A sebezhető szoftverek túlzott megosztásának megakadályozása

A Cisco éves internetes jelentése szerint 2023-ra minden élő emberre 3,6 hálózati eszköz jut majd, mint valaha, jobban össze vagyunk kapcsolódva, mint valaha, de most sokkal kevesebben, mint valaha: 2023-ra fejenként 2,4 hálózati eszköz jut a világon. A hálózati eszközök száma ezalatt 18,4 milliárdról 29,3 milliárdra nő. A gépek közötti (M2M) kapcsolatok száma több mint 6 milliárdról 14,7 milliárdra nő.

Ennek eredményeként csak még jobban függünk a szoftvertől, hogy minden működjön. Az alkalmazásprogramozási interfészek (API-k) teljesítménye nagymértékben befolyásolja a szoftver általános hatékonyságát. Akár az interneten keresünk időjárás-jelentést, akár egy iparági webináriumon veszünk részt, dokumentumokat osztunk meg a kollégákkal, vagy kérünk orvosi laboratóriumi vizsgálati eredményeket, az API-k lehetővé teszik, hogy két szoftverkomponens beszéljen egymással a felhasználói kérések megfogalmazása és megválaszolása érdekében.

De ebben az esetben lehetséges nál nél sok beszéd az API-k között, akik, mint az irodáinkban a pletykás csevegő kollégák, túl sok információt osztanak meg, ha engedjük. Ezt hívjuk „TMI technológiának”.

Kialakításuk szerint az API-k megnyitják a zsilipeket az alkalmazások közötti kommunikációhoz. Ha a hozzáférés-szabályozás enyhülése laza, az API-k túl sok információt fednek fel, vagy – ami még rosszabb – egy sebezhető alkalmazáshátsó ajtón keresztül teszik ki magukat. A fejlesztők túl gyakran túl sok engedélyt adnak a működési API-khoz, így nem kell folyamatosan módosítaniuk a hozzáférési engedélyeket minden programfelépítésnél. A támadók azonban jól tudják, hogy ez történik, ezért átveszik az API-kat, és hatékony engedélyeiket használják a hálózatok feltörésére.
Ennek eredményeként a túlmegosztásos API-k gyakran célzott, alacsonyan függő gyümölcsként jelennek meg: A Salt Security State of API Security Report azt jelzi, hogy a szervezetek egyötöde tapasztalt jogsértést a feltört API-k miatt. A rosszindulatú forgalom az összes API-forgalom 2,1%-át teszi ki, a havi átlagosan 12,22 millió rosszindulatú hívásról 26,46 millióra nőtt. Az Open Web Application Security Project (OWASP) a meghibásodott hozzáférés-szabályozást a webalkalmazások legnagyobb kockázataként sorolja fel – kriptográfiai hibák, injekciók és hibás konfigurációk miatt.

Ajánlott bevált gyakorlatok

Tehát hogyan kerülhetik el a biztonsági vezetők és csapataik ezeket a problémákat? A következő bevált gyakorlatokat ajánljuk:

  • Felkészítő fejlesztők a “biztonság az első” kultúra ápolására. A fejlesztők oktatása azokról az árnyalatokról, amelyek megkülönböztetik a rossz kódolási mintát a jótól, nagyon fontos, hogy a kezdetektől fogva a biztonságos szoftver kiépítésére összpontosíthassanak. Amikor a biztonsági csapatok megerősítik kommunikációjukat és kapcsolataikat a fejlesztőkkel, ezek a fejlesztők megtanulják, hogyan használhatják a megfelelő eszközöket a védelemhez, és még maximalizálják értéküket. Itt elengedhetetlen a gyakorlati/személyi képzés. A számítógép-alapú képzés önmagában túl sok korláttal rendelkezik, gyakran hiányzik a résztvevők biztonsági készségeinek ellenőrzése.
  • Gyakorold a valós élet forgatókönyveit. Ezt minden kurzusnak tartalmaznia kell. A fejlesztők abból profitálnak leginkább, hogy megtapasztalják a valós helyzeteket és a meghibásodott hozzáférés-szabályozás következményeit – ez a leghatékonyabb módja a készségek ellenőrzésének és fejlesztésének.
  • A nulla bizalom (ZT) kiterjesztése az API-kra. A ZT-re általában a felhasználói hozzáférés szempontjából gondolunk. De alkalmaznunk kell az API-kra is, hogy kiküszöböljük a túlterheltséget és kikényszerítsük a szerepalapú vezérlőket. Ha egy API-nak egy adott funkciót kell végrehajtania, a biztonsági csapatoknak együtt kell működniük a fejlesztőkkel, hogy az engedélyeket csak erre a funkcióra korlátozzák.
  • “Telefonos engedélyek” API-t tartalmaz. Ahogy a ZT folytatja az integrációt, a biztonsági/fejlesztői csapatoknak korlátozniuk kell az API-k által kezdeményezhető hívásokat, ezért ezek a hívások szigorúan a környezetfüggő kérések alapján futnak. Ezt követően a támadók nehezen tudják ezeket bűnügyi célból módosítani.

Az oktatás kulcsfontosságú

Legyen szó valódi emberekről vagy szoftverekről, a túlzott megosztást komolyan kell vennünk. Hiszen azok a pletykás fecsegő kollégák igen komoly károkat tudnak okozni az irodában, ezért kell a HR-esnek leülni velük, hogy erőszakosan érvényesítsék, mit illik megbeszélni és miről nem. Ugyanabban az irodában nem engedjük, hogy Sara a Számviteltől szabadon turkáljon a Jogi Osztályon, és olyan dokumentumokat töltsön le, amiket csak akar.

Hasonlóképpen meg kell tanítanunk a fejlesztőket, hogy „első a biztonság”, miközben az API-kat a ZT legkevesebb jogosultsági szabályzatának kell alávetni. Ennek eredményeként a szoftverek csak azt osztják meg, ami bizonyos feladatok elvégzéséhez szükséges, a TMI technológia kiiktatása pedig szilárdan bezárja irodánkat – és a hálózatot és minden digitális eszközt – a támadók előtt.

Leave a Comment

%d bloggers like this: