Testy bezpieczeństwa aplikacji internetowych

Testy bezpieczeństwa aplikacji internetowych

Wprowadzamy nową usługę: testy bezpieczeństwa aplikacji internetowych. Na przestrzeni lat wytworzone przez nas systemy niejednokrotnie były testowane pod kątem bezpieczeństwa przez zewnętrzne firmy. A jako, że temat IT security jest bardzo ciekawy to małymi kroczkami zaczęliśmy zmierzać w tym kierunki. Ale zacznijmy od początku…

Jak to było kiedyś

Dawno temu, z początku było samo programowanie, tworzenie kodu aplikacji, testy funkcjonalne i wdrożenie na serwer. W takcie programowania oczywiście realizowane były dobre praktyki wyuczone na studiach i wszelkich źródłach internetu jednak ze względu na to, że nikt nie atakował (albo robił to nad wyraz delikatnie) i nikt o to nie pytał to my nie przywiązywaliśmy szczególnej wagi do bezpieczeństwa ponad logicznie wymagany poziom. Tą, niekoniecznie słuszną drogą przeszliśmy pierwszych kilka lat działalności zupełnie suchą nogą.

Zmiana perspektywy

Z czasem okazało się, że samo tworzenie oprogramowania jest zbyt wąską dziedziną działalności, nader często musieliśmy korzystać zewnętrznych usług. Ewolucyjnie oferowane usługi programistyczne poszerzyliśmy o związane z infrastrukturą IT – konfiguracja i utrzymanie serwerów. W dziedzinie opieki nad serwerami kwestie bezpieczeństwa są krytyczne. To poszerzenie usług o zarządzanie infrastrukturą IT było punktem przełomowym w perspektywie bezpieczeństwa wytwarzanych aplikacji. Administrator serwera (tzw SysOp) ma pełne ręce roboty jeśli aplikacje uruchamiane na jego serwerze nie są bezpieczne – drobna podatność i na serwerze zamontowany jest nieproszony gość. Na serwerze, za który odpowiada jego administrator. Zaczęliśmy więc przykładać wagę do kwestii bezpieczeństwa na płaszczyźnie administracji serwerami. Kolejnym krokiem ewolucji były zlecone zewnętrznym firmom testy bezpieczeństwa aplikacji wykonanych przez nas – kilku klientów zleciło takie testy. Efekty bywały ciekawe, co sprowokowało nas do nauki w tą stronę.

Teraźniejszość – testy bezpieczeństwa

Na stępie dziękujemy za poszerzenie perspektywy niebezpiecznikowi ;-) Teraz nasze aplikacje logują co się dzieje wokół nich, informują o wyjątkach, realizują wymagania OWASP Top10, blokują skanowanie przez zewnętrzne aplikacji. Stale przyświeca nam zasada loguj wszystko – na wypadek incydentu łatwo możemy dojść do przyczyny problemu. Wdrożone systemy testujemy również w środowisku produkcyjnym pod kątem bezpieczeństwa.  Niedawno zaczęliśmy również oferować testy bezpieczeństwa jako usługę dla klientów.
Podsumowując z perspektywy czasu, naturalną drogą ewolucji wydaje się być droga, którą przebyliśmy: tworzenie oprogramowania -> opieka i zarządzanie serwerami -> zainteresowanie tematyką bezpieczeństwa -> testy bezpieczeństwa aplikacji internetowych.

Dlaczego warto wykonywać testy bezpieczeństwa?

Z praktyki wynika, że przy testach penetracyjnych infrastruktury klienta podatność systemów sięga około 10-15%. W przypadku  aplikacji internetowych udaje się odnaleźć poważne uchybienia bezpieczeństwa w przybliżeniu około 40% systemów on-line! Warto zbadać bezpieczeństwo swojej aplikacji nim dostęp do danych Twoich klientów uzyska nieupoważniona osoba.