Essentials Penilaian Kerentanan Aplikasi Web: Langkah Pertama Anda ke Situs Web yang Sangat Aman

Jika suatu organisasi tidak mengambil pendekatan sistematis dan proaktif untuk keamanan web, dan untuk menjalankan penilaian kerentanan aplikasi web pada khususnya, maka organisasi itu tidak bertahan terhadap serangan kelas yang meningkat paling cepat. Serangan berbasis web dapat menyebabkan hilangnya pendapatan, pencurian informasi keuangan pelanggan yang dapat diidentifikasi secara pribadi, dan jatuh dari kepatuhan terhadap peraturan dengan banyak mandat pemerintah dan industri: Standar Keamanan Data Industri Kartu Pembayaran (PCI) untuk pedagang, HIPAA untuk organisasi perawatan kesehatan, atau Sarbanes-Oxley untuk perusahaan publik. Faktanya, firma riset Gartner memperkirakan bahwa 75 persen serangan terhadap keamanan web saat ini ditujukan langsung ke lapisan aplikasi.

Sementara mereka dideskripsikan dengan nama-nama yang tidak jelas seperti Cross-Site Scripting, SQL Injection, atau transversal direktori, mengurangi risiko yang terkait dengan kerentanan aplikasi web dan metode serangan yang mengeksploitasi mereka tidak perlu berada di luar jangkauan organisasi mana pun. Artikel ini, yang pertama dalam seri tiga bagian, akan memberikan tinjauan umum tentang apa yang perlu Anda ketahui untuk melakukan penilaian kerentanan untuk memeriksa risiko keamanan web. Ini akan menunjukkan kepada Anda apa yang dapat Anda harapkan untuk dicapai oleh pemindai keamanan aplikasi web, dan jenis penilaian apa yang masih membutuhkan mata ahli. Dua artikel berikut akan menunjukkan kepada Anda cara memperbaiki risiko keamanan web yang akan dibuka oleh penilaian kerentanan (dan akan ada banyak yang harus dilakukan), dan segmen terakhir akan menjelaskan cara menanamkan tingkat kesadaran, kebijakan yang tepat,

Apa Itu Penilaian Kerentanan Aplikasi Web?

Penilaian kerentanan aplikasi web adalah cara Anda mengidentifikasi kesalahan dalam logika aplikasi, konfigurasi, dan pengkodean perangkat lunak yang membahayakan ketersediaan (hal-hal seperti kesalahan validasi input yang buruk yang memungkinkan penyerang membuat sistem yang mahal dan crash aplikasi, atau lebih buruk), kerahasiaan (serangan SQL Injection, di antara banyak jenis serangan lain yang memungkinkan penyerang mendapatkan akses ke informasi rahasia), dan integritas data Anda (serangan tertentu memungkinkan penyerang mengubah informasi harga, misalnya ).

Satu-satunya cara untuk memastikan bahwa Anda tidak berisiko untuk jenis kerentanan ini dalam keamanan web adalah dengan menjalankan penilaian kerentanan pada aplikasi dan infrastruktur Anda. Dan untuk melakukan pekerjaan itu seefisien, akurat, dan selengkap mungkin membutuhkan penggunaan pemindai kerentanan aplikasi web, ditambah pakar yang ahli dalam kerentanan aplikasi dan bagaimana penyerang mengeksploitasi mereka.

Pemindai kerentanan aplikasi web sangat baik dalam hal apa yang mereka lakukan: mengidentifikasi kesalahan pemrograman teknis dan pengawasan yang menciptakan lubang pada keamanan web. Ini adalah kesalahan pengkodean, seperti tidak memeriksa string input, atau kegagalan untuk memfilter kueri basis data dengan benar, yang memungkinkan penyerang masuk, mengakses informasi rahasia, dan bahkan membuat crash aplikasi Anda. Pemindai kerentanan mengotomatiskan proses menemukan jenis-jenis masalah keamanan web; mereka dapat tanpa lelah merangkak melalui aplikasi yang melakukan penilaian kerentanan, melemparkan variabel yang tak terhitung jumlahnya ke bidang input dalam hitungan jam, sebuah proses yang bisa memakan waktu beberapa minggu untuk dilakukan secara manual.

