Yüksək Texnologiyalı Körpü ilə Pen-Test Veb və Mobil Proqramlar

Tətbiq təhlükəsizliyi və maşın təhsili sahəsində beş illik araşdırmadan sonra tətbiqetmə təhlükəsizliyi sınağının davamlı təcrübəsi ilə dəstəklənən Yüksək Texnologiyalı Körpü, ImmuniWeb® adlı unikal Tətbiq Təhlükəsizliyi Testi (AST) Platformasını inkişaf etdirdi..

Bu mükafat qazanan platforma, 40-dan çox ölkədə şirkətlər, hökumətlər və çoxmillətli təşkilatlar tərəfindən dinamik, statik və interaktiv tətbiqetmə təhlükəsizliyi sınağı, davamlı təhlükəsizlik monitorinqi və uyğunluğu təmin edir. ImmuniWeb, 158-dən çox ölkədə qlobal şirkətlər tərəfindən etibar edilən PwC TVM Çərçivəsinin bir hissəsidir.

İlia Kolochenko, Yüksək Texnologiyalar Körpüsünün baş direktoru, həm kibertəhlükəsizliyin mütəxəssisi, həm də təcrübəçi, eyni zamanda St Louisdəki Vaşinqton Universitetində magistr dərəcəsini davam etdirən bir hüquqşünasdır.

Şirkət haqqında məlumat

Kolochenko, Yüksək Texnologiyalar Körpüsünün AST texnologiyasında irəliləməsinə səbəb olan tərəqqi təsvir edir. 2007-ci ildə qurulduğu ilk dövrdə şirkət müstəqil kibertəhlükəsizliyə dair konsaltinq və audit xidmətləri göstərmiş və əsasən İsveçrə maliyyə qurumları, beynəlxalq təşkilatlar və lüks şirkətlər üçün qələm test xidmətləri sahəsində böyük təcrübə qazanmışdır. Nəticələr əla idi. Bununla yanaşı, Kolochenko etiraf edir ki, öz texnologiyasını qurmadan kibertəhlükəsizlik şirkəti ya çox yavaş böyüyəcək, ya da üçüncü tərəf məhsullarını satmaq məcburiyyətində qalacaq. Satış sürüşkən bir yamacdır, çünki tez-tez şirkətlər müştəri üçün ən yaxşı həll yolu deyil, ödənilən komissiyalar baxımından ən sərfəlidir..

Satıcı müstəqil konsaltinq şirkətinin sarsılmaz şüarına əsaslanaraq, “yenidən satmaq” dan imtina, San-Fransisko, London və Sinqapurdakı bir sıra texnoloji ortaqlıqlar ilə birlikdə, şirkətin özünəməxsus texnologiyasını inkişaf etdirmək istəyinə səbəb oldu. Şirkət, Yüksək Texnologiyalar Körpüsünün Böyük Britaniyanın hökumət qurumları üçün təhlükəsizlik qiymətləndirməsini aparmağa imkan verən CREST tərəfindən akkreditə olunmuşdur.

Tədricən şirkət inkişaf etdi ImmuniWeb ®, Tətbiq Təhlükəsizliyi Test Platforması tətbiq zəifliyi tarama ağıllı avtomatlaşdırılması üçün maşın öyrənmə texnologiyasından istifadə edir. Platform, hər hansı bir yerdəki hər kəsə bir kompüter və ya mobil telefondan bir neçə klik tətbiq tətbiq təhlükəsizliyini sınamağa və başlamağa imkan verir. İlianın öz sözləri ilə üstünlükləri aşağıdakıları birləşdirir:

