رویکردی ساختاریافته در حفظ امنیت برنامه های تحت وب

بابک فخریلو

سازمان ها هزینه های زیادی را برای برطرف کردن تهدید هایی که در سطح شبکه رخ می  دهند، صرف می کنند، اما بیش از 75 درصد حمله ها در لایه ی application رخ می دهد. این تغییر رویه در بین جامعه ی هکرها، نتایج بزرگی را منجر شده و سازمان ها همچنان نسبت به اهمیت امنیت web application ها بی تفاوت هستند.

ریسک های که متوجه برنامه های تحت وب هستند، به خوبی شناخته شده اند، برای مثال می توانید فهرست ده تایی OWASP را ببینید، و یک ارزیابی مناسب از امنیت برنامه ی تحت وب می تواند تصویری مناسب از سطح آسیب پذیری آن برنامه را بدهد و راهگشایی برای برطرف کردن آسیب های آن باشد.

با این حال، تامین امنیت برنامه ی تحت وب دشوار است، نه تنها به خاطر این که بسیاری از سازمان ها نمی دانند با چه تعداد برنامه درگیر هستند و چه کسی مالک آنهاست، بلکه به خاطر این که توسعه دهندگان هم در کل نسبت به توانایی های امنیتی خود مطمئن نیستند، و فشار زمانی تحویل برنامه ها هم غالبا روی توسعه دهندگان زیاد است.

گرچه تیم های امنیتی تمرکز خود را روی برنامه های تحت وب زیاد کرده اند، اما رویکردی ساختار یافته نیازی ضروری است. یک قالب کاری امنیتی قوی، مستندی را برای اولویت بندی صرف زمان و هزینه روی کنترل های امنیتی فراهم می سازد. این اولویت ها هزینه ها را کاهش داده و معتدل می کنند تا بتوان تهدید ها را تخفیف داد.

نقطه ی شروع کار، می تواند شناسایی برنامه ها، درک فرآیند های تجاری و ایجاد مدل تهدیدهای امنیتی است. این کار چشم انداز برنامه شما را نگاشت می کند و می توانید سطح تهدیدی که وجود دارد  را حس کنید.

قدم بعدی، فرآیندی ساخت یافته برای مقوله بندی برنامه است تا بدین ترتیب برنامه هایی با ریسک بالا و تاثیر گذاری بالا از برنامه هایی با ریسک های پایین جدا شوند. در این قدم سادگی خیلی اهمیت دارد و یک رده بندی خیلی ساده مانند تهدید سطح بالا، متوسط و پایین می تواند کارساز باشد.

وقتی این مراحل را طی کردید، تصمیم گیری در مورد کنترل های امنیتی صحیح انجام می شود. هر سازمانی متفاوت است و باید فراموش نکرد که مراحل طی شده در اینجا مبتنی بر ریسک انجام می شوند. ساختاری متداول برای به کار بستن کنترل های امنیتی به شرح زیر است:

ریسک سطح بالا

ریسک سطح متوسط

ریسک سطح پایین

 

اتخاذ رویکردی ساخت یافته برای امنیت برنامه های تحت وب، شما را مطمئن می کند که تهدید ها را شناسایی می کنید و کنترل های لازم را بر اساس تهدید ها پیاده سازی می کنید. این رویکرد هزینه را کاهش می دهد و از طرفی با ارائه یک مدل، انعطاف پذیری و توسعه پذیری را به نرم افزار شما می آورد.

برگرفته از:

Be structured about protecting web applications…and do it now!

دربارهٔ Persian Developer

I Love Developing applications

Posted on ژوئیه 26, 2012, in وب, امنیت. Bookmark the permalink. بیان دیدگاه.

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: