Nepodceňujte aplikační bezpečnost!

V předchozím díle seriálu IT bezpečná firma jsme se zaměřili na časté zranitelnosti interní sítě, které lze zneužít pro ovládnutí firmy. 

Dnes se Lukáše Nového – penetračního testéra ze společnosti TNS – zeptáme na bezpečnost aplikací, které každodenně používáme.

Lukáši, testujete i bezpečnost aplikací. Na co si dát pozor u nich?

Aplikace webové, mobilní anebo desktopové patří mezi nejčastěji testovaná aktiva v našem portfoliu služeb penetračních testů. 

Tyto aplikace zpravidla obsahují cenná data, a proto by mělo být v zájmu každého výrobce softwaru, dodavatele i samotného uživatele tyto aplikace pravidelně testovat, zda netrpí na bezpečnostní chyby a rizika.

Lukáš Nový, penetrační testér a etický hacker

Jak na tom jsou desktopové aplikace?

Naše zkušenosti ukazují, že mezi nejhůře zabezpečené patří zejména nejrůznější desktopové aplikace běžně používané ve vnitřní síti organizace. Tam zpravidla dochází i k hrubým porušením bezpečnostních zásad při autentizaci a autorizaci, což může mít pro ochranu dat fatální následky.

Není neobvyklé, že v rámci penetračního testování takové aplikace je náš tým etických hackerů schopen získat přístup do databáze, neoprávněně ovládnout data a vykonávat akce s oprávněním administrátora.

Jednoznačně bych tedy na prvním místě doporučoval: „Nepodceňujte zejména desktopové aplikace, které běžně používáte ve své vnitřní síti.“

A co webové a mobilní aplikace?

Webové a mobilní aplikace jsou podle našich zkušeností naopak podstatně lépe zabezpečeny. Přetrvávajícími chybami ale stále zůstávají problémy s kontrolou autorizace, kdy poměrně často aplikace umožňuje vykonávat akce s oprávněním jiného uživatele, nebo dokonce administrátora.

Naopak na ústupu jsou pak různé injection zranitelnosti, které jsou často eliminované již na úrovni používaného frameworku aplikace.

Moderní framework je tedy zárukou bezpečnosti?

To by bylo příliš velké zjednodušení. Protože se zároveň setkáváme s častou absencí hardeningu jejich konfigurace – např. zapnuté ladicí výstupy nebo již zmiňované nedostatky v požadavcích na kvalitu hesel. 

Tyto nálezy jsou sice hodnocené často nižším stupněm závažnosti, ovšem pokud je útočník trpělivý nebo má dostatek zdrojů, je schopný i tyto chyby přetavit do úspěšného útoku.

Jaký může být scénář takového útoku?

Jeden příklad za všechny: velice často se setkáváme s únikem verze používaného softwaru nebo knihoven třetích stran, což je samo o sobě zranitelnost s velmi nízkou závažností. 

Pokud si ale útočník systematicky buduje znalostní bázi verzí vámi používaného softwaru a najednou se objeví zranitelnost pro některou z nich – je poměrně rychle schopný tuto zranitelnost využít např. pro spuštění vlastního kódu a získání přístupu k danému systému.

Tento přístup pak může rychle prodat na dark webu nějaké zkušené ransomwarové skupině anebo si své hackerské schopnosti může poměřit sám proti administrátorům dotčené organizace.

Přečtěte si také:

Pozor na časté zranitelnosti vnitřní sítě, které lze zneužít pro ovládnutí firmy

Jak tedy zvýšit bezpečnost aplikací?

■ Jako zákazníci požadujte pravidelné výsledky penetračního testu aplikace.

■ Jako výrobci aplikace testujte vždy před vydáním nové majoritní verze.

■ Jako vývojáři pamatujte, že se hrozby neustále vyvíjejí, a proto pravidelně sledujte doporučení autorit v oblasti kybernetické bezpečnosti.

■ Jako IT správci využívejte všechny bezpečnostní prvky, které aplikace poskytuje, např. vícefaktorové ověření, jako ochranu proti slabým heslům.

Jsou vaše firemní aplikace skutečně bezpečné – vyzkoušejte penetrační test. 

V příštím díle seriálu se zaměříme na téma threat huntingu a jeho význam pro kybernetickou bezpečnost firemních sítí. Naším průvodcem bude Václav Chlad, jeden z threat hunterů společnosti TNS, který se podělí o svůj pohled na tuto službu, často považovanou za „detektiva kyberbezpečnosti“.

Seriál vychází rovněž v tištěném SecurityWorldu, kde kromě něj najdete i celou řadu dalších témat týkajících se problematiky firemní bezpečnosti.

Partnerem seriálu IT bezpečná firma je: