צ׳ק ליסט: 7 נקודות לאפליקציה מאובטחת יותר

בשנה שעברה הפכו אפליקציות המובייל לנפוצות יותר מאלו של המחשב האישי. מיותר לציין שבכך גם הפכו לאטרקטיביות הרבה יותר עבור פריצה. קבלו 7 נקודות שכדאי מאוד לוודא שמיושמות אצלכם כדי שהאפליקציה שלכם תהיה פחות פגיעה

smartphone PD

מאת ליאור מזור, מהנדס תוכנה. בעל תואר ראשון B.sc למדעי המחשב ומתמטיקה, ניסיון של למעלה מ-10 שנים באבטחת מידע ביישום והטמעה של מערכות אבטחת מידע בחברות מובילות וניסיון בניהול פרויקטים בארץ ובחו”ל.

שנת 2014 הייתה שנת המפנה עבור אפליקציות מובייל בה עקפו את כל התוכנות האחרות שניגשו לאינטרנט מהמחשב האישי או מהדפדפן הקונבנציונלי. לצד זאת עלו בצורה משמעותית מספר הפגיעויות באפליקציות, שגרמו לעלייה חדה במספר התקיפות ובפעילות הפלילית באפליקציות השונות. לפי פרסומי חברת האבטחה FireEye הייתה עלייה חדה של כ-188% אחוזים בפגיעויות באפליקציות במכשירי אנדרואיד בהשוואה לשנת 2011 ועד 262% במכשירי iOS.

האפליקציות במובייל הפכו לחלק אינטגרלי מהחיים שלנו וצפויות להפוך משמעויות ודומיננטיות אפילו יותר, יחד עם זאת, בשנים האחרונות אנו עדים למתקפות אפליקטיביות שמתמקדות בגניבת מידע רגיש (כגון: כרטיסי אשראי), חשיפת מידע, ביצוע שינויים או מחיקת מידע ישירות מבסיס הנתונים. מתקפות אלה מתבצעות באמצעים שונים, בין היתר, באמצעות עקיפת מנגנון ההזדהות של האפליקציה, גניבת זהות דיגיטלית של משתמשים אחרים וקבלת הרשאות יתר במערכת. המתקפות האפליקטיביות עלולות אף לכלול העלמת ראיות, פגיעה בזמינות המערכת ובאמינות האפליקציה. פועל יוצא של הצלחת המתקפה הוא פגיעה כספית, גרימת פתח לתביעות משפטיות, אי עמידה ברגולציה (כגון: תקן PCI – תקן כרטיסי אשראי) ופגיעה חמורה בתדמית החברה העומדת מאחורי פיתוח האפליקציה.

מחקר אבטחה של HP משנת 2014 העלה כי עולם האפליקציות בכללו בעייתי ביותר בהיבט אבטחת המידע. המחקר העלה כי 80% מהאפליקציות אינן מאובטחות – כיוון שהן הוטמעו בצורה לא נכונה, או שיש בהן שגיאות מובנות, כוללות בעיות בהגדרות, גרסאות מיושנות ובעיות תצורה. יותר ממחצית מהאפליקציות שנבדקו הציגו חולשות לחשיפת מידע אודות היישום, אופן הטמעתו, או מידע אודות המשתמשים בו. הסיבות העיקריות לריבוי הפגיעויות מצוי באופן פיתוחן:

TTM) TIME TO MARKET .1) קצר – שימוש במתודולוגיות פיתוח כגון Agile Development, גורם לכך שבממוצע TTM לאפליקציות מובייל מקוריים הוא בין 14-20 שבועות, נתון שתלוי גם במורכבות וגורמים אחרים של היישום. פיתוח מהיר שכזה מקשה על שילוב אלמנטים של אבטחת מידע.

2. Code Reuse – מפתחי אפליקציות במובייל נוטים להשתמש באותם מנגנונים (קטעי קוד) המכונים reuse לקוד עצמו, דבר שאוטומטית מממש את קיומה של בעיית אבטחת המידע במגוון רחב של מוצרים (שימוש במנגנון פגיע שוב ושוב), דבר הגורר פגיעות רוחביות.

3. שימוש בקוד פתוח – בקרב מפתחי אפליקציות מובייל, רווחת הדעה כי מנגנוני קוד פתוח הינם אוטומטית “בטוחים לשימוש ומאובטחים”, דעה שכמובן אינה נכונה ועלולה לגרור פגיעויות אבטחה מרובות ורוחביות באפליקציות שונות. שכן לעיתים קרובות מודולים של קוד פתוח מתוחזקים ע”י מפתחים בודדים אשר לא תמיד מודעים לעקרונות פיתוח מאובטח.

