שני 23 דצמבר 2024

דעות - מאמרים

אבטחת מידע היא מילה שגורה בפיהם של אנשי הרשת והתשתיות זה זמן רב. אולם, בשנים האחרונות אנו עדים למעבר הדרגתי של נושאי האבטחה גם לרמות גבוהות יותר - רמת האפליקציה. בתוך העולם שנקרא אפליקציות אנו כוללים את העולם שתחיל במערכות ההפעלה, דרך תוכנות שימושיות כמו word ו outlook ועד לאתרי האינטרנט. מדי בוקר אנו עדים לכתבות בדבר פרצות חדשות שנתגלו באפליקציות ובאתרי אינטרנט כמו GMAIL  או Hotmail כמו גם במערכות פורומים פה בארץ, ואפילו באתרי האינטרנט של הבנקים הגדולים בהם לכם ולי יש חשבון וכספים החשופים להתקפותיהם של האקרים.

חברות מחקרים כמו גרטנר ו IDC מפרסמות בכל פעם מחדש כתבות בסגנון "Web server attacks and website defacements rose 36 percent last year" ולפיכך לא מעט כתבות אף נכתבו על המעבר מהגנה על השתיות והתקשורת להגנה על האפליקציות. זה נשמע די הגיוני הרי firewall ואנטי וירוס כבר יש לכולנו. אולם, האם לכל אחד מאיתנו יש משהו שמגן על המחשב שלו מפני התחברות לאפליקציות השולחות ומקבלות מידע?

האם לכל אתר אליו אנו גולשים יש משהו שדואג לביטחון הפרטים שאנו משאירים שם כמו מספר כרטיס האשראי שלנו ופרטי אישיים? מה היה קורה אם מישהו היה נכנס לאתר היכרויות כלשהו או לאתר מכירות פומביות כלשהו וגונב משם את אוסף הנתונים? אם זה פרטינו האישיים והאינטימיים ביותר ועד למספר כרטיס האשראי של כל אחד מאיתנו. ממש לאחרונה פורסמה כתבה בטלוויזיה על גניבת תמונות עירום ממחשביהן של נערות תמימות. תמונות אלו נמצאו חשופות להן באינטרנט ללא אישור הבנות הללו וגרמו עוול ועגמת נפש. לכל הפרצות הללו יש מכנה משותף אחד עיקרי -  הן כולם פרצות ברמת האפליקציה. לכן לא משנה איזה פיירוול תתקינו או איזה אנטי וירוס מתוקן הבעיה לא תיפתר. ללא תוספת ייעודית שכל מטרתה ועיקרה להגן על שכבת האפליקציה לא נהיה מוגנים.

לא מעט אתרים, ארגונים ופרויקטים צצו בכדי לדון ולעסוק בתחום ההגנה על שכבת האפליקציה והבולט שבהם הוא ארגון OWASP – Open Web Application Security Project שכמובן אף לו יש סניף ישראלי (שהוא הגדול בעולם) ואתר עולמי www.owasp.orgOWASP Top Ten  ובו הוא מפרת על עשרת הסיכונים הגדולים ביותר לאפליקציות web. כמו כן, משמש האתר מקור לכלים ומתודולוגיות שמשמשים את קהילת אנשי ה Security ובהם כלים כמו Proxy הנקרא WebScarab ואפליקציית web פגיעה לחלוטין למתקפות בכוונה תחילה (הנקראת WebGoat)כך שהאקרים מתחילים יוכלו להתנסות וללמוד כיצד מתבצע hacking וכיצד להתגונן מפניו.. ארגון זה חקר, בדק ופרסם את המסמך שנקרא

כמו בפיירוול המסורתי שהחל דרכו בחברה ישראלית זעירה ושמה צ'קפוינט גם בתחום זה הייתה ישראל החלוצה לספק פתרון. יתרה מזאת, רוב החברות הנותנות פתרון תשתיתי לבעיית אבטחת המידע על שכבת האפליקציה הן חברות ישראליות או לפחות כאלו לשעבר. הפיתרון הישן ביותר היה של חברה שנקראה Gillian כן היא תוצרת כחול לבן, אולם הפיתרון שנתנה היה לאתרים סטטיים בלבד הבנוייםעל HTML ללא תוכן דינאמי וללא טפסים, שלא להזכיר הגנה על מאגרי המידע (Databases). אחריה הגיעה חברה מכובדת שנרכשה לא מזמן בשם Sanctum שהיתה חלוצה בהגנה על אפליקציות דינאמיות. לצידה ולאחריה, קמו חברות כמו Kavado (מלשון קו אדום) שאף היא נרכשה לא מזמן וחברה כמו iMPERVA המצליחה מאוד וכמעט היחידה המספקת פיתרון הגנה הן על אתר האינטרנט והן על בסיסי הנתונים על כל סוגיהם. וממשק ניהול יחיד. בערבות הימים שינתה Gillian את שמה והפכה ל Breach Security שאף היא נותנת פיתרון להגנה על אתרי web דינאמיים.

כל החברות שהוזכרו לעיל החלו את דרכן בארץ והפתרון שכולן מספקות נקרא בשם כולל Web Application Firewall (WAF בקיצור). רק לידיעה חלק מהחברות שהוזכרו אף פיתחו מוצר לסריקת בעיות אבטחת מידע טרם עליה לייצור מוצר זה נקרא scanner.

לאחרונה פרסם ארגון נוסף הנקרא WASC (WebApplication Security Consortium - http://www.webappsec.org  מסמך ובו פירוט הקריטריונים לבחירת WAF. המסמך מחולק לתשעה פרקים כדלהלן:

  • Deployment Architecture – כיצד מותקן המוצר inline או sniffing, האם הוא יודע לחסום או רק להתריע וכו'
  • HTTP and HTML Support – תמיכה בגרסאות HTTPEncoding TypesAuthentication types ועוד.
  • Detection Techniques - פרק המתעסק בנרמול, ב positive security model  ובמאגר החתימות של המוצר.
  • Protection Techniques – דן בדרכי המגננה על cookies, sessions, בשיטות קריפטוגרפיה ונושאים נוספים.
  • Logging – דן בכל תחום התיעוד כגון event log,  תמיכה ב syslog נגישות לקובצי הלוג ועוד.
  • Reporting- מתעסק בכלי הדו"חות כיצד הם מוצגים סוגי דו"חות ופורמטים שונים של תצוגה.
  • Management – נוחות תפעול, Policy managementConfiguration management וכו'
  • Performance – איכות הביצועים ומעמד במצבי stress.
  • XML – תמיכה בפרוטוקול XML

 

את המסמך ניתן למצוא ב http://www.webappsec.org/projects/wafec/v1/wasc-wafec-v1.0.pdf.

למי שחשקה נפשו בפירוט נרחב יותר ובהשתלמויות בנושא ימצא בג'ון ברייס מצע מגוון של קורסים בתחום האפליקציה מקורסים בסיסיים כמו Secure Coding Primer ועד לReverse Engineering  וכולל התמחות בשפות פיתוח כמו .NET ו JAVA. הקורסים מציעים ללקוחותינו השתלמויות בנושאים אלו הן לאנשי פיתוח והן למנתחי מערכות ומנהלי פרויקטים וכמובן לאנשי אבטחת מידע (גם כאלו המגיעים מתחום הרשתות).