Pen-Testing Web και Mobile Apps με High-Tech Bridge

Μετά από πέντε χρόνια έρευνας για την ασφάλεια εφαρμογών και την εκμάθηση μηχανών, υποστηριζόμενη από μια συνεχή πρακτική δοκιμών ασφάλειας εφαρμογών, η High-Tech Bridge ανέπτυξε μια μοναδική πλατφόρμα δοκιμών ασφάλειας εφαρμογών (AST) που ονομάζεται ImmuniWeb®.

Αυτή η βραβευμένη πλατφόρμα παρέχει σε εταιρείες, κυβερνήσεις και πολυεθνικούς οργανισμούς, σε περισσότερες από 40 χώρες, δυναμικό, στατικό και διαδραστικό έλεγχο ασφάλειας εφαρμογών, συνεχή παρακολούθηση ασφαλείας και συμμόρφωση. Το ImmuniWeb είναι μέρος του PwC TVM Framework, εμπιστευμένο από παγκόσμιες εταιρείες σε περισσότερες από 158 χώρες.

Η Ηλία Κολοτσένκο, Διευθύνων Σύμβουλος της High-Tech Bridge, είναι ταυτόχρονα εμπειρογνώμονας στον τομέα της ασφάλειας στον κυβερνοχώρο και επαγγελματίας, καθώς και αρχάριος νομικός που επιδιώκει το μεταπτυχιακό δίπλωμα στο Πανεπιστήμιο της Ουάσινγκτον στο Σαιντ Λούις.

Εταιρικό υπόβαθρο

Ο Κολοτσένκο περιγράφει την πρόοδο που οδηγεί στην εξέλιξη της High-Tech Bridge στην τεχνολογία AST. Κατά την αρχική ίδρυσή της το 2007, η εταιρεία παρείχε ανεξάρτητες συμβουλευτικές και ελεγκτικές υπηρεσίες στον τομέα του κυβερνοχώρου και απέκτησε μεγάλη πείρα στις υπηρεσίες δοκιμών στυλό, κυρίως για ελβετικά χρηματοπιστωτικά ιδρύματα, διεθνείς οργανισμούς και εταιρείες πολυτελείας. Τα αποτελέσματα ήταν εξαιρετικά. Ωστόσο, ο Kolochenko παραδέχεται ότι χωρίς να κατασκευάζει τη δική του τεχνολογία, μια εταιρεία ασφάλειας στον κυβερνοχώρο θα αναπτυχθεί πολύ αργά ή θα πρέπει να μεταπωλήσει προϊόντα τρίτων. Η μεταπώληση είναι μια ολισθηρή πλαγιά, επειδή συχνά οι εταιρείες δεν προσφέρουν την καλύτερη λύση για τον πελάτη, αλλά οι πιο κερδοφόρες όσον αφορά τις προμήθειες που πληρώνονται.

Με βάση το ακλόνητο σύνθημα της εταιρίας για ανεξάρτητη διαβούλευση, η άρνηση της "μεταπώλησης" οδήγησε στην υψηλή φιλοδοξία ανάπτυξης της μοναδικής τεχνολογίας της εταιρείας σε συνεργασία με τεχνολογικές συνεργασίες στο Σαν Φρανσίσκο του Λονδίνου και κάποια παρουσία στη Σιγκαπούρη. Η εταιρεία είναι διαπιστευμένη από το CREST, επιτρέποντας στη High-Tech Bridge να διεξάγει αξιολόγηση ασφάλειας για κυβερνητικές οντότητες του Ηνωμένου Βασιλείου.

Σταδιακά, η εταιρεία αναπτύχθηκε ImmuniWeb®, πλατφόρμα δοκιμών ασφαλείας εφαρμογών που αξιοποιεί την τεχνολογία εκμάθησης μηχανών για έξυπνη αυτοματοποίηση της σάρωσης ευπάθειας εφαρμογής. Η πλατφόρμα επιτρέπει σε οποιονδήποτε σε οποιαδήποτε τοποθεσία να ρυθμίσει και να ξεκινήσει τη δοκιμή ασφάλειας εφαρμογών με μερικά κλικ από έναν υπολογιστή ή ένα κινητό τηλέφωνο. Με τα λόγια του Ηλία, τα πλεονεκτήματά του συνδυάζονται:

  1. Μια προσέγγιση ελέγχου της υβριδικής ασφάλειας - η οποία συσχετίζει και συγχρονίζει το εγχειρίδιο με αυτοματοποιημένες δοκιμές σε πραγματικό χρόνο. Χρησιμοποιώντας τα ισχυρότερα χαρακτηριστικά του καθενός, δημιουργήσαμε μια υβριδική τεχνολογία που μειώνει τον χρόνο δοκιμών, αυξάνοντας ταυτόχρονα την αξιοπιστία και την ευπάθεια. και είναι οικονομικά αποδοτικό για τους πελάτες.
  1. Η εκμάθηση μηχανών, που δεν πρέπει να συγχέεται με τη διαφημιστική εκστρατεία της AI, αποτελεί ένα τεράστιο βήμα προς την εξέλιξη της τεχνολογίας AST. Η αυτοματοποίηση, όπως την γνωρίζουμε, συνήθως αποδίδει χαλαρή ποιότητα. Ενώ η έξυπνη αυτοματοποίηση μέσω της μηχανικής μάθησης δεν μειώνει την ποιότητα, μειώνει τον ανθρώπινο χρόνο που απαιτείται για προηγμένες δοκιμές και συνεπώς μειώνει το κόστος..
  2. Φυσικά, κανείς δεν μπορεί ποτέ να αντικαταστήσει πλήρως το ανθρώπινο μυαλό, καθώς ορισμένα καθήκοντα είναι πολύ δύσκολα. Για παράδειγμα, όταν αγοράζετε εισιτήρια πτήσης σε έναν ιστότοπο, μπορείτε να επιλέξετε τον αριθμό της θέσης σας και παρά το εισιτήριο της οικονομικής θέσης σας, αλλά με κάποιους απλούς χειρισμούς των αιτήσεων HTTP, να καθίσετε στην επιχειρηματική τάξη. Αυτό φαίνεται σαφώς σαν ένα ελάττωμα στη λογική εφαρμογής. Ωστόσο, τι γίνεται αν ένας επιβάτης πρώτης τάξης μπορεί να καθίσει στην επιχειρηματική τάξη; Αυτές οι ερωτήσεις συνήθως απαντώνται μόνο από έναν άνθρωπο εξοικειωμένο με τις επιχειρηματικές διαδικασίες του πελάτη. Αυτός είναι ο λόγος για τον οποίο το ImmuniWeb δεν αποσκοπεί στην αντικατάσταση του ανθρώπινου ελέγχου, αλλά στη μείωση και βελτιστοποίηση της ανθρώπινης συμμετοχής, όπου αυτό είναι δυνατό.

Θέτουμε τον εαυτό μας ως επιστημονική εταιρεία, επενδύοντας στην έρευνα, αλλά με κριτικό πνεύμα, η πλατφόρμα μας είναι φιλική προς το χρήστη για οποιονδήποτε, με ή χωρίς τεχνικές γνώσεις.

Ποιος είναι ο τυπικός πελάτης σας?

Οι πελάτες μας περιλαμβάνουν τόσο μεγάλες όσο και πολυεθνικές εταιρείες και ΜΜΕ που χρησιμοποιούν την πλατφόρμα μας για τη δοκιμή και την ασφάλεια των ιστότοπων ηλεκτρονικού εμπορίου τους και των εφαρμογών για κινητά. Οι συνεργασίες τεχνολογίας μας με τις μεγαλύτερες εταιρίες Firewall για εφαρμογές Web παρέχουν στους πελάτες μας άμεση και αξιόπιστη εγκατάσταση εικονικής ευπάθειας.

