Az Ön böngészője nem támogatott. Kérjük használjon Chrome, Firefox, Edge vagy Safari böngészőt. További részletek

MegoldásokKiberbiztonságAlkalmazásbiztonság

ALKALMAZÁSBIZTONSÁG

Secure by Design, fejlesztési, architekturális és infrastrukturális követelmények

Szabályozott iparágak alkalmazásaihoz a hatósági megfelelőségi szintek előzetes ellenőrzését is támogatjuk a 4iG magasan képzett, jelentős gyakorlattal rendelkező szakértői egységeivel.

A 4iG módszertana és szemlélete: Secure by Design

Az alkalmazásbiztonság nem cél vagy eszköz, hanem folyamat. A végtelenített folyamat során az alkalmazások biztonsági szintjét növeljük a biztonsági követelmények megfogalmazásával és azok betartatásával, a kockázatot jelentő elemek azonosításával és kiiktatásával, valamint az adott alkalmazás biztonsági szintjének automatizált és kézi tesztelésével.

Már a fejlesztési fázisban fontos tisztázni, hogy az eredmény-terméknek milyen biztonsági követelményeknek kell megfelelnie (pl.: L-es törvény, NIST, ISO, PCI-DSS, MNB követelmény, vagy leginkább ezeknek egy speciális fúziója). Ezt a fejlesztési követelmények definiálásával véglegesítjük, ami később a tesztelés alapját is jelenti. Fontos szem előtt tartani, hogy az alkalmazással szemben támasztott követelmények összhangban legyenek a várható kockázatokkal, vagyis a ráfordított erőforrások (és így a költségek) ne legyenek aránytalanok a rendszer üzleti céljaihoz képest.
Ezzel a megközelítéssel számos üzleti probléma és akár személyes frusztráció is megelőzhető.

Az architekturális és infrastrukturális követelmények teszik teljessé a képet (pl.: PKI kulcsok használata, alkalmazás azonosítás, SSO, titkosított hálózati forgalom), így a fejlesztett rendszer biztonságát teljességében kell vizsgálni már a tervezési szakaszban is.

A biztonságtudatos fejlesztői magatartás kulcsfontosságú már az elvárásoknak megfelelő kódbázis előállításakor is. A követelményeket teljesítő alkalmazás egyik alapja a biztonságtudatos architektúra tervezés. Mivel sok esetben a biztonsági és a fejlesztői "nyelv" és szemlélet sem azonos, külön figyelmet kell fordítani a követelmények fejlesztők számára is érthető és elfogadható megfogalmazására, illetve azok szükség szerint akár több körben történő tisztázására. A futtatási környezetek követelményeit és biztonsági paraméterezését is el kell végezni, a földi vagy felhős rendszerek adottságai, sajátosságai és funkcionalitása mellett (például az AWS saját biztonsági képességeinek felhasználása).

MIÉRT A 4iG-VAL ÉRDEMES ELMÉLYÍTENIE FEJLESZTÉSI FOLYAMATAINAK ÉS ALKALMAZÁSAINAK VÉDELMÉT

  • Vállaljuk rendszertervek auditját, illetve mások által fejlesztett alkalmazások és rendszerek auditját.
  • Szabályozott iparágak alkalmazásaihoz a hatósági megfelelőségi szintek előzetes ellenőrzését is támogatjuk a 4iG magasan képzett, jelentős gyakorlattal rendelkező szakértői egységeivel.
  • A kód, illetve rendszer-elemek biztonságát automatizált, illetve kézi vizsgálattal ellenőrizzük vissza, melynek eszközei a statikus és dinamikus kód-scanner alkalmazások, valamint az etikus hacker szakértők.

FORRÁSKÓD ELEMZÉS

Az alkalmazások tárolják, kezelik, továbbítják az üzleti adatokat, azonban a szoftverek sebezhetőségei üzleti kockázatokat hordoznak. Az általunk kínált Source Code Analysis (SCA) megoldás alkalmas arra, hogy a fejlesztésben résztvevő személyeket (fejlesztőket, programozókat, minőségbiztosítókat, tesztelőket, biztonsági auditorokat stb.) támogassa a forráskódban található biztonsági hibák azonosításában, javításában és lehetővé tegye a feltárt hibák javítás utáni ellenőrzését is.

