Nepodléhejte iluzi bezpečnosti

10.06.2015

Ľuboslav Tiles, Sales manager ANASOFT

Pokud zanedbáte 3 základní pravidla, jakkoli kvalitní bezpečnostní zařízení váš web před kybernetickými riziky neochrání

ANASOFT is ready to protect you "family jewels"Internet snad s výjimkou svých prvopočátků, kdy fungoval pouze v akademickém prostředí, nikdy nebyl úplně bezpečným místem. V posledních letech však množství i rozmanitost internetových hrozeb a rizik roste. A s tím i potřeba chránit data, finanční transakce, nebo zkrátka "jen" dostupnost webové služby, tím i reputaci a dobré jméno vaší firmy.

Mnozí manažeři si uvědomují rizika, které na jejich firemní web v internetu číhají. IT oddělení se proto postupně nechávají zlákat iluzí neprůstřelnosti, kterou může navozovat nasazení webového aplikačního firewallu. Jde o stále populárnější zařízení, které se "vkládá" mezi webový server a internet, a které chrání například elektronický obchod nebo web banky.

Kvalitní webový aplikační firewall dokáže být při ochraně webových aplikací vůči internetovým hrozbám (například vůči pokusu o zahlcení a znefunkčnění webu, nebo pokusu o průnik hackera a krádež údajů) mimořádně účinný. Na ochranu umí využívat kombinaci více technik.

Například čerpá informace z neustále aktualizované databáze IP adres, z nichž právě probíhají útoky, ale především se snaží poznat chráněnou aplikaci. Laicky řečeno, zařízení aplikaci neustále zkoumá, analyzuje což je z pohledu její logiky normální a co ne, díky čemuž umí zabránit i neznámým typem hrozeb. Navíc, se dokáže adaptovat na změny, čili pokud aplikaci aktualizujete a změníte, tak webový aplikační server se na změny adaptuje a automaticky se přizpůsobí její nové funkcionalitě.

Bezpečnost v IT však nikdy nesestává pouze z jedné vrstvy a už vůbec neplatí, že se stačí soustředit na jedinou z nich.

Zde jsou 3 věci, kterým byste měli věnovat pozornost před nasazením webového aplikačního firewallu.

  • Na bezpečnost webové aplikace třeba myslet již při návrhu její architektury, při volbě platformy a při vývoji, při kterém často vznikají chyby a zranitelnosti. Jinými slovy, navrhnout webovou aplikaci třeba tak, aby nejen co nejlépe fungovala, ale aby nebyla ani "děravá" a snadno zranitelná. Ne všichni vývojáři se drží této filozofie.
  • I programátoři jsou jen lidé, kteří se často příliš zahledí do své práce. Při ladění a testování aplikace jim pak může chybět potřebný odstup, proto je užitečné dát si po vyvinutí aplikace udělat revizi kódu a posoudit bezpečnostní rizika i třetí stranou. Není třeba k tomu vždy nezbytně najímat externí firmu, někdy stačí když takovou kontrolu udělá jiný programátor nebo vývojářský tým.
  • Třetí základní stavební prvek dobře zabezpečeného webu jsou penetrační testy. Je třeba je dělat pravidelně a poměrně často. Někdy firmy šetří a neudělají penetrační testy kvartálně, ale například jednou ročně, ačkoliv mezitím webovou aplikaci čtyřikrát aktualizují. Internetové hrozby se však mění doslova dennodenně a úkolem penetračních testů je odhalovat také rizika vyplývající z nových, zatím neznámých hrozeb.

Když máte dobře navrženou, vyvinutou i auditovanou webovou aplikaci, je webový aplikační firewall takříkajíc poslední třešničkou na dortu, která vám pomůže minimalizovat rizika úniku a zneužití dat, znepřístupnění zda pozměnění vašeho webu, nebo kompromitace finančních transakcí, které poskytujete online. Pamatujte, že 100% ochrana neexistuje - vždy třeba hledat optimální balanc mezi úrovní bezpečnosti (a souvisejícími náklady) a potenciálními riziky.