Tollvizsgáló webes és mobil alkalmazások High-Tech Bridge használatával


Öt év kutatás után az alkalmazásbiztonság és a gépi tanulás területén, amelyet az alkalmazásbiztonsági tesztelés folyamatos gyakorlata támogatott, a High-Tech Bridge kifejlesztette az ImmuniWeb® nevű egyedi alkalmazásbiztonsági tesztelési (AST) platformot..

Ez a díjnyertes platform több mint 40 országban biztosítja a vállalatok, kormányok és multinacionális szervezetek számára a dinamikus, statikus és interaktív alkalmazásbiztonsági tesztelést, a folyamatos biztonsági figyelést és a megfelelőséget. Az ImmuniWeb a PwC TVM Framework része, több mint 158 ​​ország globális vállalatainak megbízható.

Ilia Kolochenko, a High-Tech Bridge vezérigazgatója kiberbiztonsági szakértő és gyakorló, valamint kezdő jogász, aki jogi diplomát szerzett a st Louisi Washingtoni Egyetemen..

Vállalati háttér

Kolochenko leírja azt a haladást, amely a High-Tech Bridge áttöréshez vezet az AST technológiában. A 2007-es alapítása során a társaság független kiberbiztonsági tanácsadói és könyvvizsgálói szolgáltatásokat nyújtott, és nagy tapasztalattal rendelkezik a tolltesztelési szolgáltatások terén, elsősorban a svájci pénzügyi intézmények, a nemzetközi szervezetek és a luxuscégek számára. Az eredmények kiemelkedőek voltak. Kolochenko azonban beismeri, hogy a saját technológiájának kiépítése nélkül a kiberbiztonsági vállalat vagy nagyon lassan növekszik, vagy harmadik fél termékeit kell eladnia. A viszonteladás csúszós lejtő, mivel a cégek gyakran nem a legjobb megoldást kínálják az ügyfélnek, hanem a legjövedelmezőbbek a fizetett jutalékok szempontjából..

A társaság megdöbbentő, eladó-független tanácsadás mottója alapján a „viszonteladás” határozott tagadása vezetett a nagy törekvéshez, hogy a vállalat saját egyedi technológiáját fejlesszék, együttműködésben a londoni San Francisco-i technológiai partnerségekkel és néhány szingapúri jelenléttel. A társaság CREST által akkreditált, lehetővé téve a High-Tech Bridge számára az Egyesült Királyság kormányzati szervezeteinek biztonsági értékelését.

Fokozatosan fejlődött a vállalat ImmuniWeb®, alkalmazásbiztonsági tesztelési platform kihasználja a gépi tanulási technológiát az alkalmazások sebezhetőségének szkennelésének intelligens automatizálására. A platform lehetővé teszi, hogy bárki bárhol, bármilyen helyen konfigurálhassa és elindítsa az alkalmazás biztonsági tesztelését néhány kattintással egy számítógépről vagy mobiltelefonról. Ilia szavai szerint annak előnyei egyesülnek:

  1. Hibrid biztonsági tesztelési megközelítés - amely korrelálja és szinkronizálja a kézikönyvet az automatikus teszteléssel valós időben. Mindegyik legerősebb tulajdonságának felhasználásával létrehoztunk egy hibrid technológiát, amely csökkenti a tesztelési időt, miközben növeli a megbízhatóságot és a sebezhetőséget; és költséghatékony az ügyfelek számára.
  1. A gépi tanulás, amelyet nem szabad összekeverni az AI hype-vel, rendkívül nagy lépés az AST technológia fejlődése felé. Az automatizálás, amint tudjuk, általában meglazult minőséget eredményez. Miközben a gépi tanulással történő intelligens automatizálás nem rontja a minőséget, csökkenti a fejlett teszteléshez szükséges emberi időt, és következésképpen csökkenti a költségeket..
  2. Természetesen soha nem helyettesítheti teljesen az emberi elmét, mivel egyes feladatok nagyon trükkösek. Például, ha repülőjegyet vásárol egy weboldalon, akkor kiválaszthatja a székhelyszámát, és a turistaosztályú jegy ellenére, de a HTTP-kérelmek egyszerű egyszerű manipulációja révén el lehet ülni az üzleti osztályba. Ez egyértelműen hibának tűnik az alkalmazás logikájában. Mi lenne, ha egy első osztályú utas beülhet az üzleti osztályba? Az ilyen kérdésekre általában csak az ügyfél üzleti folyamatait ismerő ember válaszolhat. Ez az oka annak, hogy az ImmuniWeb nem az emberi tesztelés helyébe lép, hanem az emberi részvétel csökkentésére és optimalizálására, ahol csak lehetséges.

Tudományos társaságként pozicionáljuk magunkat, befektetve a kutatásba, de kritikus szempontból platformunk bárki számára felhasználóbarát, technikai ismeretekkel vagy anélkül.

Ki az Ön tipikus ügyfele??

Ügyfeleink között szerepelnek mind a nagy, mind a multinacionális vállalatok és a kkv-k, akik platformon tesztelik és biztonságossá teszik e-kereskedelmi webhelyüket és mobil alkalmazásukat. Technológiai partnerkapcsolatunk a legnagyobb webalkalmazás-tűzfal társaságokkal azonnali és megbízható virtuális sebezhetőségi javítási lehetőséget kínál ügyfeleink számára.

Gartner azt mondta: „Az alkalmazások, nem pedig az infrastruktúra jelentik a fő vektor támadást az adatok kiszűrésére.” Meg tudja magyarázni?

A legtöbb sebezhetőség az alkalmazás oldalán található, főleg az internetes és a mobil alkalmazásokban. Nagyon kevés vállalat úgy dönt, hogy saját webes, VPN-t vagy e-mail szervert épít a semmiből, és jelenleg nagyon kevés létezik. Az e-mail kiszolgáló sérülékenységeinek többségét valószínűleg évekkel ezelőtt fedezték fel és javították, míg a fennmaradó éveket az extrém bonyolultság miatt évekig lehet igénybe venni. Míg a vállalatok túlnyomó többsége olyan kockázatos sérülékenységekkel felfedezett egyedi internetes és mobil alkalmazásokat épít, amelyek kihasználása gyakran triviális, és a kezdőknek is könnyen megtehető..

Melyek a leggyakoribb dolgok, amelyeket az alkalmazások biztonságának tesztelésekor keres?

Számos különféle sebezhetőség és azok variációja létezik, tehát nehéz mindent kiemelni. Vessen egy pillantást az OWASP Top 10 besorolására a leggyakoribb webes alkalmazások sérülékenységeiről. A nagyvállalatok gyakran egyszerű hibákat követnek el. Mivel ellenállnak a klasszikus sebezhetőségeknek, mint például az XSS, a CSRF vagy a különböző injekciók, elfelejtik ellenőrizni és megszilárdítani az alkalmazás logikáját. Ez az akciós kódok végtelen használatához, az áruk ingyenes kiszállításához vagy akár indokolatlan visszatérítésekhez vezethet. Néhány sérülékenységet nehéz kihasználni, ám ezeket nehéz felismerni. Meglepő módon sok nagy (és kicsi) vállalat alapértelmezett vagy gyenge jelszavakat használ az admin fiókokhoz, veszélyeztetve azok általános biztonságát.

Melyek a leggyakoribb biztonsági problémák, amelyekkel az internetes és mobil alkalmazásokkal szembesül?

Az OWASP Top 10 hibája minden bizonnyal a legtöbb, bár a legérdekesebbek az alkalmazási logikában vagy a sebezhetőség számos láncának kihasználásában rejlenek. Nem szabad megfeledkeznünk arról, hogy az OWASP Top 10 trükkös lehet - egy egyszerű XSS észlelhető még nyílt forrású szkennerrel is. Ugyanakkor a DOM-alapú XSS egyoldalas alkalmazásban, amely érvényes emberi bemenetet igényel (pl. Meglévő ügyfél-azonosító és bankszámlaszám), nagyon bonyolult lehet felismerni. Hibrid megközelítésünk és gépi tanulási technológiánk lép ebbe a játékba.

Milyen ösztönzőket kínálnak az alkalmazásfejlesztők az alkalmazások biztonságához? És milyen rendeletek kötelezik őket erre?

Nem csak az alkalmazásokról szól, hanem az általános kiberbiztonsági menedzsmentről is. Ma négy alapvető, kritikus biztonsági alapelv létezik, amelyeket minden vállalatnak be kell tartania:

  • Teljes és naprakész leltárral kell rendelkeznie a digitális eszközökről (ideértve a szoftvert, a hardvert, az adatokat, a felhasználói fiókokat és a licenceket). Ha még nem rendelkezik vele, akkor semmilyen kiberbiztonsági megoldás nem fog segíteni, mivel a támadók elfelejtett eszközt vagy alkalmazást találnak, megsértik azt, és elkezdik terjeszteni a támadást.
  • Átfogó kockázatértékelést kell végeznie a kockázatok azonosítása és értékelése érdekében, amelyekkel valószínűleg szembesülhet és valószínűleg szembe kell néznie. A kiberbiztonsági stratégiának kockázatalapúnak kell lennie, és az adott kockázatokra, fenyegetésekre és belső folyamatokra kell alkalmaznia
  • A kiberbiztonsági stratégiát egyértelműen meg kell határozni, és jól átgondolt folyamatokon és eljárásokon kell alapulnia. Az embereknek egyértelműen tudniuk kell kötelességeiket és felelősségüket, és elegendő hatalommal kell rendelkezniük azok végrehajtásához szükséges döntések meghozatalához és erőforrásaihoz.
  • Ha elkészült, hajtsa végre az új kockázatok, fenyegetések és sebezhetőségek folyamatos biztonsági figyelését, valamint az érvényben lévő biztonsági ellenőrzések hatékonyságát. Ez egy nagyon nagy téma, azonban ügyeljen arra, hogy azonnal észlelje és reagáljon minden rendellenességre vagy szokatlan viselkedésre, hiányzó javításokra és elavult szoftverre, valamint új eszközökre és alkalmazásokra..

Hogyan lehet az AI-t felhasználni a mobil alkalmazások biztonságának szigorítására??

Szerintem helyesebb lenne az AI helyett a gépi tanulásról és az intelligens automatizálásról beszélni. Erős AI, amely képes pótolni egy embert, nem létezik, és valószínűtlen, hogy megjelenik a következő tíz évben.

A gépi tanulási technológiák kihasználása jelentősen csökkentheti az emberi időt, csökkentheti a költségeket és jobb értéket teremthet az ügyfelek számára.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me