Sayangnya, kesalahan teknis bukan satu-satunya masalah yang perlu Anda atasi. Ada kelas lain dari kerentanan keamanan web, mereka yang berada dalam logika bisnis aplikasi dan aliran sistem yang masih membutuhkan mata manusia dan pengalaman untuk mengidentifikasi dengan sukses. Apakah disebut peretas etis atau konsultan keamanan web, ada kalanya (terutama dengan aplikasi dan sistem yang baru dikembangkan dan disebarkan) bahwa Anda memerlukan seseorang yang memiliki keahlian untuk menjalankan penilaian kerentanan seperti halnya peretas.

Seperti halnya dengan kesalahan teknis, kesalahan logika bisnis dapat menyebabkan masalah serius dan kelemahan dalam keamanan web. Kesalahan logika bisnis dapat memungkinkan pembeli untuk memasukkan beberapa kupon dalam keranjang belanja – saat ini tidak boleh diizinkan – atau bagi pengunjung situs untuk benar-benar menebak nama pengguna pelanggan lain (seperti langsung di bilah alamat browser) dan memotong proses otentikasi untuk

technicaltalk.net mengakses akun orang lain. Dengan kesalahan logika bisnis, bisnis Anda mungkin kehilangan uang, atau informasi pelanggan mungkin dicuri, dan Anda akan kesulitan menemukan alasannya; transaksi ini akan dilakukan secara sah kepada Anda.

Karena kesalahan logika bisnis bukan slip-up sintaksis yang ketat, mereka sering memerlukan beberapa pemikiran kreatif untuk dikenali. Itu sebabnya pemindai tidak sangat efektif dalam menemukan masalah seperti itu, sehingga masalah ini perlu diidentifikasi oleh seorang ahli yang memiliki pengetahuan melakukan penilaian kerentanan. Ini bisa menjadi spesialis keamanan web in-house (seseorang yang sepenuhnya terpisah dari proses pengembangan), tetapi konsultan luar lebih disukai. Anda akan membutuhkan seorang profesional yang telah melakukan ini untuk sementara waktu. Dan setiap perusahaan dapat memperoleh manfaat dari audit pihak ketiga atas keamanan webnya. Mata baru akan menemukan masalah yang mungkin diabaikan oleh tim internal Anda, dan karena mereka telah membantu ratusan perusahaan lain, mereka akan dapat menjalankan penilaian kerentanan dan dengan cepat mengidentifikasi masalah yang perlu ditangani.

Melakukan Penilaian Kerentanan Anda: Langkah-Langkah Pertama

Ada beberapa alasan organisasi Anda mungkin perlu melakukan penilaian kerentanan. Bisa jadi hanya dengan melakukan pemeriksaan mengenai keseluruhan postur risiko keamanan web Anda. Tetapi jika organisasi Anda memiliki lebih dari segelintir aplikasi dan sejumlah server, penilaian kerentanan dengan cakupan yang begitu besar bisa sangat besar. Hal pertama yang perlu Anda putuskan adalah aplikasi apa yang perlu dinilai, dan mengapa. Ini bisa menjadi bagian dari persyaratan PCI DSS Anda, atau untuk memenuhi persyaratan HIPAA. Atau cakupannya bisa berupa keamanan web dari satu aplikasi tunggal yang siap digunakan.

Setelah mengetahui cakupannya, Anda perlu memprioritaskan aplikasi yang perlu dinilai. Jika Anda mengakses satu aplikasi baru, keputusan itu mudah. Tetapi jika Anda berada di jurang pengaksesan setiap aplikasi web dalam arsitektur Anda, Anda harus mengambil beberapa keputusan. Apakah Anda melihat keamanan web aplikasi yang Anda miliki, atau hanya yang mengambil bagian dalam transaksi penjualan online, Anda perlu inventaris dan memprioritaskan aplikasi yang akan dinilai.

Bergantung pada ruang lingkup dan tujuan penilaian kerentanan Anda, masuk akal untuk mulai melihat keamanan web dari aplikasi penting Anda terlebih dahulu – misalnya, mereka yang paling banyak melakukan transaksi atau volume dolar – dan mulai bekerja dari sana. Atau bisa dimulai dengan semua aplikasi yang menyentuh yang memproses dan menyimpan transaksi penjualan.

