Nepodliehajte ilúzii bezpečnosti

10.06.2018

Ľuboslav Tileš, Sales manager ANASOFT

Ak zanedbáte 3 základné pravidlá, akokoľvek kvalitné bezpečnostné zariadenie váš web pred kybernetickými rizikami neochráni

ANASOFT is ready to protect you "family jewels"

Internet azda s výnimkou svojich prvopočiatkov, kedy fungoval iba v akademickom prostredí, nikdy nebol úplne bezpečným miestom. V posledných rokoch však množstvo aj rozmanitosť internetových hrozieb a rizík rastie. A s tým aj potreba chrániť dáta, finančné transakcie, alebo skrátka „len“ dostupnosť webovej služby, tým aj reputáciu a dobré meno vašej firmy.

Mnohí manažéri si uvedomujú riziká, ktoré na ich firemný web v internete striehnu. Uvedomelejšie IT oddelenia sa preto postupne nechávajú zlákať ilúziou nepriestrelnosti, ktorú môže navodzovať nasadenie webového aplikačného firewallu. Ide o čoraz populárnejšie zariadenie „vsunuté“ medzi webový server a internet, ktoré chráni napríklad elektronický obchod alebo web banky.

Kvalitný webový aplikačný firewall dokáže byť pri ochrane webových aplikácií voči internetovým hrozbám (napríklad voči pokusu o zahltenie a znefunkčnenie webu, alebo pokusu o prienik hackera a krádež údajov) mimoriadne účinný. Na ochranu vie využívať kombináciu viacerých techník.

Napríklad čerpá informácie z neustále aktualizovanej databázy IP adries, z ktorých práve prebiehajú útoky, ale predovšetkým sa snaží spoznať chránenú aplikáciu. Laicky povedané, zariadenie aplikáciu neustále skúma, analyzuje čo je z pohľadu jej logiky normálne a čo nie, vďaka čomu vie zabrániť aj neznámym typom hrozieb. Navyše, dokáže sa adaptovať na zmeny, čiže ak aplikáciu aktualizujete a zmeníte, tak webový aplikačný server sa na zmeny adaptuje a automaticky sa prispôsobí jej novej funkcionalite.

Bezpečnosť v IT však nikdy nepozostáva iba z jednej vrstvy a už vôbec neplatí, že sa stačí sústrediť na jedinú z nich.

Tu sú 3 veci, ktorým by ste mali venovať pozornosť pred nasadením webového aplikačného firewallu.

  • Na bezpečnosť webovej aplikácie treba myslieť už pri návrhu jej architektúry, pri voľbe platformy a pri vývoji, pri ktorom často vznikajú chyby a zraniteľnosti. Inými slovami, navrhnúť webovú aplikáciu treba tak, aby nielen čo najlepšie fungovala, ale aby nebola ani „deravá“ a ľahko zraniteľná. Nie všetci vývojári sa držia tejto filozofie.
  • Aj programátori sú len ľudia, ktorí sa často priveľmi zahľadia do svojej práce. Pri ladení a testovaní aplikácie im potom môže chýbať potrebný odstup, preto je užitočné dať si po vyvinutí aplikácie urobiť revíziu kódu a posúdiť bezpečnostné riziká aj treťou stranou. Netreba k tomu vždy nevyhnutne najímať externú firmu, niekedy stačí keď takúto kontrolu urobí iný programátor alebo vývojársky tím.
  • Tretí základný stavebný prvok dobre zabezpečeného webu sú penetračné testy. Treba ich robiť pravidelne a pomerne často. Niekedy firmy šetria a neurobia penetračné testy kvartálne, ale napríklad raz ročne, hoci medzitým webovú aplikáciu štyrikrát aktualizujú. Internetové hrozby sa však menia doslova denno-denne a úlohou penetračných testov je odhaľovať aj riziká vyplývajúce z nových, zatiaľ neznámych hrozieb.

Keď máte dobre navrhnutú, vyvinutú i auditovanú webovú aplikáciu, je webový aplikačný firewall takpovediac poslednou čerešničkou na torte, ktorá vám pomôže minimalizovať riziká úniku a zneužitia dát, zneprístupnenia či pozmenenia vášho webu, alebo skompromitovania finančných transakcií, ktoré poskytujete online. Pamätajte, že 100 % ochrana neexistuje – vždy treba hľadať optimálny balans medzi úrovňou bezpečnosti (a súvisiacimi nákladmi) a potenciálnymi rizikami.

Mohlo by vás zaujímať