האם אנשי אבטחת המידע בארגון עסוקים יתר על המידה בהגנה על הרשת שלהם כאשר החוליה החלשה הן חולשות ברמת האפליקציה?
איך הפכו המתקפות האפליקטיביות לאיום כלכך משמעותי על הארגון? ומה הגורם להם?
ה- DHS (המחלקה לביטחון פנים בארה"ב) פרסמה כי "90 אחוזים מאירועי אבטחת המידע נגרמים כתוצאה מחשיפות של פגמים בתוכנה".
טים קלארק מ- SAP אומר: "לארגונים רבים יש אבטחת רשת מעולה, אך זה לא מספיק כאשר 84 אחוזים מכל מתקפות סייבר מתרחשות ברמת האפליקציה".
הסטטיסטיקות מראות כי בארגונים פיננסים יש לכל מערכת פעילה בארגון כ- 12 חולשות אבטחת מידע כאשר מתוכן 6 משמעותיות! אם נכפיל את זה בכמות המערכות שיש בארגון פיננסי נקבל שבכל ארגון קיימות מאות חשיפות אפליקטיביות.
מה שיותר מדאיג שלהרבה מערכות אין כלל מנגנון תיעוד וניתור ברמה האפליקטיבית כך שהארגונים לא תמיד יודעים כאשר הם מותקפים במתקפות אפליקטיביות.
אז מה גרם לאחוזים הגבוהים של המתקפות האפליקטיביות?
איך זה שבמערכות פיננסיות (לא רק) יש כל כך הרבה חשיפות אפליקטיביות?
תחילה נבין איך נוצרות חולשות אפליקטיביות
ע"פ (CWE (Common Weakness Enumeration קיימות למעלה מ- 700 חולשות אפליקטיביות, כלומר חולשות שהמפתחים עלולים לייצר בזמן פיתוח האפליקציה. המפתחים בד"כ לא לומדים על פיתוח מאובטח במכללות אוניברסיטאות ובמקומות אחרים שבהם לומדים לפתח, כך שהרבה חולשות בתוכנה נוצרות כתוצאה מחוסר ידע של המפתחים. בחלק מהמקרים גם כשקיים הידע, צוותי הפיתוח לרוב מתמקדים בפיתוח עוד פיצ'רים לאפליקציה וב- Time to market שתמיד לחוץ ודחוף כך שנושא ה-Security אינו בפוקוס של צוותי הפיתוח.
אם כך מדוע גם המפתחים וגם אנשי אבטחת המידע בארגון, אינם מתמקדים בפיתוח מאובטח?
אחת הבעיות המרכזיות היא שהרבה אנשי אבטחת מידע לא מבינים בפיתוח תוכנה – והרבה אנשי פיתוח תוכנה לא מבינים באבטחת מידע.
ברוב הארגונים אנשי אבטחת המידע הם בעלי רקע תשתיתי ואינם מכירים לעומק את עולם הפיתוח ואת תחום ה- Application Security
גם הפוקוס של רוב הארגונים הוא בהגנה התשתיתית וכמעט ולא מטפלים בתחום האפליקטיבי. הארגונים טובעים במוצרי אבטחה תשתיתיים שמרביתם כלל אינם מסוגלים לעצור מתקפות אפליקטיבות.
מה שקורה בפועל הוא שבזמן שה-CISO עסוק בלסגור עוד חוק ב- Firewall המפתחים יוצרים בארגון עשרות חולשות חדשות.
אז מה עושים?
הפתרון לבעיה זו נקרא SSDLC – Security Software Development lifecycle.
SSDLC הינו תהליך אשר משלב את אבטחת המידע בתהליך הפיתוח ומאפשר למפתחים לפתח אפליקציות מאובטחות יותר. לדוגמה, בשלב הדרישות בנוסף לדרישות הפונקציונליות מגדירים דרישות אבטחת מידע, בשלב כתיבת הקוד מבצעים Secure Code Review, בשלב הבדיקות מבצעים מבדקי חדירה וכן הלאה.. כאשר כל התהליך נעטף בהכשרה וליווי של המפתחים, וכן.. יש SSDLC שמותאם גם לפיתוח ב- AGILE.
כיום חלה התעוררות ויותר ויותר ארגונים מטמיעים תהליך של SSDLC. ארגונים שמימשו תהליך זה מפתחים כיום אפליקציות ומערכות מאובטחות יותר ואף הוזילו את עלויות הפיתוח.