Hírek / Sajtóközlemény Micro Focus trendek:A hiba az ön készülékében van? Ellenőrizze! Imre Bende (beiraai@gmail.com) 2018. december 11. kedd „Az igazi hiba az, ha hibázol, és nem javítod ki.” Konfuciusz, ókori kínai filozófus BUDAPEST 2018. december 11. Az alkalmazások biztonságának ellenőrzésénél a vállalatok soha nem lehetnek elég alaposak, hiszen a sérülékenységek rendkívül változatos formákban jelentkeznek, és folyton új hibák bukkannak fel, amelyeket a kiberbűnözők igyekeznek kihasználni. A Micro Focus szakértői szerint érdemes figyelemmel kísérni a trendeket, illetve a leggyakoribb problémákat, és professzionális eszközt alkalmazni a sebezhetőségek feltérképezésére. A sebezhető szoftverek a kiberbűnözők kiskapui az adott programokat használó vállalatok rendszereibe. A cégek és informatikai részlegeik felelőssége, hogy naprakész megoldásokat használjanak, és mindig a lehető legrövidebb idő alatt telepítsék azokat a frissítéseket, amelyek befoltozzák a már javított sérülékenységeket. A szoftverfejlesztőkre is jelentős felelősség hárul azonban, hiszen az ő feladatuk, hogy olyan szoftvereket adjanak ki a kezük közül, amelyek védettek az összes ismert hibával szemben. Továbbá a lehető legrövidebb idő alatt kell elkészíteniük a javításokat, amint napvilágra kerül egy újabb biztonsági rés. A szoftverfejlesztési folyamatnak ezért rendkívül fontos eleme az alkalmazások biztonságának tesztelése, az esetleges hibák feltérképezése és javítása. Ehhez szerencsére számos forrás áll rendelkezésre. Bizonyos esetekben már éppen az okozhatja a gondot, hogy túl sok az információ, és a fejlesztők nem tudják, mely útmutatók mentén ellenőrizzék szoftvereik sebezhetőségét. Az OWASP csak az első lépés Jó kiindulópont az OWASP (Open Web Application Security Project) független, nyílt, nemzetközi non-profit szervezet toplistája, amely minden évben bemutatja a 10 leggyakoribb webes sérülékenység típusait. A legutóbbi felsorolásban például olyan hibák szerepeltek az élen, amelyek lehetőséget biztosítanak a megbízhatatlan adatok vagy utasítások befecskendezésére, a hitelesítési folyamatok vagy felhasználói munkamenetek eltérítésére, az érzékeny adatok megszerzésére, XXE (XML external entity) alapú károkozásokra, a rosszindulatú kódok beillesztésére, valamint a hozzáférések helytelen felügyeletéből és a hibás biztonsági konfigurációkból eredő rendellenességek kihasználására. A sebezhetőségeket és a megelőzési módszereket részletező dokumentumban azonban maga a szervezet is arra figyelmezteti a fejlesztőket, hogy ne álljanak meg ennél a listánál, mivel több száz további probléma lehet negatív hatással a webes alkalmazások biztonságára. Ezt támasztja alá a Micro Focus saját kutatása is. A vállalat által tesztelt alkalmazások 90 százalékában ugyanis akadt olyan általános sérülékenység, közel felében pedig olyan, kritikus vagy magas kockázatú hiba, amely nem szerepelt az OWASP toplistáján. Hol a hibahatár? A Micro Focus a jelentésében azokat a sérülékenységi adatokat összegzi és elemzi, amelyeket alkalmazásbiztonságot tesztelő platformja, a Fortify on Demand gyűjtött össze. A megoldás 25 programozási nyelvet támogat, és különböző tesztelési módszereket használva vizsgálja a helyszínen futtatott, valamint mobilos és webes alkalmazások réseit, a forráskód statikus analizálásától kezdve a penetrációs teszteken át a mobilos és kézi elemzésig. A legfrissebb, 2018-as Application Security Research jelentésben több mint 7800 webes és 700 mobilos alkalmazás vizsgálatának eredménye látható, anonimizált módon. A tanulmányban a legtöbb hibát a webes alkalmazások környezetében, valamint beágyazásuk és biztonsági funkcióik között találták a Micro Focus szakemberei. A leggyakoribb, általános jellegű sebezhetőségek a rendszerinformációk szivárgása, a sütik biztonsága és az adatforgalom kapcsán jelentkeztek, míg a kritikus sérülékenységek a legtöbb esetben a jelszavak kezelésénél és a rosszindulatú kódok beilleszthetőségénél merültek fel. A sérülékenységek tehát rendkívül sokrétűek lehetnek, ezért a fejlesztőknek kiemelt figyelemmel kell kezelniük őket. Jóval egyszerűbbé teszik azonban ezt a feladatot az olyan alkalmazásbiztonságot tesztelő eszközök, mint például a Micro Focus Fortify termékcsaládja. Az eszközök segítségével a vállalatok a teljes szoftverfejlesztési ciklus során, automatizáltan tesztelhetik a helyszínen vagy a felhőben futtatott alkalmazások biztonságát. A megoldások hatékony módszerekkel vizsgálják a programokat, és egyszerűen és gyorsan listázzák a javításra váró hibákat. A Micro Focus szakértői rendszeresen frissítik az ellenőrzésre váró sebezhetőségek gyűjteményét, így a termékek támogatást nyújtanak a legújabb fenyegetések elhárításában is. Magyarországi Képviselet A NetIQ Novell SUSE Magyarországi Képviselet a vállalati szoftvermegoldások hazai piacának egyik legfontosabb szereplője, a vállalati infrastruktúra egészére kiterjedő megoldást nyújt.A NetIQ termékvonal átfogó biztonsági portfóliót kínál, különös tekintettel a személyazonosság-kezelés, biztonság, megfelelőség és szolgáltatásmenedzsment terén. A Novell csoportmunkaeszközök, hálózati és fájlkezelési megoldások, valamint rendszer-felügyeleti termékek segítségével a vállalatok és intézmények produktívabbá, biztonságosabbá és könnyebben felügyelhetővé tehetik munkakörnyezetüket. A SUSE Linux, valamint a köré épülő portfólió hatékony, nyílt forráskódú megoldásokat biztosít a fizikai, virtuális és felhőalapú környezetekben egyaránt, legyen szó akár szerverekről, desktop oldali igényekről, felügyeletről vagy szolgáltatásokról.A NetIQ, a Novell és a SUSE anyavállalatai a Micro Focus cégcsoport részét képezik.A Magyarországi Képviselet termékeivel, az egyes területekre fókuszált fejlesztéssel, hazai konzultációs részlegével és partnereivel segíti ügyfeleit a kritikus fontosságú üzleti alkalmazások biztonságos, költséghatékony, és megbízható üzemeltetésében. Sajtókapcsolat Jekler RudolfKommunikációs vezető+36-1-489-4600+36-20-9675-565 Kovács ViolaVezető tanácsadó+36-1-488-0255+36-20-391-7382