הגנה Cyber? תכנות בטוח הוא הבסיס לכל דבר

(של אלסנדרו רוגלו)
04 / 09 / 17

כשמדובר הגנה סייבר אנחנו תמיד חושבים על האקרים רעים ועל אלה שמצד שני של הגדר נלחמים בהם. עם זאת הכל מתחיל הרבה יותר מוקדם.
בפרט, עבור היבטי תוכנה הכל מתחיל כאשר תוכנית מתוכננת ומיושמת.

תכנון לקוי, חוסר ידע בתחום התכנות המאובטחת, חוסר יעילות בבדיקות ובקרות איכות, נמצאים בשורש הבעיות העומדות בפנינו מדי יום ביומו. הסייברספייס. עם זאת, ישנם סטנדרטים להפקת יישומים מאובטחים: פתח את יישום האבטחה של יישום האינטרנט, בקיצור OWASP, הוא תקן לייצור של יישומי אינטרנט מאובטח ואם ניקח בחשבון כי עכשיו כמעט כל היישומים הם אינטרנט ...

OWASP הוא גם ארגון גלובלי שמטרתו לשפר את אבטחת התוכנה. התיעוד שהופק על ידי הארגון משוחרר ברישיון Creative Commons ייחוס שיתוף זהה.

קרן OWASP הייתה מקוונת מאז ה- 1 בדצמבר 2001 והיא מוכרת כארגון רווח אינו אמריקאי מ 21 אפריל של 2004. הקרן ומשתפי הפעולה שלה לדבוק הכלל הבסיסי של לא קשור עם כל התעשייה הטכנולוגית כדי לשמור על חוסר משוא פנים ואמינות שלם.

באופן טבעי יש ל- OWASP מייסד: מארק קורפי, שגדל באנגליה. בשנת 2000 קורפי, לאחר קבלת תואר שני ב אבטחת מידע, התמחות בקריפטוגרפיה, עוזב את אנגליה עבור ארצות הברית, שם הוא מתחיל לעבוד עבור סיסטמס, ולאחר מכן רכשה IBM. זה היה באותן שנים כי נתן חיים OWASP.
לאחר כמה חוויות בתחום האבטחה, ב- 2014, הוא ייסד SourceClear משרדיה הראשיים ממוקמים בסן פרנסיסקו וממשיכים לשתף פעולה בהפצת OWASP.

אבל למה OWASP כל כך חשוב?

Owasp חשוב כי זה עכשיו תקן עולמי לפיתוח תוכנה מאובטחת, אבל לא רק, חשוב כי יש אלפי מומחי אבטחה IT אשר משתפים פעולה מדי יום על פרויקטים OWASP, חשוב כי זה אוסף של שיטות עבודה מומלצות כי הם עשו זמין בחינם, חשוב כי בין הפרויקטים רבים יש גם את האקדמיה של OWASP אשר נועד להפיץ ידע על פיתוח של תוכנה מאובטחת.

OWASP הוא תקן הלכה למעשה, שאומצה על ידי מפתחים בודדים, אלא גם על ידי יצרני תוכנה גדולים. למעשה זהו תקן, אין צורך לומר כי אימוצו על ידי ארגון הופך לחלק בלתי נפרד של המבנה של הגנה סייבר של הארגון עצמו, זה בגלל הגנה סייבר זה לא רק מה שאנחנו רואים בסרטים, אשר אנו יכולים לכנות "טקטיקות" אבל גם מה שאנחנו לא רואים אבל זה חלק מהקשר, של "אסטרטגיה".
ארגון המייצר תוכנה, וכן ארגון שהתהליכים העסקיים שלו תלויים מאוד בתוכנה המועסקת (מופקת או לא על-ידיה) חייבים לשים לב גם להיבטים של מדיניות כגון, למשל, אימוץ של OWASP בתוכו.

אימוץ OWASP או תקן בטיחות אחר הוא אפוא חלק בלתי נפרד מ הגנה סייבר ארגוני וככזה ראוי לתשומת לב מצד ההנהלה. למעשה, אין זה תועלת לחלוטין להשקיע במגזר הביטחון מבלי לחשוב על כך מדיניות של התעשייה.

כדי לעשות השוואה כי הוא טיפש אבל מובן לכולם, זה כמו לנסות לסנן את המים עם מסננת, אם אתה צריך להסיר את החלקיקים בגודל מסוים מן המים מסננת שלי אינו יעיל, אני יכול גם לקנות מסננת גדול יותר, אבל אם ברכישה לא אכפת לי את גודל החורים כנראה אני פשוט בילה יותר כסף עבור מסננת גדול יותר, ללא שיפור הביצועים!

הנה, אם אתה לייצר תוכנה (או לקנות אותו) לא לשים לב תקן בטיחות בשימוש בייצור ובדיקה, תצטרך להגדיר סדרה של בדיקות אבטחה רצופים המאפשרים לך להתמודד עם הסיכונים הנוכחי על ידי ההוצאות הרבה יותר מאשר הייתי מבלה אם הסתכלתי על היבטי האבטחה של התוכנה מההתחלה.

באופן טבעי, אימוץ תקן ייצור תוכנה בטוח אינו מבטיח כי לא יכול להיות שום בעיות, אבל לפחות ערבויות מן הבעיות כבר ידוע.

אחד המוצרים החשובים ביותר של OWASP הוא עשרת, רשימה של הסיכונים הראשונים 10 הקשורים יישומי אינטרנט. בגרסתה הראשונית היו אלה הנקודות המוצעות, שעדיין נמצאות בתצפית:

A1 הזרקה
אימות שבור A2 וניהול מושב
A3 Scripting בין אתרים (XSS)
A4 בקרת גישה שבורה
A5 אבטחה תצורה מוטעית
חשיפה נתונים רגישים
אין מספיק הגנה על התקפה
A8 בקשת זיוף בין אתרים (CSRF)
A9 שימוש ברכיבים עם פגיעויות מוכרות
A10 API מוגן

רשימת 2017 למרות שהייתה דומה מאוד לקודמתה, נידונה רבות בעיקר בגלל נקודה 7, שלא נחשבת על ידי כולם כשותפים. העובדה היא שאמנם אינה משותפת לכולם, אך ניתן לראות בכך נקודת מוצא מצוינת לחקר הסיכונים הקיימים בעולם ה יישום אינטרנט.

 
מידע נוסף:
- https://www.owasp.org
- https://www.sourceclear.com
- http://www.cert.org/secure-coding/standards/index.cfm
- https://2017.appsecusa.org/ 

הגנת rheinmetal