כיצד ניתן לשלב אבטחת מידע בפיתוח אפליקציות למובייל?

1. בשלב התכנון מתן הנחיות אבטחת מידע עבור ארכיטקטורה מאובטחת של המערכת וכן תכנון מנגנוני הגנה שיתנו מענה לפרצות שעלו בשלב הניתוח.

2. פיתוח בצורה מאובטחת לפי עקרונות ידועים (כגון: OWASP) והטמעת ליווי בפיתוח מאובטח (SDL- Security development lifecycle) כחלק משלבי הפיתוח והבדיקות.

3. ביצוע מבדקי חדירה (Penetration Test) לקבלת תמונה של מצב אבטחת המידע באופן שבאמצעותה ניתן להעריך את רמת האבטחה של האפליקציה. על ידי הדמיה של התקפה מכוונת, ניתוח וחקירת מערכות, בדיקת תגובה של מערכות הגנה ועוד.

4. ביצוע בדיקות אבטחת קוד אוטומטיות (Automated Code Analysis) לקבלת תמונה של מצב אבטחת המידע בתוך קוד האפליקציה והימנעות משגיאות אבטחה נפוצות ברמת התוכנה. המערכת סורקת בצורה אוטומטית את הקוד ומאתרת חורי אבטחה, על מנת לאתרם לפני התממשות הפריצה (מערכות לסריקת קוד כגון: Seeker, AppScan, Checkmarks, ו- Fortify).

5. שילוב בדיקות אבטחת קוד אוטומטיות כחלק מתהליך הפיתוח (Secure Development Life (Cycle – יש לשלב מערכות בדיקת קוד אוטומטיות כחלק אינטגרלי מתהליך הפיתוח (כחלק מתהליך ה-Build) ואף מומלץ לשלבם במערכת מעקב הבאגים כדי למנוע “זניחה/התעלמות” מפתחים מליקויי אבטחת מידע שאותרו.

6. הגנה על תשתית האפליקציה ע”י תשתית WAF) Web Application Firewall) כחיץ בין האפליקציה לשרתי המערכת. מוצרי WAF נועדו להתמודד עם פרצות אפליקטיביות וכוללים מנגנון לזיהוי התקפות על המבוסס על למידת האפליקציה ועל חתימות.

7. עדכון אפליקציות למובייל על מנת לתקן חולשות אבטחת מידע שמתגלות בשפות הפיתוח ובמכשירי המובייל בכדי להגן על האפליקציה והמובייל.

Avatar

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

6 תגובות על "צ׳ק ליסט: 7 נקודות לאפליקציה מאובטחת יותר"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אור נ
Guest

הדבר הראשון הוא פיתוח מאובטח

חיים סער
Guest

ליווי
אבטחת מידע חשוב לתהליכי פיתוח המערכת על פי מודל SDL החל משלבי הפיתוח
המוקדמים, לאורך שלבי הפיתוח השונים ועד פריסת המערכת בסביבת הייצור. מומלץ להיעזר במומחי
פיתוח מאובטח לליווי והדרכה של מפתחי ומנהלי פרויקט הפיתוח.

ערן ק
Guest

העולם נהיה פחות מאובטח מרגע לרגע, וכך גם הטכנולוגיות החדשות….

בובי בובה
Guest

אני לא ממש מסכים אם הנקודה ‘6, אבקש לקבל יותר פרטים, הWAF טוב לבעיות בצד השרת, אם האפליקצייה עצמה דפוקה, והיא כבר בחנות ומותקנת אצלי על המכשיר…. זה לא ממש יעזור, לדעתי לפחות.

ליאור מ
Guest

מבחינת ארכיטקטורה מאובטחת, בצד האפליקצייה ימצא מידע מינימלי ככול הניתן ורוב המידע ימצא בשרתי האפליקציה המנהלים מספר רב של משתמשים ולכן הגנה בצד שרת היא קריטית. מבחינת מודל הגנה בשכבות
ה- WAF מגן על השרתים ובסיס הנתונים ברשת הפנימית כאשר צד הלקוח קיימת בעיקר הגנה אפליקטיבית.

בובי בובה
Guest

למרות שבכל מקרה מסכים עם – חיים סער

wpDiscuz

תגיות לכתבה: