Tegnap, az első hazai rendezvényen jelentették be az alapítók, hogy létrehozták az OWASP magyar tagozatát, és mindjárt előadásokkal mutatták be azt, hogy milyen biztonsági problémákat látnak kiemelteknek, és ezekre véleményük szerint milyen megoldási lehetőségek létezhetnek.

Fekete Tibor, a Cloudbreaker társaság vezetője, az OWASP magyarországi tagozatának egyik alapítója a következőképp propagálta a szerveződést: „Az OWASP (Open Web Application Security Project) és a biztonsági cégek számára is kiemelten fontos, miszerint a megrendelők részéről szemléletváltásra van szükség ahhoz, hogy a vállalati és felhasználói adatok biztonságát valóban garantálják, a törvényhozói oldal pedig a szabályozással adós. A határvédelmi fókuszt felváltó új szemléletmódban a védelem vezéregyéniségeivé egyre inkább az alkalmazásbiztonsági szakértők válnak, akiknek az a dolguk, hogy a fejlesztés közben a hacker szemével monitorozzák a tervezett és a készülő programokat. A biztonságnak és az alkalmazásbiztonságnak is meg kell hogy változzon a struktúrája, a hatékonyabb, preventív elemek arányát növelni kellene az utólagos ellenőrzések jelenlegi szinten tartása mellett.”

Határvédelem helyett megelőzés

A találkozóról kiadott közleményben kifejtik, hogy az alkalmazások biztonsága az utóbbi években került a figyelem középpontjába. Ez köszönhető részben a webes alkalmazások széleskörű elterjedésének, részben annak, hogy a 2010-es években már főleg a szoftverekben hagyott hibákból származik az a rés, amelyen a hackerek támadhatnak. A 2010-es évek elejéig a biztonsági szakemberek a határvédelemre koncentráltak, a cégek rengeteget költöttek erre a fajta védelemre. A hackerek ezt felmérve az alkalmazások hibái felé fordultak, amelyek, a vállalati környezetekben is, főleg a programozók által hagyott hibákból adódnak, hiszen egyfelől a mai programok jóval komplexebbek, mint 10-20 évvel ezelőtt, másfelől a megrendelői oldal még nem ismerte fel, hogy számára – és ügyfelei számára – csak a fejlesztési folyamatba illesztett biztonsági ellenőrzés jelenthet valódi biztonságot.

Az elmúlt két évtized elsődleges kibervédelmi alapelve a „határvédelem” volt. Ebben a modellben a védett hálózat külső forgalmából szűrték ki a potenciális támadásokat. A belső hálózatban pedig zónákat hoztak létre, a külső zónában elhelyezve például a webszervereket, a belsőkben pedig az érzékeny adatokat és a szolgáltatásokat. A szakemberek ilyenkor abban bíztak, hogy a támadók fennakadnak a kerítéseken és az ellenőrzött kapukon. Ezzel párhuzamosan a 2000-es években végbement egy korszakváltás, amelynek köszönhetően a szoftveriparban megjelent és a semmiből a biztonsági büdzsék 20-30%-át hasította ki az azelőtt szinte teljesen hiányzó funkcionális tesztelés, ami már egy komoly lépést jelentett a biztonság felé.

Az OWASP tagjai szerint napjainkban egy újabb korszakváltásnak vagyunk tanúi: a határvédelemről és az utólagos tesztelésről – amilyen például az etikus hacking, és főleg a penetrációs tesztek – Nyugat-Európában és az Egyesült Államokban a figyelem egyre inkább a preventív alkalmazásbiztonságra terelődik. Nem csoda, állítják, hiszen a fejlesztés folyamatába illesztett biztonsági ellenőrzés és szakértelem sokkal jobb hatékonyságot és valóságosabb biztonságot – nem csupán a hamis biztonságérzetet – jelent. Emellett a számos országban már létező adatvédelmi törvényi kötelezettségek miatt a preventív alkalmazásbiztonság az egyetlen út, ami valóban megvédheti a piaci szereplőket és ügyfélköreiket a betolakodóktól.

Átstrukturálni a költéseket

A fejlett országokban mára a biztonsági büdzsék 20%-át fordítják alkalmazásbiztonságra, írják, legnagyobb részben etikus hackingre, de folyamatosan nő a preventív megelőzés részaránya is. Magyarországon ez az arány ma még nem éri el az 5%-ot, ami a hazai mintegy 25 milliárd forintos biztonsági piacot alapul véve körülbelül 1 milliárd forintos ráfordítást jelent.

Ugyanakkor az alkalmazásbiztonsági piac minden jel szerint dinamikus növekedés előtt áll, hiszen ma már a támadások 80%-a az alkalmazásokat, a szoftverekben hagyott réseket, és nem a határvédelmet veszi célba. Ezeket a javításokat pedig a szokványos garanciális keretek között a fejlesztők nem szokták elvégezni, már csak azért sem, mert az utólagos tesztelésekre sokszor az általánosan szabott 3 hónapos garanciális határidőn túl kerül sor.

Az adatbiztonság növelését az OWASP hazai tagozatának alapítói, a Cloudbreaker szakértői szerint részben az eddig halogatott törvényi szabályozással, részben a megrendelői oldal szemléletváltásával lehetne elősegíteni. Míg a törvényi szabályozás egyelőre várat magára, a megrendelői oldalon kívánatos szemléletváltást részben az OWASP tevékenysége hivatott előmozdítani.