Varnost: Izzivi pri zaščiti aplikacij

Časi za IT so težki. Aplikacije nadomeščajo tradicionalno interakcijo z ljudmi in igrajo vse večjo vlogo v našem vsakdanjem življenju. Čeprav so hekerji pogosto predstavljeni v skorajda romantični luči in v nekaterih primerih dejansko pripomorejo k večji demokratičnosti, pa lahko dostop in nedovoljeno poseganje v npr. zdravstvene aplikacije s strani nepooblaščenih in neizurjenih ter škodoželjnih informacijskih kriminalcev predstavljata grožnjo za življenje državljanov. Torej ni nenavadno, da so v zahodnih državah kibernetski napadi, takoj za terorizmom obravnavani kot ena ključnih groženj za stabilnost in varnost.

Podjetje NTT Security, ki je del skupine NTT in eno največjih podjetij s področja informacijsko-komunikacijskih tehnologij na svetu, je v 12-mesečnem obdobju ugotovilo več kot 6,2 milijarde poskusov kibernetskih napadov. V svojem poročilu 2017 Global Threat Intelligence Report je podjetje NTT Security opredelilo najpogostejše kategorije napadov, ki so:

• Napadi na spletne aplikacije
• Napadi na spletne storitve
• Napadi na aplikacije
• Napadi DoS/DdoS

Zaščita aplikacij v tako turbulentnem okolju ni lahka naloga, vendar imajo ponudniki varnostnih sistemov pripravljene rešitve za zaščito aplikacij, ki ob pravilni uporabi skoraj izničijo možnost napada.

Pred napadi na spletne aplikacije, kot so napadi SQL injection, kjer napadalec poskuša izvesti poljubne SQL-ukaze z vnosom v vnosno polje, se lahko uspešno branimo z uporabo posebnih požarnih zidov za spletne aplikacije, ki delujejo na ravni aplikacij, ter s sistemom prepoznavanja vzorcev in obnašanja za ugotavljanje zlonamernih dejavnosti.

Nadaljnji primer so napadi DoS/DDoS, kjer napadalec z lažnimi zahtevki preplavi storitev, da bi onemogočil obdelavo veljavnih zahtevkov. Proti tovrstnim napadom se v javnih in zasebnih oblakih uspešno branimo z uporabo požarnih zidov, ki delujejo na ravni omrežij in aplikacij.

Izobraževanje zaposlenih in uporaba strogih pravil za zagotavljanje varnosti in zaščite podatkov sta glavno orožje IT strokovnjakov. Popolna zaščita je očitno mogoča samo ob hkratni uporabi tehnologij, orodij, procesov in ozaveščanja.

Avtor: Milan Bundalo (višji produktni vodja pri Comtrade Software)

Želite izvedeti več o kibernetskih napadih, zaščiti aplikacij in varnostnih izzivih? Pridružite se nam na poletni šoli EDIT 2017. Prijavite se lahko tukaj.