Az OWASP (Open Web Application Security Project) meglátása szerint az elmúlt két évtized elsődleges kiberbiztonsági alappillére a határvédelem volt. Ebben a modellben a védett hálózat külső forgalmából szűrték ki a potenciális támadásokat, míg a belső hálózatban zónákat hoztak létre. Ezzel párhuzamosan végbement egy korszakváltás, melynek köszönhetően a szoftveriparban megjelent a funkcionális tesztelés, ami egy komoly lépést jelentett a biztonság felé.
Napjainkban egy újabb korszakváltásnak vagyunk tanúi: a határvédelemről és az utólagos tesztelésről Nyugat-Európában és az Egyesült Államokban a figyelem egyre inkább a preventív alkalmazásbiztonságra terelődik. Ez nem csoda, hiszen a fejlesztési folyamatokba illesztett biztonsági ellenőrzés nagyobb hatékonyságot és valóságosabb biztonságot - nem csupán hamis biztonságérzetet - jelent.
Nagyításhoz kattintson a képre.
Az OWASP szerint a fejlett országokban a biztonsági büdzsék 20 százalékát fordítják alkalmazásbiztonságra, legnagyobb részben etikus hackelésekre, de folyamatosan nő a preventív megelőzés részaránya is. Magyarországon ez az arány ma még nem éri el az 5 százalékot, ami a hazai mintegy 25 milliárd forintos biztonsági piacot alapul véve körülbelül 1 milliárd forintos ráfordítást jelent. Ugyanakkor az alkalmazásbiztonsági piac minden jel szerint dinamikus növekedés előtt áll, hiszen ma már a támadások 80 százaléka a szoftverekben hagyott réseket és nem a határvédelem által elsődlegesen lefedett területeket veszi célba.
"A határvédelmi fókuszt felváltó új szemléletmódban a védelem vezéregyéniségeivé egyre inkább az alkalmazásbiztonsági szakértők válnak, akiknek az a dolguk, hogy a fejlesztés közben egy hacker szemével monitorozzák a tervezett és a készülő programokat. A biztonságnak és az alkalmazásbiztonságnak is meg kell, hogy változzon a struktúrája. A hatékonyabb, preventív elemek arányát növelni kellene az utólagos ellenőrzések jelenlegi szinten tartása mellett" - mondta Fekete Tibor, a Cloudbreaker társaság vezetője, az OWASP magyarországi tagozatának egyik alapítója.
Hogyan tovább?
Az adatbiztonság növelését az OWASP hazai tagozatának alapítói, a Cloudbreaker szakértői szerint részben az eddig halogatott törvényi szabályozással, részben a megrendelői oldal szemléletváltásával lehetne elősegíteni. Míg a törvényi szabályozás egyelőre várat magára, a megrendelői oldalon kívánatos szemléletváltást részben az OWASP tevékenysége hivatott előmozdítani.
Cloudbreaker SEQA
A Cloudbreaker SEQA (Security QA, Security Quality Assurance) nevű megoldás a megrendelői oldal számára létrehozott minőségbiztosítási eljárásrend. Amennyiben a szervezetek eszerint végzik a beszerzéseiket, és kötnek szerződést a fejlesztőkkel, akkor biztosíthatják azt, hogy a biztonsági hibákat a beszállítók már a fejlesztés során preventíven kiküszöböljék.
