Тестване на химикалки с уеб и мобилни приложения с високотехнологичен мост
След пет години изследвания в областта на сигурността на приложенията и машинното обучение, подкрепени от непрекъсната практика на тестване за сигурност на приложенията, High-Tech Bridge разработи уникална платформа за тестване на приложенията (AST), наречена ImmuniWeb®.
Тази наградена платформа предоставя на компании, правителства и мултинационални организации в повече от 40 страни динамично, статично и интерактивно тестване на сигурността на приложенията, непрекъснат мониторинг и спазване на сигурността. ImmuniWeb е част от PwC TVM Framework, доверен от глобални компании в над 158 страни.
Илия Колоченко, главен изпълнителен директор на High Tech Tech Bridge, е експерт по киберсигурност и практик, както и начинаещ юрист, който следва магистърска степен по право във Вашингтонския университет в Сейнт Луис.
История на компанията
Колоченко описва напредъка, водещ до пробив на High-Tech Bridge в AST технологията. По време на първоначалното си създаване през 2007 г., компанията предоставя независими консултации и одиторски услуги за киберсигурност и печели голям опит в услугите за тестване на химикалки, главно за швейцарски финансови институции, международни организации и луксозни компании. Резултатите бяха изключителни. Колоченко обаче признава, че без да изгради собствена технология, компанията за киберсигурност или ще расте много бавно, или ще трябва да препродава продукти на трети страни. Препродажбата е хлъзгав наклон, защото често компаниите предлагат не най-доброто решение за клиента, но най-изгодното от гледна точка на платените комисионни.
Въз основа на непоклатимия девиз на компанията за независими от доставчици консултации, твърдият отказ от „препродажба“ доведе до висок стремеж за разработване на собствена уникална технология в сътрудничество с технологични партньорства в Сан Франциско, Лондон и известно присъствие в Сингапур. Компанията е акредитирана по CREST, което позволява на High Tech Tech Bridge да извършва оценка на сигурността за правителствените структури на Обединеното кралство.
Постепенно компанията се разви ImmuniWeb®, платформа за тестване на приложения за сигурност която използва технологията за машинно обучение за интелигентна автоматизация на сканиране на уязвимостта на приложенията. Платформата позволява на всеки от всяко място да конфигурира и започне тестване на сигурността на приложението с няколко кликвания от компютър или мобилен телефон. По собствените думи на Илия предимствата му се съчетават:
- Подход за тестване на хибридната сигурност – който свързва и синхронизира ръководството с автоматизирано тестване в реално време. Използвайки най-силните характеристики на всеки, ние създадохме хибридна технология, която намалява времето за тестване, като същевременно увеличава надеждността и уязвимостта покритие; и е рентабилен за клиентите.
- Машинното обучение, да не се бърка с AI hype, е изключително голяма стъпка към развитието на AST технологията. Автоматизацията, както я познаваме, обикновено води до отслабено качество. Докато интелигентната автоматизация чрез машинно обучение не намалява качеството, намалява човешкото време, необходимо за усъвършенствано тестване и съответно намалява разходите..
- Разбира се, човек никога не може напълно да замени човешкия ум, тъй като някои задачи са много трудни. Например, когато купувате самолетни билети на уебсайт, можете да изберете номера на седалката си и въпреки билета си в икономична класа, но чрез някои прости манипулации на HTTP заявки, се настанете в бизнес клас. Това ясно звучи като недостатък в логиката на приложението. Какво обаче, ако първокласен пътник може да седне в бизнес класа? На такива въпроси обикновено може да се отговори само от човек, запознат с бизнес процесите на клиента. Ето защо ImmuniWeb не цели да замести изпитванията на хора, а по-скоро да намали и оптимизира човешкото участие, когато е възможно.
Ние се позиционираме като научна компания, инвестираме в научни изследвания, но критично, нашата платформа е удобна за потребителите за всеки, със или без технически познания.
Кой е вашият типичен клиент?
Нашите клиенти включват както големи, така и многонационални компании и МСП, които използват нашата платформа, за да тестват и осигуряват своите уебсайтове за електронна търговия и мобилни приложения. Нашите технологични партньорства с най-големите компании за защитна стена на уеб приложения предоставят на нашите клиенти незабавно и надеждно виртуално средство за кръпка на уязвимост.
Gartner каза: „Приложенията, а не инфраструктурата, представляват основната векторна атака за ексфилтрация на данни.“ Можете ли да обясните?
