológiák megfelelő ismereteken alapuló alkalmazását, teljes mértékben független a technológiai beszállítóktól. Hasonlóan a nyílt forrású szoftver projektekhez, az OWASP különféle anyagai közös, nyílt munka eredményeként jönnek létre. Az OWASP leginkább az időközönként frissített TOP 10-es listáról ismert, amely a webes alkalmazások ellen elkövetett tíz leggyakrabban használt támadási módszert mutatja be, javaslatokat adva a védekezéshez.