Mer än hälften av alla de cyberattacker som upptäcks globalt sker på applikationsnivå.
Trots det investeras endast en bråkdel av företags säkerhetsbudget i applikationssäkerhet.
Det globala IT-tjänstebolaget NTT förklarar vilka områden som påverkar applikationssäkerhet och ger tre råd på hur företag kan säkra sina applikationer mot cyberattacker.
En studie genomförd av NTT visar att över hälften av alla cyberattacker nu är inriktade mot applikationer. Trots det investerar företag endast strax under sex procent av sin säkerhetsbudget på att skydda sina applikationer. I takt med att applikationer blir allt viktigare, exempelvis för att företag ska kunna erbjuda en bättre digital upplevelse till sina kunder, behöver företag allokera större resurser för att hantera de säkerhetsrisker som tillkommer. Applikationssäkerhetsrisker kan delas in i tre områden:
- Montering: Risk uppstår när komponenter som utgör grunden i applikationer kombineras, så som operativsystemspaket, ramverk och bibliotek.
- Infrastruktur: Inom detta område uppstår risker när funktioner implementeras utan
”security by design” eller lämpliga säkerhetskontroller.
- Konfigurering: Inom detta område uppstår risker när program distribueras för att aktivera ny funktionalitet utan att skydda standardinställningar och utveckla tidigare utvecklingskonfigurationer.
Applikationssäkerhetsavdelningen på NTT ger följande tre nyckelråd som företag kan anamma för att förbättra säkerheten:
- Simulera en hackerattack: Dynamic Application Security Testing (DAST)
DAST testar en applikation som körs från en angripares perspektiv. Procedurerna och teknikerna liknar de som används av hackers. DAST erbjuder en översikt av exploaterbara risker som kan upptäckas av externa hot. Det är en viktig grund för att identifiera omedelbara hot och informerar om nödvändiga åtgärder för att minska riskprofilen. Det vanligaste DAST-verktyget är en sårbarhetsskanner.
- Granska källkoden: Static Application Security Testing (SAST)
SAST undersöker ett programs källkod för sårbarheter. Den automatiserade analysen kan delas in i tre typer: Mönstermatchning, semantisk analys och körtidssimulering. Rekommendationen är att kombinera automation med manuell kodgranskning under hela programvaruutvecklingens livscykel (SLDC). På detta sätt upptäcks implementeringsfel genom hela kodbasen, och de som granskar kan fokusera på designaspekter av nyckelfunktionalitet och relaterade säkerhetskontroller.
- Kontrollera teknikstacken: Software Composition Analysis (SCA)
SCA analyserar teknikstacken som används av applikationerna för att identifiera publikt välkända sårbarheter och licensrisker. Sårbarheter som upptäcks av SCA adresseras genom en programrättelse eller uppgradering.
– Effektiva tester av programsäkerheten kan hjälpa till att identifiera existerande sårbarheter, men även trender och tendenser som potentiellt kan leda till profilering av framtida sårbarheter. Ett holistiskt programsäkerhetstest är en förebyggande och proaktiv teknik som kan reducera en organisations övergripande hotbild. Program blir snabbt den mest riktade attackvektorn och detta borde reflekteras i hur organisationer budgeterar för sin IT-säkerhet, säger Fredrik Olsson, Nordenchef på NTT.