Повечето уязвимости се намират в страната на приложението, главно в уеб и мобилни приложения. Много малко компании решават да създадат свой собствен уеб, VPN или имейл сървър от нулата, а много малко в момента съществуват. Повечето от уязвимостите във вашия имейл сървър вероятно бяха открити и кръпка преди години, докато на останалите може да са необходими години за откриване поради изключителна сложност. Докато преобладаващото мнозинство от компаниите изграждат персонализирани уеб и мобилни приложения, изпъстрени с рискови уязвимости, тяхната експлоатация често е тривиална и лесно може да се направи дори от начинаещи.
Кои са най-често срещаните неща, които търсите, когато тествате приложения за сигурност?
Има много различни уязвимости и техните вариации, така че е трудно да се посочи нещо конкретно. Човек може да разгледа класификацията на OWASP Top 10 за най-честите уязвимости на уеб приложенията. Големите компании често правят прости грешки. Бидейки устойчиви на класическите уязвимости като XSS, CSRF или различни инжекции, те забравят да проверят и втвърдят логиката на приложението. Това може да доведе до безкрайно използване на кодове за отстъпки, безплатна доставка на стоки или дори неоправдани възстановявания. Някои уязвимости са трудни за използване, но те също са трудни за откриване. Изненадващо, много големи (и малки) компании използват пароли по подразбиране или слаби пароли за администраторски акаунти, застрашавайки цялостната им сигурност.
Кои са най-често срещаните проблеми със сигурността, които срещате с уеб и мобилни приложения?
Топ 10 недостатъци на OWASP определено ще бъдат най-многобройните, но най-интересните са в логиката на приложението или верижната експлоатация на няколко уязвимости. Също така трябва да имаме предвид, че OWASP Top 10 може да бъде сложен – прост XSS може да бъде открит дори и със скенер с отворен код. Въпреки това, XSS базиран на DOM в приложение за единична страница, които изискват валидни човешки данни (например съществуващ идентификационен номер на клиента и номер на банкова сметка) може да бъде много сложен за откриване. Това е мястото, където нашият хибриден подход и технология за машинно обучение влизат в играта.
Какви стимули има за разработчиците на приложения да осигурят своите приложения? И какви разпоредби ги обвързват за това?
Не става въпрос само за приложения, а за цялостно управление на киберсигурността. Днес има четири основни, критични принципа за сигурност, които всички компании трябва да спазват:
- Трябва да разполагате с пълен и актуален списък на вашите цифрови активи (включително софтуер, хардуер, данни, потребителски акаунти и лицензи). Ако нямате, никакви решения за киберсигурност никога няма да помогнат, защото нападателите ще намерят забравено устройство или приложение, ще го нарушат и ще започнат да разпространяват атаката.
- Необходимо е да извършите цялостна оценка на риска, за да идентифицирате и оцените рисковете, с които можете и вероятно ще се сблъскате. Стратегията за киберсигурност трябва да бъде базирана на риска и да бъде възприета спрямо вашите конкретни рискове, заплахи и вътрешни процеси
- Стратегията за киберсигурност трябва да бъде ясно дефинирана и основана на добре обмислени процеси и процедури. Хората трябва ясно да знаят своите задължения и отговорности и да имат достатъчно правомощия да вземат решения и ресурси за тяхното изпълнение.
- След като направите това, въведете непрекъснат мониторинг на сигурността за нови рискове, заплахи и уязвимости, както и ефективността на въведените мерки за сигурност. Това е много голяма тема, но не забравяйте своевременно да откриете и реагирате на някакви аномалии или необичайно поведение, липсващи кръпки и остарял софтуер и нови устройства и приложения.
Как AI може да се използва за затягане на сигурността на мобилните приложения?
Мисля, че би било по-подходящо да се говори за машинно обучение и интелигентна автоматизация, а не за AI. Силен ИИ, способен да замени човек, не съществува и едва ли ще се появи в рамките на следващите десет години.
Използването на технологиите за машинно обучение може значително да намали човешкото време, да намали разходите и да осигури по-добра стойност на клиентите.
Nehemiah
17.04.2023 @ 21:40
ImmuniWeb® е уникална платформа за тестване на приложенията, която е разработена след пет години изследвания в областта на сигурността на приложенията и машинното обучение. Тази платформа предоставя на компании, правителства и мултинационални организации в повече от 40 страни динамично, статично и интерактивно тестване на сигурността на приложенията, непрекъснат мониторинг и спазване на сигурността. ImmuniWeb е част от PwC TVM Framework, доверен от глобални компании в над 158 страни. Машинното обучение е изключително голяма стъпка към развитието на AST технологията, която намалява времето за тестване, като същевременно увеличава надеждността и уязвимостта покритие. ImmuniWeb е рентабилен за клиентите и предлага хибриден подход за тестване на хибридната сигурност, който свързва и синхронизира ръководството с автоматизирано тестване в реално време.