Tidak peduli ruang lingkup Anda, atau tujuan penilaian kerentanan Anda, aspek lain dari arsitektur Anda selalu perlu dipertimbangkan saat mendaftar dan memprioritaskan aplikasi Anda. Misalnya, aplikasi yang menghadap ke luar – bahkan yang tidak mengandung informasi sensitif – perlu diberi prioritas tinggi. Hal yang sama berlaku untuk aplikasi yang di-hosting secara eksternal, apakah itu menghadap Internet atau terhubung langsung ke sistem back-end. Aplikasi apa pun yang dapat diakses oleh Internet, atau dihosting oleh orang lain, harus tunduk pada penilaian kerentanan. Anda tidak dapat berasumsi bahwa suatu aplikasi aman hanya karena di-host oleh pihak ketiga, sama seperti Anda tidak dapat berasumsi bahwa tidak ada risiko hanya karena aplikasi web, formulir, atau seluruh situs tidak menangani sensitif informasi. Dalam kedua kasus tersebut,

Penilaian Kerentanan

Sekarang Anda siap untuk penilaian kerentanan. Percaya atau tidak, banyak kerja keras sudah dilakukan: memutuskan ruang lingkup, dan kemudian mengklasifikasikan dan memprioritaskan aplikasi Anda. Sekarang, dengan asumsi Anda telah memperoleh pemindai keamanan web dan telah mengidentifikasi siapa yang akan melakukan pemindaian manual untuk kesalahan logika bisnis, Anda siap untuk menerima pukulan keras pada aplikasi Anda.

Laporan yang dihasilkan, berdasarkan kesehatan keamanan aplikasi, akan memberi Anda daftar kerentanan prioritas tinggi, sedang, dan rendah. Pada titik ini, Anda memerlukan seseorang untuk memeriksa hasil penilaian kerentanan otomatis untuk menemukan kesalahan positif, atau kerentanan yang diidentifikasi oleh pemindai, tetapi sebenarnya tidak ada. Jika kelihatannya luar biasa, jangan khawatir; kami akan mempelajari bagaimana memprioritaskan dan memperbaiki kerentanan keamanan web ini dalam angsuran berikutnya. Sekitar waktu yang sama dengan penilaian kerentanan otomatis Anda, penilaian manual akan berlangsung. Selama penilaian manual, ahli akan mencari kesalahan logika dalam aplikasi: Apakah mungkin bagi pengguna untuk melakukan transaksi dengan cara yang tidak dimiliki pengembang t diantisipasi? Seperti kemampuan seseorang untuk mengutak-atik nilai aplikasi yang sedang diteruskan dari klien ke server untuk mengubah harga suatu barang. Penilaian kerentanan manual akan diakhiri dengan daftar semua kerentanan terhadap keamanan web yang ditemukan, dan penilai harus memprioritaskan risiko yang ditimbulkan oleh setiap masalah – berdasarkan kemudahan mengeksploitasi kerentanan, dan potensi bahaya yang dapat terjadi jika penyerang berhasil .

Sekarang Anda memiliki daftar kerentanan keamanan web, baik teknis maupun logika. Dan, jika organisasi Anda seperti kebanyakan orang lain, Anda memiliki beberapa pekerjaan perbaikan yang harus dilakukan. Tantangannya sekarang adalah memprioritaskan apa yang perlu diperbaiki, sehingga aplikasi Anda yang ada dapat dikeraskan, dan aplikasi yang sedang dibangun dapat diperbaiki dan ditempatkan dengan aman ke dalam produksi.

Meskipun daftar masalah keamanan web mungkin panjang, Anda telah menyelesaikan fase utama pertama dalam perjalanan menuju aplikasi yang sangat aman. Dapatkan kenyamanan dalam kenyataan bahwa penilaian kerentanan Anda telah mengidentifikasi masalah dalam aplikasi Anda sebelum mereka diserang oleh pesaing, peretas tunggal, atau kejahatan terorganisir. Pada artikel berikutnya, Strategi Remediasi Kerentanan Aplikasi Web yang Efektif , kami akan menunjukkan kepada Anda bagaimana memprioritaskan pekerjaan remediasi Anda sehingga waktu pengembangan tidak diperpanjang, dan aplikasi yang ada yang berisiko diperbaiki sebelum mereka dapat diserang.

Leave a Comment