Aplicații web și mobile pentru testarea stiloului cu punte de înaltă tehnologie

După cinci ani de cercetare în securitatea aplicațiilor și învățarea mașinilor, susținută de o practică continuă de testare a securității aplicațiilor, High-Tech Bridge a dezvoltat o platformă unică de securitate a aplicațiilor (AST), numită ImmuniWeb®.

Această platformă premiată oferă companiilor, guvernelor și organizațiilor multinaționale, în peste 40 de țări, teste de securitate a aplicațiilor dinamice, statice și interactive, monitorizare continuă a securității și conformitate. ImmuniWeb este o parte din PwC TVM Framework, de încredere de către companii globale din peste 158 de țări.

Ilia Kolochenko, CEO-ul High-Tech Bridge, este atât un expert și practicant în domeniul cibersecurității, cât și un jurist începător care urmează diploma de master în drept la Universitatea Washington din St Louis.

Istoricul companiei

Kolochenko descrie progresul care a dus la descoperirea High-Tech Bridge în tehnologia AST. Pe parcursul înființării inițiale din 2007, compania a furnizat servicii de consultanță și auditare în domeniul cibersecurității independente și a câștigat o experiență deosebită în servicii de testare a pixului, în principal pentru instituții financiare elvețiene, organizații internaționale și companii de lux. Rezultatele au fost excepționale. Cu toate acestea, Kolochenko recunoaște că, fără a-și construi propria tehnologie, o companie de securitate cibernetică va crește foarte lent sau va trebui să revândă produse terțe. Revânzarea este o pantă alunecoasă, deoarece companiile dese nu oferă cea mai bună soluție pentru client, dar cea mai profitabilă din punct de vedere al comisioanelor plătite.

Pe baza devizului de nezdruncinat al companiei de consultanță independentă de vânzători, negarea fermă a „revânzării” a dus la aspirația de a dezvolta propria tehnologie unică a companiei, în colaborare cu parteneriate tehnologice din San Francisco, Londra și o anumită prezență în Singapore. Compania este acreditată de CREST, permițând High-Tech Bridge să efectueze evaluarea securității pentru entitățile guvernamentale din Marea Britanie.

Treptat, compania s-a dezvoltat ImmuniWeb®, o platformă de testare a securității aplicațiilor care folosește tehnologia de învățare automată pentru automatizarea inteligentă a scanării vulnerabilității aplicației. Platforma permite oricui din orice locație să configureze și să înceapă testarea securității aplicației în câteva clicuri de pe un computer sau telefon mobil. În cuvintele lui Ilia, avantajele sale se combină:

  1. O abordare de securitate hibridă – care corelează și sincronizează manualul cu testarea automatizată în timp real. Folosind cele mai puternice caracteristici ale fiecăruia, am creat o tehnologie hibridă care reduce timpul de testare, crescând în același timp fiabilitatea și acoperirea vulnerabilității; și este rentabil pentru clienți.
  1. Învățarea automată, care nu trebuie confundată cu AI hype, este un pas extrem de mare către evoluția tehnologiei AST. Automatizarea, așa cum o știm, obține de obicei o calitate slăbită. În timp ce automatizarea inteligentă prin învățarea automată nu scade calitatea, reduce timpul necesar pentru testarea avansată și, în consecință, reduce costurile..
  2. Desigur, nu se poate înlocui în totalitate mintea umană, deoarece unele sarcini sunt foarte complicate. De exemplu, atunci când achiziționați bilete de avion de pe un site web, puteți să vă selectați numărul locului și în ciuda biletului dvs. de clasă economică, dar prin unele simple manipulări ale solicitărilor HTTP, rămâneți așezați în clasa de afaceri. Acest lucru sună clar ca un defect în logica aplicației. Cu toate acestea, ce se întâmplă dacă un pasager de primă clasă poate fi așezat în clasa de afaceri? Astfel de întrebări pot fi răspunse de obicei numai de către un om familiarizat cu procesele de afaceri ale clientului. Acesta este motivul pentru care ImmuniWeb nu își propune să înlocuiască testarea pe oameni, ci mai degrabă să reducă și să optimizeze implicarea umană, acolo unde este posibil.

Ne poziționăm ca o companie științifică, investind în cercetare, dar critic, platforma noastră este ușor de utilizat pentru oricine, cu sau fără cunoștințe tehnice.

Cine este clientul dvs. tipic?

Clienții noștri includ companii mari și multinaționale și IMM-uri, care folosesc platforma noastră pentru a-și testa și asigura securitatea site-urilor web și a aplicațiilor mobile. Parteneriatele noastre tehnologice cu cele mai mari companii Firewall pentru aplicații web oferă clienților noștri facilitatea de corecție a vulnerabilității virtuale instantanee și fiabile.

