Tenk omdømme, trygg web-applikasjonen

IBM viste et verktøy for å avdekke alle slags sikkerhetshull i bedrifters web-applikasjoner.

IBM Norge brukte en del av sitt store kundearrangement Software Days i Oslo onsdag til å demonstrere verktøy som inngår i selskapets nye tilnærming til problemer rundt IT-sikkerhet i bedrifter. IBM fortalte i slutten av oktober at manglende helhetsorientering fører til at sikkerheten i praksis er brutt i mange bedrifter, og at redningen ligger i en ny tilnærming, basert på risikovurdering og risikostyring.

    Les også:

På global basis vil IBM sette av 1,5 milliarder dollar til å legge om hele satsingen på IT-sikkerhet i løpet av 2008.

Et nøkkelprodukt i denne omlegging er Rational AppScan, som bygger på teknologi hentet fra oppkjøpet av WatchFire. Appscan brukes til å avdekke kodefeil i web-applikasjoner, sikre at de holder seg til pålagte lover og regler, og at de holdes løpende à jour mot sårbarheter i alle typer teknologi som benyttes i moderne web-applikasjoner.

– Moderne arkitektur fører til at stadig mer av bedriftens informasjon og tjenester gjøres tilgjengelig over web. Derfor nytter det ikke lenger å bare sikre selve den interne infrastrukturen mot innbrudd. Angrep fra datakriminelle fokuserer i dag på web-applikasjoner. Derfor må man gå nye veier for å sikre dem, forklarer Marius Eidet, salgssjef for Rational-produkter i IBM Norge, til digi.no.

Som det går fram av navnet, er prinsippet bak Appscan at man skanner en applikasjon for å avdekke sikkerhetshull. Det er visse likhetstrekk med det å skanne en PC eller en server på jakt etter ondsinnet kode, blant annet at skanningen alltid må være à jour med det nyeste man vet at datakriminelle driver med. Derfor er også Appscan kontinuerlig oppdatert for å tilpasses nye sårbarheter.

– Bruken av Appscan må også legges opp ut fra at en web-applikasjon som ble funnet sikker da den ble skannet for et halvt år siden, ikke nødvendigvis er like sikker i dag: Det kan i mellomtiden ha dukket opp nye sikkerhetshull eller nye hackerteknikker som gjør den sårbar i dag. Vi har lagt opp alternative løsninger som letter arbeidet med kontinuerlig bruk av Appscan, sier Eidet.

Trusler mot web-applikasjoner kan være svært kompliserte. En applikasjon kan for eksempel plutselig trues av en nyoppdaget sårbarhet i en eldre versjon av pdf-leseren Acrobat Reader.

– Selv om du vet at ingen i din bedrift bruker denne eldre versjonen, kan du ikke gardere deg mot at eksterne og betrodde brukere gjør det. Med Appscan vil du gjøres oppmerksom på faren, og få veiledning i hva du skal gjøre for å minske risikoen.

Bruken av Appscan starter ved at man velger ut hvilken eller hvilke applikasjoner man vil bruke verktøyet på. Man får hjelp til å innstille verktøyet, blant annet for å gi det de nødvendige brukerrettighetene til applikasjonene, før man setter i gang en skanning.

Under skanning ser det slik ut:

Sårbarhetene listes løpende og rangeres etter risiko.

Ved avsluttet skanning kan et typisk skjermbilde se slik ut:

Her vises blant annet hvilke applikasjoner som er skannet, en grafisk oversikt over hvilke trusler som er avdekket (nede til venstre), og en forklaring på en av de alvorlige sårbarhetene som er avdekket, i dette tilfellet «cross site scripting». Typiske sårbarheter som avdekkes av Appscan, i tillegg til «cross site scripting», er usikrede buffere og SQL-innsprøytinger.

I tillegg til å forklare hva den enkelte sårbarheten består av, bidrar Appscan også med anbefalinger om hva man skal gjøre for å tette sikkerhetshull. Her er et eksempel:

Rapportene fra Appscan er tilpasset ulike målgrupper – ledelse, utviklere og så videre – og forskjellige behov.

– Det genereres en egen «executive summary» med tanke på bedriftsledelsen. Med tanke på utviklingsavdelingen kan det lages en detaljert oversikt med en gjennomgang av nøyaktig hvor i koden feilene ligger.

Det er som regel et mål for bedriften å sikre at web-applikasjonen holder seg til bestemte standarder. Dette skjermbildeutsnittet forteller litt om hvilke standarder Appscan analyserer applikasjoner i forhold til:

Et annet mål kan være å holde seg innenfor lover og regler pålagt av myndigheter i USA og Europa. Ved å velge fra denne listen, er det fort gjort å sjekke i hvilken utstrekning bedriften er utsatt for risiko fordi man ikke følger slike pålegg til punkt og prikke:

Det er ikke snakk om at Appscan automatisk retter feil: Hensikten er å avdekke dem, prioritere dem og gi en viss veiledning på hvordan de skal rettes. Materialet fra Appscan kan inngå i bedriftens løpende risikovurdering, slik at det kan settes mål for risikonivået som web-applikasjonene medfører.

Eidet forklarer at installasjonen av Appscan er forholdsvis omfattende, og at den fordrer, med maskinvare, lisenser og så videre rundt 500 000 kroner.

– Behovet for brukeropplæring er minimal. Appscan krever ellers ikke et forhold til andre IBM-produkter.

IBM markedsfører også Appscan som tjeneste gjennom ISS og Xforce. Her er det flere alternativer, alt etter hvor intens bruk man mener å ha behov for – alt etter hvilket risikonivå man mener er akseptabelt.

Eidet vil ikke begi seg ut på å kalkulere hvor lønnsomt det kan være å investere i Appscan, det avhenger jo blant annet av anslag over den potensielle risikoreduksjonen.

– En ting er sikkert: En usikret web-applikasjon kan føre til en katastrofe som bedriften ikke greier å reise seg etter. Det behøver ikke være finansielt drepende umiddelbart. Tap av omdømme kan være nok til uopprettelig skade og massiv kundeflukt, mener Eidet.

Til toppen