  1. Hibrid Təhlükəsizlik Testi yanaşması – real vaxtda avtomatlaşdırılmış testlə əl ilə əlaqələndirən və sinxronlaşdıran bir yanaşma. Hər birinin güclü xüsusiyyətlərindən istifadə edərək, etibarlılıq və həssaslıq səviyyəsini artırarkən sınaq müddətini azaltan bir hibrid texnologiya yaratdıq; və müştərilər üçün sərfəlidir.
  1. Maşın öyrənməsi, AI şırınga ilə qarışdırılmamaq, AST texnologiyasının təkamülü üçün olduqca böyük bir addımdır. Avtomatlaşdırma, bildiyimiz kimi, ümumiyyətlə boşaldılmış keyfiyyət verir. Maşın təhsili ilə ağıllı avtomatlaşdırma keyfiyyəti aşağı salmasa da, qabaqcıl sınaq üçün tələb olunan insan vaxtını azaldır və nəticədə xərcləri azaldır..
  2. Əlbəttə ki, insan heç vaxt insan ağlını tamamilə əvəz edə bilməz, çünki bəzi vəzifələr çox çətin olur. Məsələn, bir veb saytında uçuş biletləri satın aldığınız zaman oturma nömrənizi və ekonom sinif biletinizi seçə bilərsiniz, lakin HTTP sorğularının bəzi sadə manipulyasiyaları sayəsində iş yerində oturun. Bu, tətbiq məntiqindəki qüsur kimi aydın görünür. Ancaq birinci sinif sərnişini biznes sinifində oturmaq olar? Bu cür suallara ümumiyyətlə yalnız müştərinin iş prosesləri ilə tanış bir insan cavab verə bilər. Buna görə ImmuniWeb, insan testini əvəz etmək deyil, mümkün olduqda insanın iştirakını azaltmaq və optimallaşdırmaq məqsədi daşıyır.

Biz özümüzü tədqiqata sərmayə qoyan bir elmi şirkət olaraq təyin edirik, lakin tənqidi olaraq, platformamız texniki biliyi olan və ya olmayan hər kəs üçün istifadəçidir.

Tipik müştəriniz kimdir?

Müştərilərimizə həm e-ticarət veb saytlarını, həm də mobil tətbiqetmələrini sınamaq və təmin etmək üçün platformamızdan istifadə edən həm böyük, həm də çoxmillətli şirkətlər və KOM-lar daxildir. Ən böyük Veb Tətbiq Firewall şirkətləri ilə texnoloji tərəfdaşlığımız müştərilərimizə sürətli və etibarlı virtual açığı düzəldmə qurğusu təqdim edir.

Gartner, “İnfrastruktur deyil, tətbiqlər, məlumatların yayılması üçün əsas vektor hücumunu təmsil edir.” İzah edə bilərsən?

Əksər zəifliklər tətbiq tərəfində, əsasən veb və mobil tətbiqlərdə olur. Çox az şirkət öz veblərini, VPN və ya e-poçt serverlərini sıfırdan qurmağa qərar verir və hazırda çox azdır. E-poçt serverinizdəki zəifliklərin əksəriyyəti, ehtimal ki, illər əvvəl tapılmış və yamaqlanmışdır, qalanları həddindən artıq mürəkkəbliyə görə aşkarlanmasına illər lazım ola bilər. Şirkətlərin böyük əksəriyyəti riskli həssaslıqlara yoluxmuş xüsusi veb və mobil tətbiqetmələr qursa da, onların istismarı çox vaxt mənasızdır və hətta yeni başlayanlar da asanlıqla edilə bilər..

Tətbiqləri təhlükəsizlik üçün sınaqdan keçirərkən ən çox axtardığınız şeylər nələrdir?

Fərqli bir çox zəiflik və onların dəyişməsi var, buna görə də konkret olaraq hər hansı bir şeyi qeyd etmək çətindir. Ən çox rast gəlinən veb tətbiq zəifliyi üçün OWASP Top 10 təsnifatına baxa bilərsiniz. İri şirkətlər çox vaxt sadə səhvlərə yol verirlər. XSS, CSRF və ya müxtəlif enjeksiyonlar kimi klassik zəifliklərə qarşı davamlı olaraq tətbiq məntiqini yoxlamağı və sərtləşdirməyi unuturlar. Bu endirim kodlarının sonsuz istifadəsinə, malların pulsuz çatdırılmasına və ya hətta yalnış ödənilmələrə səbəb ola bilər. Bəzi zəifliklərdən istifadə etmək çətindir, lakin aşkar etmək çətindir. Təəccüblüdür ki, bir çox böyük (və kiçik) şirkətlər ümumi hesablarına təhlükə yaradan idarəetmə hesabları üçün defolt və ya zəif şifrələrdən istifadə edirlər.

