Aplikacje internetowe i mobilne do testowania piórem za pomocą High-Tech Bridge


Po pięciu latach badań nad bezpieczeństwem aplikacji i uczeniem maszynowym, wspieranych ciągłą praktyką testowania bezpieczeństwa aplikacji, High-Tech Bridge opracował unikalną platformę testowania bezpieczeństwa aplikacji (AST) o nazwie ImmuniWeb®.

Ta wielokrotnie nagradzana platforma zapewnia firmom, rządom i organizacjom międzynarodowym w ponad 40 krajach dynamiczne, statyczne i interaktywne testy bezpieczeństwa aplikacji, ciągłe monitorowanie bezpieczeństwa i zgodność. ImmuniWeb jest częścią PwC TVM Framework, któremu zaufały światowe firmy w ponad 158 krajach.

Ilia Kolochenko, CEO High-Tech Bridge, jest zarówno ekspertem w dziedzinie cyberbezpieczeństwa i praktykiem, jak i początkującym prawnikiem, który zdobywa tytuł magistra prawa na Washington University w St Louis.

Tło firmy

Kolochenko opisuje postępy prowadzące do przełomu High-Tech Bridge w technologii AST. Podczas pierwszego założenia w 2007 r. Firma świadczyła niezależne usługi konsultingowe i audytowe w zakresie bezpieczeństwa cybernetycznego oraz zdobyła ogromne doświadczenie w usługach testowania piór, głównie dla szwajcarskich instytucji finansowych, organizacji międzynarodowych i firm luksusowych. Wyniki były znakomite. Jednak Kolochenko przyznaje, że bez budowania własnej technologii firma cyberbezpieczeństwa będzie albo rosła bardzo wolno, albo będzie musiała odsprzedawać produkty innych firm. Odsprzedaż jest śliska, ponieważ firmy często oferują nie najlepsze rozwiązanie dla klienta, ale najbardziej opłacalne pod względem wypłacanych prowizji.

W oparciu o niezachwiane motto firmy polegające na niezależnym konsultowaniu się z dostawcą, stanowcza odmowa „odsprzedaży” doprowadziła do wzniosłych dążeń do opracowania własnej unikalnej technologii we współpracy z partnerami technologicznymi w San Francisco w Londynie i pewną obecnością w Singapurze. Firma posiada akredytację CREST, co pozwala High-Tech Bridge na przeprowadzanie oceny bezpieczeństwa dla brytyjskich instytucji rządowych.

Stopniowo firma się rozwijała ImmuniWeb®, platforma do testowania bezpieczeństwa aplikacji który wykorzystuje technologię uczenia maszynowego do inteligentnej automatyzacji skanowania podatności aplikacji. Platforma pozwala każdemu w dowolnym miejscu na skonfigurowanie i rozpoczęcie testów bezpieczeństwa aplikacji za pomocą kilku kliknięć z komputera lub telefonu komórkowego. Według własnych słów, jej zalety łączą się:

  1. Hybrydowe testowanie zabezpieczeń - które koreluje i synchronizuje ręczne z automatycznym testowaniem w czasie rzeczywistym. Wykorzystując najsilniejsze cechy każdego z nich, stworzyliśmy technologię hybrydową, która skraca czas testowania, jednocześnie zwiększając niezawodność i ochronę przed lukami; i jest opłacalny dla klientów.
  1. Uczenie maszynowe, którego nie należy mylić przez sztuczną inteligencję, jest ogromnie dużym krokiem w kierunku ewolucji technologii AST. Automatyzacja, jaką znamy, zwykle powoduje obniżoną jakość. Podczas gdy inteligentna automatyzacja poprzez uczenie maszynowe nie obniża jakości, skraca ludzki czas potrzebny na zaawansowane testy i w konsekwencji obniża koszty..
  2. Oczywiście nigdy nie można całkowicie zastąpić ludzkiego umysłu, ponieważ niektóre zadania są bardzo trudne. Na przykład, kupując bilety lotnicze na stronie internetowej, możesz wybrać numer miejsca i pomimo biletu w klasie ekonomicznej, ale za pomocą prostych manipulacji żądaniami HTTP usiądź w klasie biznes. To wyraźnie brzmi jak błąd w logice aplikacji. Co jednak jeśli pasażer pierwszej klasy może usiąść w klasie biznes? Na takie pytania zwykle może odpowiedzieć tylko człowiek zaznajomiony z procesami biznesowymi klienta. Właśnie dlatego ImmuniWeb nie ma na celu zastąpienia testów na ludziach, ale raczej zmniejszenie i optymalizację zaangażowania ludzi, tam gdzie to możliwe.

Pozycjonujemy się jako firma naukowa, inwestująca w badania, ale co najważniejsze, nasza platforma jest przyjazna dla każdego, niezależnie od wiedzy technicznej.

Kto jest twoim typowym klientem?

Naszymi klientami są zarówno duże, jak i międzynarodowe firmy oraz MŚP, które używają naszej platformy do testowania i zabezpieczania swoich witryn e-commerce i aplikacji mobilnych. Nasze partnerstwa technologiczne z największymi firmami zajmującymi się zaporą aplikacji internetowych zapewniają naszym klientom natychmiastową i niezawodną funkcję łatania wirtualnych luk w zabezpieczeniach.

Gartner powiedział: „Aplikacje, a nie infrastruktura, stanowią główny atak wektorowy dla eksfiltracji danych”. Czy możesz to wyjaśnić?

Większość luk znajduje się po stronie aplikacji, głównie w aplikacjach internetowych i mobilnych. Bardzo niewiele firm decyduje się na budowę własnego serwera internetowego, VPN lub e-mail od zera, a obecnie bardzo niewiele. Większość luk w zabezpieczeniach twojego serwera e-mailowego została prawdopodobnie odnaleziona i załatana wiele lat temu, a pozostałe mogą zająć lata ze względu na ekstremalną złożoność. Podczas gdy przeważająca większość firm tworzy niestandardowe aplikacje internetowe i mobilne pełne ryzykownych luk w zabezpieczeniach, ich wykorzystanie jest często trywialne i może być łatwo wykonane nawet przez początkujących.

Jakie są najczęstsze rzeczy, których szukasz, testując aplikacje pod kątem bezpieczeństwa?

Istnieje wiele różnych podatności i ich odmian, więc trudno jest wskazać coś konkretnego. Można zajrzeć do klasyfikacji OWASP Top 10 pod kątem najczęstszych luk w zabezpieczeniach aplikacji internetowych. Duże firmy często popełniają proste błędy. Będąc odpornym na klasyczne luki w zabezpieczeniach, takie jak XSS, CSRF lub różne wstrzykiwania, zapominają o weryfikacji i zahartowaniu logiki aplikacji. Może to prowadzić do nieskończonego korzystania z kodów rabatowych, bezpłatnej dostawy towarów lub nawet nieuzasadnionego zwrotu kosztów. Niektóre luki są trudne do wykorzystania, ale również trudne do wykrycia. Zaskakujące jest to, że wiele dużych (i małych) firm używa domyślnych lub słabych haseł do kont administratora, co zagraża ich ogólnemu bezpieczeństwu.

Jakie są najczęstsze problemy z bezpieczeństwem występujące w aplikacjach internetowych i mobilnych?

10 najgorszych wad OWASP z pewnością będzie najliczniejszych, jednak najciekawsze dotyczą logiki aplikacji lub powiązanego wykorzystania kilku luk w zabezpieczeniach. Należy również pamiętać, że OWASP Top 10 może być trudny - prosty XSS można wykryć nawet za pomocą skanera open source. Jednak XSS oparty na DOM w aplikacji jednostronicowej, która wymaga prawidłowego wprowadzania danych przez człowieka (np. Istniejącego identyfikatora klienta i numeru konta bankowego) może być bardzo skomplikowany do wykrycia. W tym momencie do gry wkracza nasze hybrydowe podejście i technologia uczenia maszynowego.

Jakie zachęty dla programistów aplikacji do zabezpieczenia swoich aplikacji? A jakie przepisy je do tego zobowiązują?

Nie chodzi tylko o aplikacje, ale o ogólne zarządzanie cyberbezpieczeństwem. Obecnie istnieją cztery podstawowe, krytyczne zasady bezpieczeństwa, których powinny przestrzegać wszystkie firmy:

  • Musisz mieć kompletny i aktualny spis zasobów cyfrowych (w tym oprogramowania, sprzętu, danych, kont użytkowników i licencji). Jeśli go nie masz, żadne rozwiązania z zakresu cyberbezpieczeństwa nigdy nie pomogą, ponieważ napastnicy znajdą zapomniane urządzenie lub aplikację, złamią je i zaczną rozprzestrzeniać atak.
  • Musisz przeprowadzić kompleksową ocenę ryzyka, aby zidentyfikować i ocenić ryzyko, z którym możesz i prawdopodobnie będziesz się borykać. Strategia bezpieczeństwa cybernetycznego powinna być oparta na ryzyku i dostosowana do konkretnego ryzyka, zagrożeń i procesów wewnętrznych
  • Strategia bezpieczeństwa cybernetycznego powinna być jasno zdefiniowana i oparta na przemyślanych procesach i procedurach. Ludzie powinni jasno znać swoje obowiązki i obowiązki oraz mieć wystarczającą moc do podejmowania decyzji i zasobów w celu ich realizacji.
  • Po zakończeniu wdrożyć ciągłe monitorowanie bezpieczeństwa pod kątem nowych zagrożeń, zagrożeń i słabych punktów, a także skuteczność wprowadzonych kontroli bezpieczeństwa. Jest to bardzo duży temat, jednak upewnij się, że natychmiast wykrywasz wszelkie anomalie lub nietypowe zachowania, brakuje łat i przestarzałego oprogramowania oraz nowych urządzeń i aplikacji i reagujesz na nie.

W jaki sposób sztuczna inteligencja może być wykorzystana do zwiększenia bezpieczeństwa aplikacji mobilnych?

Myślę, że bardziej właściwe byłoby mówienie o uczeniu maszynowym i inteligentnej automatyzacji niż sztucznej inteligencji. Silna sztuczna inteligencja, która może zastąpić człowieka, nie istnieje i raczej nie pojawi się w ciągu najbliższych dziesięciu lat.

Wykorzystanie technologii uczenia maszynowego może znacznie skrócić czas ludzki, obniżyć koszty i zapewnić lepszą wartość dla klientów.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me