Ugrás a tartalomra
software_security
software-security-consulting

Szoftverbiztonsági tanácsadás

Szakértői támogatás sebezhetőségek felfedezéséhez vagy elkerüléséhez

Szoftverbiztonsági tanácsadás

Szoftverbiztonsági tanácsadás tartalom lent a Page Builder területén módosítható, a Custom text felírat feletti ceruza ikonra kattintva.

 

hacker
 

Szoftverbiztonsági tanácsadás

Manapság nem elég, ha a szervereink, hálózataink kellőképpen védettek. A használt szoftvereket és az azokban használt komponenseket is rendszeresen ellenőrizni kell sebezhetőség szempontjából. Számtalan példát láttunk az elmúlt években amikor a hackerek kihasználva valamely komponens sebezhetőségét - vagy éppenséggel a frissítési protokol sebezhetőségét - zárolták a rendszereket és váltságdíjat kértek a feloldáshoz. Az ilyen esetek nem csak bevétel kiesést, hanem komoly presztizs és imázs veszteséget is okoznak, romba döntenek melyet az adott cég adott esetben éveken keresztül gondosan alakított épített. Hogy az ilyet elkerüljük, a védekezést már a szoftver fejlesztési szakaszban el kell kezdni, majd a fenntartási szakaszban rendszeresen ellenőrizni.

Cégünk szakértői segítenek a fejleszői és a kiadási folyamatban helyesen kialakítani a felderítési eszközök használatát, a felfedezett sérülékenységek kezelését és elhárítását, a fenntartási időszakban az időszakos ellenőrzések automatizálását és jelentések, riasztások elkészítését megküldését.

Abban az esetben, ha szolgáltatásunk felkeltette érdeklődését, keressen bennünket valamelyik kommunkiációs csatornán.

Az alábbiakban röviden ismertetésre kerülnek a megelőzés illetve védejezési pontok.
 

Megelőzés a szoftverfejlesztés során

A gondos védekezést már a fejlesztés során el kell kezdeni. Szerencsére számos eszköz, módszer áll a rendelkezésünkre. Az egyik ilyen módszer pl. Java  programozási nyelv esetén, hogy a fordítási folyamatban iktatunk be egy lépést mely rendszeresen ellenőrzi, hogy használunk-e olyan komponenst melynek találtak sebezhetőséget. Ilyen eszközök pl. az OWASP által készített Dependency Check illetve a másik meg a Snyk ellenőrző eszköz. Mindkét eszköz a project állományokat ellenőrzik, felderítik a függőségeket majd a talált komonenseket ellenőrzik a komponens sérülékenységi adatbázisban . Természetesen ezek az ellenőrzési eszközök rendelkezésünkre állnak más programozási nyelvekre és csomag kezelőkre (Node.js, npm, stb.).

A fenn említett eszközöknek vannak úgynevezett bővítményei számos fejlesztői környezethez - mint pl. a Eclipse vagy a Jetbrains fejlesztői eszközei. Így kényelmesen a fejlesztői környezetben is használhatjuk őket.

Abban az esetben ha sérülékenységet találtunk, mérlegelnünk kell, hogy az esetet hogyan kezeljük. Legjobb esetben, az adott komponensnek készült már egy újabb kiadása és egy verzió cserével orvosólható a helyzet. Ha ez nem kivitelezhető, akkor más módszerhez kell folyamodni - pl. hálózati portok elérésének korlátozásával hálózaton belül is. 

security

Megelőzés a szoftver telepítés előtt

Abban az esetben ha a kifejlesztett alkalmazásunk önálló, nem függ semilyen külső szolgáltatástól (pl. adatbázis), akkor egyszerű a dolgunk, hisz a fejlesztés során ellenőriztünk mindent. Ellenben, ellenőrizni kell, hogy a függő szolgáltatásoknál fennáll-e bármiféle  ismert sérülékenység. Ha igen, akkor természetesen kezelnünk kell a helyzetet. 

Megelőzés docker konténerek esetében

Manapság a docker konténerek használatának elterjedésével maga a szoftver fejlesztés, tesztelés és telepítés hatékonyabbá és egyszerübbé vált. Úgyanakkor a docker konténerek számos veszély forrásai is lehetnek, ha nem megbízható forrásból szerezzük be. Általában minden szoftvergyártó (pl. Oracle, Redhat, Apache, stb.) elkészíti és hivatalosan közéteszi az alkalmazásait tartalmazó docker image-t.  Természetesen vannak a gyártói verziótól eltérő kiadások is, ebben az esetben nagyon gondosan kell eljárnunk és ellenőrizni magát a dockerfile-t, hogy hogyan került megvalósításra - elkerülve a rejtett (trójai faló) sebezhetőséget.

Az előállított docker image-t is ellenőriznünk kell, mert lehet, hogy a szolgáltatás amit használni akarunk (pl. adatbázis szerver) az rendben van. de maga az operációs rendszer melyen az adott szolgáltatás fut tartalmazhat olyan komponenseket, melyek sebezhetőek. 

Mind a dockerfile mind a kész docker image ellenőrzésére lehetőség van mint az OWASP mint a Snyk eszközeivel.

 

security_detect

Védekezés a rendszer fenntartási időszakában

A fenntartási időszakban is rendszeresen ellenőrizni kell a használatban levő szoftverek és komonenseik sérülékenységét. Takarékossági szempontból hajlamosak vagyunk ezt a lépést mellőzni, hisz elegendő a rendszert üzemeltetni és adott esetben az fejlesztett szoftver frissíteni. Sajnos ez nagy hiba lenne, főleg abban az esetben, ha más szolgáltatásokat is használ az alkalmazás. Ugyanis idővel az operációs rendszer komponensei elavultá válnak, nem ritkán sérülékenység derül ki egyes elemekről. Emiatt ha nem frissítjük ezeket az docker image-okat, hanem csak fenntartjuk az állapotot, akkor rendszert veszélybe sodorjuk és hacker támadások könnyű célpontjává válhat.

 

 

 

Rólunk

Cégünk 2002 óta fejleszt magas színvonalú és megbízható szoftvereket vállalati igényekre. Immár 20 éve az ügyfeleink szolgálatában.

Elérhetőségeink