Veb və mobil tətbiqetmələrlə qarşılaşdığınız ən çox görülən təhlükəsizlik problemləri nədir?

OWASP Top 10 qüsurları mütləq çox sayda olacaq, lakin ən maraqlıları tətbiq məntiqində və ya bir neçə zəifliyin zəncirli istifadəsində olur. Həm də yadda saxlamalıyıq ki, OWASP Top 10 çətin ola bilər – sadə bir XSS açıq mənbəli skanerlə də aşkar edilə bilər. Bununla birlikdə, etibarlı insan girişini (məsələn, mövcud müştəri ID və bank hesabı nömrəsini) tələb edən vahid səhifə tətbiqetməsində DOM-a əsaslanan XSS aşkar etmək çox mürəkkəb ola bilər. Budur hibrid yanaşmamız və maşın öyrənmə texnologiyası oyuna girir.

Tətbiq edənlər üçün tətbiqlərini təmin etmək üçün hansı stimul var? Və bunu hansı qaydalar məcbur edir?

Bu, yalnız tətbiqetmələr haqqında deyil, ümumi kibertəhlükəsizliyin idarə olunması ilə bağlıdır. Bu gün bütün şirkətlərin riayət etməli olduğu dörd əsas, kritik təhlükəsizlik prinsipi var:

  • Rəqəmsal aktivlərinizin (proqram təminatı, hardware, məlumatlar, istifadəçi hesabları və lisenziyalar daxil olmaqla) tam və müasir bir inventarına sahib olmalısınız. Əgər sizdə yoxdursa, heç bir kiber təhlükəsizlik həlli kömək etməyəcək, çünki təcavüzkarlar unudulmuş bir cihaz və ya tətbiq tapacaq, pozur və hücumu yaymağa başlayacaqlar.
  • Qarşınıza gələ biləcəyi və ola biləcəyi riskləri müəyyənləşdirmək və qiymətləndirmək üçün hərtərəfli risk qiymətləndirməsini aparmaq lazımdır. Kiber təhlükəsizlik təhlükəsizliyi strategiyası riskə əsaslanan və müəyyən risklər, təhdidlər və daxili proseslər üçün qəbul edilməlidir
  • Kibertəhlükəsizlik strategiyası dəqiq müəyyənləşdirilməli və düşünülmüş proses və prosedurlara əsaslanmalıdır. İnsanlar öz vəzifələrini və məsuliyyətlərini aydın şəkildə bilməli və qərarların qəbul edilməsi və onları həyata keçirmək üçün kifayət qədər gücə sahib olmalıdırlar.
  • Bitdikdən sonra yeni risklər, təhdidlər və zəifliklər, həmçinin tətbiq olunan təhlükəsizlik nəzarətinin effektivliyi üçün davamlı təhlükəsizlik monitorinqini həyata keçirin. Çox böyük bir mövzudur, lakin hər hansı bir anomaliyaları və ya qeyri-adi davranışları, çatışmazlıqlar və köhnəlmiş proqram təminatlarını və yeni cihazları və tətbiqləri dərhal aşkar etdiyinizə və reaksiya verdiyinizə əmin olun..

Mobil tətbiqetmələrin təhlükəsizliyini gücləndirmək üçün AI-dən necə istifadə etmək olar?

Düşünürəm ki, AI-dən çox, maşın öyrənməsi və ağıllı avtomatlaşdırma haqqında danışmaq daha uyğun olar. Bir insanı əvəz edə bilən güclü AI mövcud deyil və növbəti on il ərzində mümkün olmayacaqdır.

Maşın öyrənmə texnologiyalarının tətbiqi insan vaxtını əhəmiyyətli dərəcədə azalda bilər, xərcləri azaldacaq və müştərilərə daha yaxşı dəyər verə bilər.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me