Безопасность для ваших веб-приложений - и почему это важно

После моих патчей не 1 вирус не запуститься))

Хакеры,они повсюду

Лично мне не нравится использовать фразу хакеры, но это потому, что я предпочитаю старое значение термина:

Тот, кто не использует инженерные процессы при создании кода. Они «взламывают кодовую базу, слепо удаляя код, пытаясь заставить его работать»

Конечно, многие хакеры в наши дни будут запускать сложные атаки на ваши серверы - и это все еще законная проблема. Но с такими сервисами, как Azure, AWS и GCP, злоумышленникам становится все труднее проникнуть в вашу инфраструктуру.

Всегда были атаки на клиента (в данном случае на браузер), но они постепенно становятся все более распространенными. Многие люди начинают работать в этой области, используя методы дорок Google, а затем переходят к методам, используемым Script Kiddies. Это простые методы, которые вы можете просто скопировать и вставить, не понимая, что они делают.

На самом деле, это так легко сделать, что Трой Хант заставил своего (тогда) трехлетнего сына провести SQL-инъекцию на камеру.

Эти методы можно сравнить с результатами быстрого поиска на Shodan для запуска атак на уязвимые системы.

Безопасность как функция

О, так часто, мы видели, что безопасность добавлена в последнюю минуту. Это может быть и часто губительно.

Мы видели случаи, когда приложения добавлялись в качестве запоздалой защиты, но проникновение в систему было детской игрой

Это приводит к тому, что группы безопасности становятся врагами групп разработчиков. Но, как и в случае с Dev и Ops, нам всем нужно работать вместе, чтобы гарантировать безопасность приложений, которые мы создали. Для аллегорического доказательства этого я бы рекомендовал прочитать проект «Феникс».

Вы используете автоматическое тестирование, верно?

Это гарантирует, что никто не сможет выпустить быстрое исправление бага,а безопасность улучшит позже

Но делать это сложно. Вот почему «DevSecOps» теперь является законной карьерой для людей, которые хотят повысить безопасность приложений. Проблема в том, что так много нужно учить, и почти нет времени на это, верно?

Бесплатные инструменты

The Open Web Application Security Project (OWASP) является всемирной некоммерческой благотворительной организацией 501, которая занимается повышением безопасности программного обеспечения.

Наша миссия состоит в том, чтобы сделать безопасность программного обеспечения видимой, чтобы отдельные лица и организации могли принимать обоснованные решения.

OWASP имеет уникальную возможность предоставлять беспристрастную практическую информацию о AppSec частным лицам, корпорациям, университетам, правительственным учреждениям и другим организациям по всему миру.

Работая как сообщество профессионалов-единомышленников, OWASP выпускает программные инструменты и основанную на знаниях документацию по безопасности приложений.

Все, что они делают (кроме конференций, таких как Global Appsec), бесплатно. Бесплатные учебные материалы, бесплатные встречи, бесплатные программные инструменты, бесплатный обмен знаниями.

Мало того, есть конференции и встречи о безопасности приложений. Есть курсы, которые вы можете пройти, и есть книги, которые вы можете купить. Вы даже можете попробовать стать хакером, используя такие вещи, как Kali Linux

Kali - это дистрибутив операционной системы на основе Linux, который предназначен для тестеров на проникновение и хакеров в белых шапках

Проблема в том, что изучение того, как победить злых людей, требует тонны знаний.

Конечно, это все бесплатная информация, но ее много, и для ее изучения может потребоваться много усилий. Но вы можете научиться этому по частям.

Приложения вашей компании являются ее репутацией

Представьте, что Amazon пострадал от серьезного нарушения безопасности. Мол, скажем, что все заказы на 6 месяцев для всех их клиентов были утечки. Мы говорим имена, адреса, номера кредитных карт, позиции заказа (вещи, которые заказывали люди), все.

Помимо первоначального оскорбления всех данных, доступных для злоумышленников, и потенциального смущения, которое некоторые люди могут испытывать по поводу своих покупательских привычек, становятся общедоступными

Помимо всего этого, репутация Amazon будет разрушена. СМИ будут тащить их по грязи, и им придется работать исключительно усердно, чтобы раскрутить историю в свою пользу.

Мало того, AWS является продуктом Amazon. Есть миллионы (если не миллиарды) людей, которые ежедневно используют AWS - даже если они этого не знают. Если Amazon будет взломан, AWS будет следующим. Такие компании, как Capital One, BP, GE, Time и Philips, пострадают. Не говоря уже об убийственном приложении Netflix.

Представьте, что ваша компания была успешно атакована, а все ваши данные о клиентах украдены. Выживет ли ваша компания?

И это даже не касается таких вещей, как GDPR и другие наборы нормативных актов, которые вам необходимо соблюдать. Представьте, должна ли ваша компания защищаться от забастовки GDPR. От этого не отойдешь, какими бы хорошими ни были твои услуги. Ваши клиенты уходят.

Вот почему безопасность приложений так важна для вашей компании. По крайней мере, с точки зрения владельца бизнеса.

Заметили ошибку или есть вопросы?Рассказывай нам о них,связаться с нами ты сможешь с помощью нашего чата или же с помощью бота обратной связь

Не забывайте ставить 👍 если вам понравилась и подписаться на канал,а так же посетить наш чат.