Gartner a spus „Aplicațiile, nu infrastructura, reprezintă atacul vectorial principal pentru exfiltrarea datelor.” Vă puteți explica?

Majoritatea vulnerabilităților se află în partea aplicației, în principal în aplicațiile web și mobile. Foarte puține companii decid să își construiască propriul web, VPN sau server de e-mail de la zero, iar foarte puține există în prezent. Majoritatea vulnerabilităților din serverul dvs. de e-mail au fost probabil găsite și patchate cu ani în urmă, în timp ce cele rămase pot dura ani de zile pentru a detecta din cauza complexității extreme. În timp ce o majoritate covârșitoare de companii construiește aplicații web web și mobile personalizate cu vulnerabilități riscante, exploatarea lor este adesea banală și poate fi realizată cu ușurință chiar și de începători.

Care sunt cele mai frecvente lucruri pe care le căutați atunci când testați aplicațiile pentru securitate?

Există multe vulnerabilități diferite și variațiile acestora, așa că este dificil să evidențiezi ceva în special. Se poate arunca o privire asupra clasificării Top 10 OWASP pentru cele mai frecvente vulnerabilități ale aplicațiilor web. Companiile mari fac deseori greșeli simple. Fiind rezistenți la vulnerabilitățile clasice precum XSS, CSRF sau diferite injecții, ei uită să verifice și să întărească logica aplicației. Acest lucru poate duce la utilizarea infinită a codurilor de reducere, livrare gratuită de mărfuri sau chiar rambursări necuvenite. Unele vulnerabilități sunt greu de exploatat, dar sunt greu de detectat. În mod surprinzător, multe companii mari (și mici) folosesc parole implicite sau slabe pentru conturile de admin, periclitând securitatea lor generală.

Care sunt cele mai frecvente probleme de securitate pe care le întâmpinați cu aplicațiile web și mobile?

OWASP Top 10 defecte vor fi cu siguranță cele mai numeroase, cu toate acestea, cele mai interesante sunt logica de aplicare sau exploatarea în lanț a mai multor vulnerabilități. De asemenea, ar trebui să reținem că OWASP Top 10 poate fi complicat – un XSS simplu poate fi detectat chiar și cu un scaner open source. Cu toate acestea, o XSS bazată pe DOM într-o aplicație de o singură pagină care necesită o intrare umană validă (de exemplu, identificatorul de client existent și numărul de cont bancar) poate fi foarte complicată de detectat. Aici intră în joc abordarea noastră hibridă și tehnologia de învățare a mașinilor.

Ce stimulente există pentru dezvoltatorii de aplicații pentru a-și asigura aplicațiile? Și ce reglementări îi obligă să facă acest lucru?

Nu este doar despre aplicații, ci despre managementul cibersecurității generale. Astăzi, există patru principii de bază, de securitate critică, pe care toate companiile ar trebui să le respecte:

  • Trebuie să aveți un inventar complet și actualizat al activelor dvs. digitale (inclusiv software, hardware, date, conturi de utilizator și licențe). Dacă nu îl aveți, nici o soluție de securitate cibernetică nu va ajuta vreodată, deoarece atacatorii vor găsi un dispozitiv sau o aplicație uitată, o vor încălca și vor începe să răspândească atacul.
  • Trebuie să efectuați o evaluare completă a riscurilor pentru a identifica și evalua riscurile cu care vă puteți confrunta și probabil. Strategia de securitate cibernetică ar trebui să fie bazată pe riscuri și să fie adoptată în funcție de riscurile, amenințările și procesele tale particulare
  • Strategia de securitate cibernetică ar trebui să fie clar definită și să se bazeze pe procese și proceduri bine gândite. Oamenii ar trebui să-și cunoască în mod clar îndatoririle și responsabilitățile și să aibă suficientă putere pentru a lua decizii și resurse pentru a le pune în aplicare.
  • Odată finalizat, implementați monitorizarea continuă a securității pentru noi riscuri, amenințări și vulnerabilități, precum și eficiența controalelor de securitate adoptate. Este un subiect foarte mare, totuși asigurați-vă că detectați și reacționați prompt la orice anomalii sau comportament neobișnuit, patch-uri lipsă și software depășit și dispozitive și aplicații noi.

Cum poate fi utilizată AI pentru a consolida securitatea aplicațiilor mobile?

Cred că ar fi mai potrivit să vorbim despre învățarea mașinilor și automatizarea inteligentă, decât despre AI. AI puternică, capabilă să înlocuiască un om, nu există și va apărea probabil în următorii zece ani.

Utilizarea tehnologiilor de învățare automată poate reduce semnificativ timpul uman, reduce costurile și oferă clienților o valoare mai bună.