Please reload

מה חדש באורנסק

בריטניה: האקרים גרמו לחברות השקעות לשלוח להם 1.3£ מיליון

04/05/2020

1/10
Please reload

חדשות אבטחת מידע

אבטחת מידע באפליקציות

כיצד מפתחים אפליקציה מאובטחת - ? זה לא פשוט!

 


עובדה : רוב הפריצות נעשות היום ברמת האפליקציה

 

מהי אפליקציה מאובטחת?
אפליקציה עמידה בפני התקפות. ההתקפות השכיחות ביותר כמו SQL Injection כןו Injection Script מופיעות ברשימת 10 Top OWASP וידועות לשמצה כבר שנים לא מעטות . למרות זאת , אתרים רבים באינטרנט וגם אפליקציות שאינן אינטרנטיות חשופות להתקפות אלו משום היעדר היערכות מספקת ברמה האבטחתית.

 

הסיבה העיקרית לכך – פיתוח אפליקציה מאובטחת העמידה בפני התקפות אינו תוספת חד פעמית לקוד או הוספת כלי הגנה זה או אחר אלא מחייבת בניית מתודולוגי תי פיתוח מאובטח הדואגת לאתר וממזערת פוטנציאל לחולשות באפליקציה, החל מהיום הראשון ולכל אורך שלבי הפיתוח.

 

בניית מתודולוגית פיתוח מאובטח בארגון
ארגון המפתח תוכנה ורוצה שתוכנה זו תהיה מאובטחת , חייב ליישם מתודולוגיה של פיתוח מאובטח. מתודולוגיה כזו כוללת הדרכה מקיפה בנושאי פיתוח קוד מאובטח לכל המנהלים, המפתחים, הארכיטקטים, המעצבים, הטסטרים ומטמיעי התוכנה. לאחר ההדרכה יש לכלול Reviews Security – בקרות אבטחת מידע בכל שלבי הפיתוח – משלב הגדרת לבדיקות ועד security code reviews , threat modeling , security design reviews דרך הדרישות עמידות ובדיקות חדירה מקיפות.

 

 

Review Design Security - 

 

Security Code Review -  
בדיקת עמידות הקוד המפותח צריכה להיעשות באופן שוטף בשלבי הפיתוח השונים. הבדיקה תעשה ברוב המקרים על ידי כלי סריקה המזהה חולשות בקוד. כאשר עובדים בשיטת פיתוח Agile ,יש לבצע בדיקה כזו בכל ספרינט ולתקן מיד את הממצאים . יש להשתמש בכלי סריקה מתקדמים כגון Fortify HP ,AppScan IBM ,CheckMarx ודומיהם. באפליקציות גדולות קשה מאוד לבצע בדיקת קוד ידנית.

 

מבדקי חדירה (Penetration Tests) - 

בדיקת האפליקציה על ידי מומחים המתחזים לפורצים ומנסים לפרוץ את האפליקציה בכל דרך אפשרית. כל פרצה שמוצאים נכנסת למאגר הבאגים של האפליקציה ויש לתת לה עדיפות בהתאם לרמת החומרה שקבעו הבודקים , כמו לכל באג אחר.

 

PCI DSS - 

סטנדרט אבטחת מידע שנקבע על ידי חברות כרטיסי האשראי (Visa ,Mastercard ,American Express ועוד ). הסטנדרט מפורט ביותר ומכיל מעל 200 דרישות אבטחת מידע. הוא בא להגן על נתוני כרטיסי אשראי במערכות בהן מחזיקים נתונים כאלה ומשתמשים בהם לתשלום. מומלץ לאמץ את הסטנדרט בכל אפליקציה, גם במערכות שאינן מחויבות בו . עקב רב, מומלץ מאוד לנהל היבטי אבטחת מידע לתחום זה.

 

בחינת איומים - Modeling Threat
מתודולוגיה חשובה לניתוח איומים ונקודת חולשה בשלב מוקדם של הפיתוח

 

נתוני מחקרים הוכיחו כי העלות היחסית של תיקון באג באפליקציה, גבוה בערך פי 150 ביחס לתיקון באג בתחומים אחרים . במקרים רבים מאוד, תיקון הבאג לאחר השקתה של האפליקציה, עלול לגרום להשלכות נוספות, משום הצורך בהפרעה למהלך הפעילות, פגיעה עסקית או צורך בהשקעה כספית נוספת לצורך טיפול בבאג. מומלץ לבצע מספר שלבים מקדימים.


לאורנסק ניסיון רב בנושא זה ותוכל לסייע לארגונך ב:

  • ניתוח מבנה האפליקציה

  • ניתוח זרימת הנתונים

  • ניתוח ההגנות הקיימות

  • ניתוח איומים אפשריים ודרכי התגוננות

  • מתן פתרונות וחלופות לטיפול וליווי בהטמעה
     

ניתן לחדור לעומק האפליקציה – הרבה מעבר לנעשה במבחן חדירה. ניתן לשלב יחד עם מבחן חדירה בשלב מאוחר יותר.

 

האם ארגונך מודע לאיומים הנוגעים לאפליקציות הקריטיות שלו ? האם מבצעים בארגונך Modeling Threat?

אורנסק תשמח לסייע

 

Please reload

עקוב אחרי אורנסק
Please reload

חיפוש לפי נושא
  • Facebook Basic Square
  • LinkedIn Social Icon
  • White Facebook Icon
  • White LinkedIn Icon

כל הזכויות שמורות לאורנטק מערכות ניהוליות © 2019

'אורנסק אבטחת מידע והגנה בסייבר' מתמחה בכל קשת שירותי הייעוץ בתחומי אבטחת המידע. שירותי אורנסק מבוססים על שנות ניסיון רבות של גיבוש, הקמה וניהול תשתיות אבטחת מידע בקרב ארגונים מובילים בארץ ובחו"ל, ביניהם ממשלות וארגונים מענפי הרפואה, התקשורת, ההייטק, הבנקאות, הבטחון, התעשייה והמסחר. אורנסק הינה חלק מחברת 'אורנטק מערכות ניהוליות', ועושה שימוש בידע והניסיון שצברה אורנטק בתחום ניהול הפרויקטים ופיתוח תוכנה וכלים ממוחשבים ייחודיים.