Rozmowa z Michałem Królem, Security Group Managerem w Veracompie
W jakich obszarach można rozpatrywać bezpieczeństwo aplikacji?
Aplikacje i ich bezpieczeństwo to aktualnie jedne z kluczowych pojęć, które wymagają analizy w szerokim kontekście. Możemy mówić o aspektach związanych z bezpieczeństwem już na etapie produkcji oprogramowania, w kontekście środowiska, w jakim jest ono uruchamiane i sposobu dostępu do niego, jak i o nietypowych zachowaniach aplikacji, jakie mogą wywołać celowe lub przypadkowe działania użytkowników – zarówno tych autoryzowanych, jak i niepożądanych. Korzystamy zatem między innymi z firewalli aplikacyjnych, systemów testowych typu sandbox, rozwiązań do zarządzania uwierzytelnianiem użytkowników, jak również skanerów aplikacji – statycznych i dynamicznych. Z pewnością w każdym z tych obszarów bezpieczeństwo należy traktować jako ciągły proces, którego nigdy nie możemy zatrzymać.
Czy któryś z tych elementów jest nader często ignorowany lub celowo pomijany?
Świadomość bezpieczeństwa w polskich firmach jest na tyle wysoka, że na ignorancję lub celowe pomijanie nikt sobie nie może pozwolić. Tym bardziej, że spotykamy się z coraz to nowszymi zaleceniami, dyrektywami itp., które mają na celu utrzymanie odpowiedniego poziomu bezpieczeństwa w obszarach obarczonych największym ryzykiem. Niemniej, spotykamy się z różnym poziomem zainteresowania poszczególnymi systemami. Co ciekawe, to nie czynnik ekonomiczny jest tu decydujący. W wielu przypadkach największym wyzwaniem jest dostęp do odpowiedniej liczby specjalistów odpowiedzialnych za wybór i utrzymanie odpowiednich narzędzi w firmach. Ale pojawiają się również ograniczenia natury technologicznej czy formalnej, np. wobec systemów weryfikujących kod aplikacji webowych już na etapie jej produkcji. Gdy kupujemy aplikację projektowaną na specjalne zamówienie, możemy oczekiwać stosowania statycznych skanerów bezpieczeństwa takich jak Fortify, które weryfikują poprawność składni kodu, stosowanie dobre praktyk obowiązujących w poszczególnych językach programowania itp. Dzięki temu można wyeliminować ryzyko podatności już na bardzo wczesnym etapie.
Czyli mowa tu o aplikacjach tworzonych wewnętrznie, na potrzeby danego przedsiębiorstwa. Czy ta forma ochrony może dotyczyć także gotowego oprogramowania, sprzedawanego „z pudełka”?
Oczywiście kwestie związane z bezpieczeństwem powinny dotyczyć wszystkich aplikacji. Decydując się jednak na komercyjnie dostępne systemy zwykle nie mamy wpływu na procesy R&D. Pozostają więc narzędzia do dynamicznego skanowania podatności samej aplikacji i jej środowiska. Popularne jest stosowanie skanerów podatności np. Nessus firmy Tenable. Ale warto pamiętać, że samo znalezienie podatności nie jest wystarczające – krytyczne jest to, czy i kiedy luka bezpieczeństwa zostanie usunięta, a także która ze znalezionych podatności jest najbardziej niebezpieczna? Aby odpowiedzieć na te pytania, wielu klientów wykorzystuje skanery Nessus nie jako niezależne narzędzia, ale jako element składowy systemu monitorowania i zarządzania podatnościami.
W jaki sposób wdrażane są narzędzia zapewniające bezpieczeństwo aplikacji? Czy jest to sprzęt typu appliance, oprogramowanie, a może maszyny wirtualne?
W tej chwili są dostępne wszystkie trzy opcje. A nawet więcej, rośnie bowiem rynek rozwiązań bezpieczeństwa dostępnych w chmurze publicznej, jak i rynek usług security as a service. Z uwagi na to, że ochrona aplikacji jest traktowana jako krytyczny proces z punktu widzenia bezpieczeństwa firmy, rozwiązania bazujące na platformach sprzętowych nadal cieszą się dużą popularnością choćby z uwagi na gwarancję kompatybilności zainstalowanego w nich oprogramowania ze sprzętem. Ma to istotne znaczenie zwłaszcza w przypadku awarii występującej w krytycznej infrastrukturze – mamy jednego dostawcę, któremu łatwiej jest dociec, gdzie leży istota problemu. Mimo to widzimy wyraźny trend zmierzający w kierunku oprogramowania lub modelu usługowego, i to zarówno po stronie producentów, jak i klientów końcowych, którzy również dostrzegają zalety tych rozwiązań i obdarzają je coraz większym zaufaniem.
Czy ma sens model, w którym firmy partnerskie świadczą usługi zapewniające bezpieczeństwo aplikacji z wykorzystaniem takich rozwiązań?
Zdecydowanie tak, i to w wielu obszarach. Zacząć trzeba przede wszystkim od różnego typu audytów, realizowanych także w postaci etycznego hackingu. Firma zewnętrzna zawsze spojrzy na stworzone przez klienta środowiska pod bardziej krytycznym kątem, więc prawdopodobieństwo wykrycia ewentualnych niedociągnięć jest większe. Po drugie, jak wszyscy wiemy, najsłabszym ogniwem w kwestii bezpiecznego korzystania z rozwiązań IT jest człowiek. Dlatego niezwykle ważna jest edukacja wszystkich pracowników mających do czynienia z wrażliwymi danymi firmy. Co istotne – również w tym obszarze technologia przychodzi nam z pomocą w postaci platform typu security awareness, takich jak Proofpoint. Umożliwiają one nie tylko szkolenie użytkowników, ale również weryfikacje wiedzy poprzez symulowane ataki phishingowe.
Czy kwestie związane z ochroną aplikacji powinny znaleźć się w firmowym dokumencie polityki bezpieczeństwa? A jeśli tak, to jak bardzo – powinni być tylko wymienione, czy też „zasłużyły” na osobny rozdział?
Oczywiście że powinny, chociaż szczegółowość opisu tych kwestii zależy od indywidualnych uwarunkowań – jaką rolę konkretne oprogramowanie pełni w firmie, jakiego typu dane są w nim przetwarzane, czy podlegają restrykcjom prawnym, jak np. RODO itd.? Poza tym w dokumencie polityki bezpieczeństwa ochrona aplikacji powinna być osadzona w szerszym kontekście, gdzie konieczne jest zwrócenie uwagi m.in. na metody uwierzytelniania, monitoring (zwłaszcza anomalii), szkolenia i odpowiedzialność pracowników, obecność w infrastrukturze innych narzędzi zabezpieczających itp.
Kto w takim dokumencie powinien być wskazany jako osoba odpowiedzialna za bezpieczeństwo aplikacji?
Co do zasady, istnieją ogólnie przyjęte tytuły jakimi posługują się osoby odpowiedzialne za bezpieczeństwo w firmie – od specjalistów i ekspertów, aż po CSO, CISO itp. Z tymi ostatnimi spotykamy się zwłaszcza w dużych przedsiębiorstwach. Jednak, z uwagi na szeroki kontekst zagadnienia bezpieczeństwa aplikacji myślę, że wyzwaniem nie jest wskazanie jednej osoby, ale stworzenie odpowiedniej polityki, nawet bardzo obszernej. Finalny stan bezpieczeństwa bowiem jest wynikiem działania, a może wręcz bardziej współpracy w obrębie jednego a częściej wielu zespołów – sieci, aplikacji, bezpieczeństwa itd.
Czy generalnie wdrożenie i obsługa systemów zapewniających bezpieczeństwo aplikacji jest trudnym zadaniem, czy tylko umiarkowanie? Dla przykładu, ochrona sieci na początku była bardzo trudna, ale po pewnym czasie dostawcy tego typu rozwiązań „odrobili lekcje” i znacznie ułatwili ich obsługę, więc dziś nawet jeśli ktoś nie jest ekspertem, lepiej lub gorzej daje sobie z tym radę…
Wiedza o bezpieczeństwie z pewnością nie jest tajemna. Mało tego, w dobie internetu jest dosyć powszechna – poza płatnymi i specjalizowanymi, jest wiele nisko kosztowych lub wręcz darmowych materiałów i szkoleń. Ale to czas i specjalizowane zasoby ludzkie, obok środków finansowych, są głównym czynnikiem, który kształtuje dzisiejszy rynek bezpieczeństwa teleinformatycznego. Z uwagi na olbrzymie tempo rozwoju zarówno zagrożeń, jak i systemów oraz metodyk ochrony, często administratorzy bezpieczeństwa zadają sobie pytanie, co jest ważniejsze – utrzymywanie aktualnych systemów, analiza trendów i zmian na „rynku” zagrożeń czy wdrażanie nowych rozwiązań.
I tu jest nasza rola – Veracompu jako dystrybutora z wartością dodaną systemów ochronnych oraz naszych partnerów specjalizujących się w ich dostawie i integracji. Wspólna inwestycja w zdobywanie i praktykowanie wiedzy o bezpieczeństwie zapewnia naszym klientom niezmiennie wysoki poziom bezpieczeństwa ich aplikacji.
Na jakiego typu wsparcie zatem mogą liczyć partnerzy Veracomp i ich klienci?
Przede wszystkim oferujemy – Veracomp jako dystrybutor i Compendiumjako centrum edukacyjne – szerokie spektrum usług szkoleniowych. Nieprzerwalnie inwestujemy w zdobywanie wiedzy, którą w kolejnych krokach możemy przekazać w trakcie spotkań, warsztatów, testów czy wdrożeń. Nasza aktywność jest w dużej mierze skoncentrowana na działaniach przedsprzedażowych – ewangelizujemy w temacie nowych trendów oraz edukujemy klientów i partnerów jak w praktyce wykorzystywać oferowane przez nas technologie. Często również występujemy jako „prawa ręka” naszych partnerów na etapie produkcyjnych wdrożeń i integracji – czy to w formie wyłącznie zdalnych konsultacji, czy kompleksowych usługi jakie realizujemy we wspólnych projektach.