A 4iG által használt technológiák:

  • Acunetix
  • Qualys

BIZTONSÁGOS FEJLESZTÉSI MÓDSZERTAN, KÓDBIZTONSÁG ÉS AUDIT

A fejlesztések biztonságos megközelítése még sohasem volt ennyire fontos. Manapság nem ritka, hogy folyamatos teljesítéssel üzemeltetjük a programokat, rendszereket, így azok állandó változásban vannak. Ez egy rettentő erős, flexibilis és hatékony módszer, de egyúttal új kockázatokat is hoz, amelyeket a biztonsági gyakorlatainkkal kell kezelnünk. Hogy megfelelően megtehessük ezt, a biztonságot mindvégig elsődleges szempontként kell kezelni a fejlesztés és implementáció során.

A folyamatos teljesítés új eszközöket is ad a kezünkbe a felmerülő kockázatok kezelésére: verzió kontrol, többszöri értékelések és automata tesztelés is rendelkezésünkre áll, ezek megfelelő használatával a fejlesztés során növelhető a biztonság.

A biztonságos fejlesztés és telepítés nyolc alapelve:

  1. A biztonságos fejlesztés mindenki érdeke.
  2. Tartsd a biztonsági ismereteidet naprakészen!
  3. Tiszta és karbantartható kódot fejlesszünk!
  4. Biztosítsuk a fejlesztői környezetünket!
  5. Védjük a kódtárhelyeinket!
  6. Biztosítsuk az építő és telepítő folyamatainkat!
  7. Folyamatosan teszteljük biztonságunkat!
  8. Tervezzünk a biztonsági hibákkal!

ALKALMAZÁS SÉRÜLÉKENYSÉGVIZSGÁLAT (PENTEST)

Ezen szolgáltatásunk során az ügyfeleink kérésére, a saját meglevő rendszerük, vagy éppen egy bevezetés előtt álló szoftver, szolgáltatás, vagy akár egy weboldal, aktuális sebezhetőségeit derítjük fel, és javaslatot teszünk azok megszüntetésére.

A vizsgálat során szakembereink nemzetközi módszertanokat alkalmazva, automatizált és manuális vizsgálatokkal azonosítják a felfedezhető sérülékenységeket. Egy ilyen komplex sérülékenységvizsgálat során az automatizált vizsgálat kb. 30%, míg a manuális 70%-át teszi ki a tesztelési folyamatnak. Amennyiben egy sérülékenység azonosításra kerül, manuális validálásnak vetjük alá, hogy az úgynevezett „false-pozitív” eredményeket teljesen kizárhassuk. A penetration test esetében a PTES2 módszertant követjük, míg a web alkalmazások sérülékenység vizsgálatánál a fő módszertan az OWASP3. Az OWASP esetében mi nem csak az OWASP top 10 követelményére hagyatkozunk, hanem egy, az OWASP-ra alapuló, de lényegesen összetettebb vizsgálati módszert alkalmazunk. A web vizsgálatok során az automatizált vizsgálathoz a világelső Acunetix websérülékenység-vizsgálót, hálózati oldalon Nessust használunk, míg a manuális vizsgálathoz többek között az OWASP Zed Attack Proxy (ZAP), BurpSuite Pro, és egyéb open-source eszközök kerülnek felhasználásra. Legyen szó hálózati vagy akár web alkalmazás vizsgálatról, szakértőink az igényeket szem előtt tartva, és az ügyféllel egyeztetve választják ki az egyes jogosultsági szintekkel járó vizsgálatokat (Black-Box, Gray-Box, White-Box).
A vizsgálat végén egy olyan komplex jelentést adunk át, melyben a felfedezett biztonsági réseket kockázati besorolásuk szerint rangsoroljuk és rendszerezzük. A sérülékenységek részletezése tartalmaz egy rövid leírást (referenciát), a sérülékenység paramétereit, illetve remediációs javaslatot a javításhoz. Ezek birtokában gördülékenyebben lehet kijavítani a feltárt hibákat. A vizsgálat során azonosított sérülékeny pontok javítását követően lehetőség van úgynevezett felülvizsgálati vizsgálatra, mely során már nem a teljes alkalmazást teszteljük újra, hanem kizárólag az előzőekben azonosított sérülékeny pontok újraellenőrzését végezzük el.
A fenti szolgáltatással rendszeresen (havi; negyedéves; éves) vagy akár eseti jelleggel is állunk ügyfeleink rendelkezésére.