Ο Gartner δήλωσε ότι "Οι εφαρμογές, όχι η υποδομή, αντιπροσωπεύουν την κύρια επίθεση φορέα για την απομάκρυνση δεδομένων." Μπορείτε να εξηγήσετε?

Τα περισσότερα τρωτά σημεία βρίσκονται στην πλευρά της εφαρμογής, κυρίως σε εφαρμογές ιστού και κινητής τηλεφωνίας. Πολύ λίγες εταιρείες αποφασίζουν να δημιουργήσουν το δικό τους ιστό, το VPN ή το διακομιστή ηλεκτρονικού ταχυδρομείου από την αρχή και πολύ λίγες σήμερα υπάρχουν. Τα περισσότερα από τα τρωτά σημεία του διακομιστή ηλεκτρονικού ταχυδρομείου σας πιθανόν βρέθηκαν και έχουν διορθωθεί πριν από μερικά χρόνια, ενώ τα υπόλοιπα μπορεί να διαρκέσουν χρόνια για να εντοπιστούν λόγω ακραίας πολυπλοκότητας. Ενώ η συντριπτική πλειοψηφία των εταιρειών κατασκευάζει προσαρμοσμένες εφαρμογές ιστού και κινητής τηλεφωνίας γεμάτες επικίνδυνες ευπάθειες, η εκμετάλλευσή τους είναι συχνά ασήμαντη και μπορεί εύκολα να γίνει ακόμα και από αρχάριους.

Ποια είναι τα πιο συνηθισμένα πράγματα που αναζητάτε, όταν δοκιμάζετε εφαρμογές για ασφάλεια?

Υπάρχουν πολλά διαφορετικά τρωτά σημεία και οι παραλλαγές τους, επομένως είναι δύσκολο να επισημανθεί κάτι ιδιαίτερα. Κάποιος μπορεί να κοιτάξει στην ταξινόμηση OWASP Top 10 για τις πιο συχνές ευπάθειες στο web εφαρμογών. Οι μεγάλες εταιρείες συχνά κάνουν απλά λάθη. Ανυπομονώντας σε κλασσικές ευπάθειες όπως XSS, CSRF ή διάφορες ενέσεις, ξεχνούν να ελέγξουν και να σκληρύνουν τη λογική εφαρμογής. Αυτό μπορεί να οδηγήσει σε άπειρη χρήση των κωδικών έκπτωσης, δωρεάν παράδοση αγαθών ή ακόμη και αδικαιολόγητες επιστροφές. Ορισμένα τρωτά σημεία είναι δύσκολο να αξιοποιηθούν, αλλά είναι επίσης δύσκολο να εντοπιστούν. Παραδόξως, πολλές μεγάλες (και μικρές) εταιρείες χρησιμοποιούν προκαθορισμένους ή αδύναμους κωδικούς πρόσβασης για τους λογαριασμούς διαχειριστή, θέτοντας σε κίνδυνο τη συνολική τους ασφάλεια.

Ποια είναι τα πιο συνηθισμένα ζητήματα ασφάλειας που αντιμετωπίζετε με εφαρμογές ιστού και κινητής τηλεφωνίας?

Τα OWASP Top 10 ελαττώματα θα είναι σίγουρα τα πιο πολυάριθμα, ωστόσο τα πιο ενδιαφέροντα βρίσκονται στη λογική εφαρμογής ή στην αλυσιδωτή εκμετάλλευση πολλών τρωτών σημείων. Θα πρέπει επίσης να έχουμε κατά νου ότι το OWASP Top 10 μπορεί να είναι δύσκολο - ένα απλό XSS μπορεί να ανιχνευθεί ακόμη και με έναν σαρωτή ανοιχτού κώδικα. Ωστόσο, ένα XSS βασισμένο στο DOM σε μία εφαρμογή μιας σελίδας που απαιτεί έγκυρη ανθρώπινη καταχώρηση (π.χ. υφιστάμενο αναγνωριστικό πελάτη και αριθμός τραπεζικού λογαριασμού) μπορεί να είναι πολύ περίπλοκο για την ανίχνευση. Αυτό είναι όπου η υβριδική προσέγγισή μας και η τεχνολογία μηχανικής μάθησης μπαίνουν στο παιχνίδι.

Ποια κίνητρα υπάρχουν για τους προγραμματιστές εφαρμογών για να εξασφαλίσουν τις εφαρμογές τους; Και ποιοι κανονισμοί τους δεσμεύουν να το πράξουν?

Δεν πρόκειται μόνο για εφαρμογές, αλλά για συνολική διαχείριση του κυβερνοχώρου. Σήμερα, υπάρχουν τέσσερις βασικές, κρίσιμες αρχές ασφάλειας που όλες οι εταιρείες πρέπει να τηρούν:

  • Πρέπει να έχετε ένα πλήρες και ενημερωμένο απόθεμα των ψηφιακών σας στοιχείων (συμπεριλαμβανομένου του λογισμικού, του υλικού, των δεδομένων, των λογαριασμών χρηστών και των αδειών χρήσης). Εάν δεν το έχετε, δεν θα βοηθήσουν ποτέ λύσεις για την ασφάλεια του κυβερνοχώρου, επειδή οι επιτιθέμενοι θα βρουν μια ξεχασμένη συσκευή ή εφαρμογή, θα την παραβιάσουν και θα αρχίσουν να διαδίδουν την επίθεση.
  • Πρέπει να διεξάγετε μια περιεκτική εκτίμηση κινδύνου για να εντοπίσετε και να αξιολογήσετε τους κινδύνους που ενδέχεται και πιθανόν θα αντιμετωπίσετε. Η στρατηγική για την ασφάλεια στον κυβερνοχώρο πρέπει να βασίζεται στον κίνδυνο και να υιοθετείται για τους ιδιαίτερους κινδύνους, τις απειλές και τις εσωτερικές διαδικασίες σας
  • Η στρατηγική για την ασφάλεια στον κυβερνοχώρο θα πρέπει να ορίζεται σαφώς και να βασίζεται σε καλά οργανωμένες διαδικασίες και διαδικασίες. Οι άνθρωποι πρέπει να γνωρίζουν σαφώς τα καθήκοντα και τις ευθύνες τους και να διαθέτουν επαρκή εξουσία για τη λήψη αποφάσεων και πόρων για την εφαρμογή τους.
  • Μόλις ολοκληρωθεί, εφαρμόστε συνεχή παρακολούθηση ασφαλείας για νέους κινδύνους, απειλές και τρωτά σημεία, καθώς και την αποτελεσματικότητα των εγκεκριμένων ελέγχων ασφαλείας. Είναι ένα πολύ μεγάλο θέμα, αλλά βεβαιωθείτε ότι ανιχνεύετε και αντιδράτε άμεσα σε τυχόν ανωμαλίες ή ασυνήθιστες συμπεριφορές, λείπουν οι ενημερώσεις κώδικα και το παρωχημένο λογισμικό και νέες συσκευές και εφαρμογές.

Πώς μπορεί να χρησιμοποιηθεί το AI για να σφίξει την ασφάλεια των κινητών εφαρμογών?

Νομίζω ότι θα ήταν πιο ενδεδειγμένο να μιλάμε για μηχανική μάθηση και έξυπνη αυτοματοποίηση παρά για AI. Ισχυρό AI, ικανό να αντικαταστήσει έναν άνθρωπο, δεν υπάρχει και είναι απίθανο να εμφανιστεί μέσα στα επόμενα δέκα χρόνια.

Η μόχλευση των τεχνολογιών εκμάθησης μηχανών μπορεί να μειώσει σημαντικά τον ανθρώπινο χρόνο, να μειώσει το κόστος και να προσφέρει καλύτερη αξία στους πελάτες.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me