Keamanan Aplikasi Web

0
94

Perusahaan melakukan investasi besar untuk mengembangkan aplikasi Web berkinerja tinggi sehingga pelanggan dapat melakukan bisnis kapan pun dan di mana pun mereka pilih. Meskipun nyaman, akses 24-7 ini juga mengundang peretas yang mencari potensi rejeki nomplok dengan mengeksploitasi aplikasi korporat yang sangat tersedia.

Satu-satunya cara untuk berhasil melawan serangan aplikasi Web adalah membangun aplikasi yang aman dan berkelanjutan dari awal. Namun, banyak bisnis menemukan mereka memiliki lebih banyak aplikasi dan kerentanan Web daripada profesional keamanan untuk menguji dan memperbaikinya – terutama ketika pengujian kerentanan aplikasi tidak terjadi sampai setelah aplikasi dikirim ke produksi. Hal ini menyebabkan aplikasi menjadi sangat rentan terhadap serangan dan meningkatkan risiko yang tidak dapat diterima dari aplikasi yang gagal dalam audit peraturan. Bahkan, banyak yang lupa bahwa mandat kepatuhan seperti Sarbanes-Oxley, Undang-undang Portabilitas dan Akuntabilitas Asuransi Kesehatan, Gramm-Leach-Bliley, dan peraturan privasi Uni Eropa, semua memerlukan keamanan yang dapat dibuktikan dan dapat diverifikasi, terutama di mana sebagian besar risiko saat ini ada – di Tingkat aplikasi web.

Dalam upaya untuk mengurangi risiko ini, perusahaan menggunakan firewall dan teknologi deteksi / pencegahan intrusi untuk mencoba melindungi jaringan dan aplikasi mereka. Tetapi langkah-langkah keamanan aplikasi web ini tidak cukup. Aplikasi web memperkenalkan kerentanan, yang tidak dapat diblokir oleh firewall, dengan memungkinkan akses ke sistem dan informasi organisasi. Mungkin itu sebabnya para ahli memperkirakan bahwa sebagian besar pelanggaran keamanan saat ini ditargetkan pada aplikasi Web.

Salah satu cara untuk mencapai keamanan aplikasi web yang berkelanjutan adalah dengan menggabungkan pengujian kerentanan aplikasi ke dalam setiap fase siklus hidup aplikasi – mulai dari pengembangan hingga jaminan kualitas hingga penerapan – dan terus menerus selama operasi. Karena semua aplikasi Web harus memenuhi standar fungsional dan kinerja agar bernilai bisnis, masuk akal untuk memasukkan keamanan aplikasi web dan pengujian kerentanan aplikasi sebagai bagian dari pengujian fungsi dan kinerja yang ada. Dan kecuali Anda melakukan ini – uji keamanan pada setiap fase siklus hidup setiap aplikasi – data Anda mungkin lebih rentan daripada yang Anda sadari.

Mengabaikan Pengujian Kerentanan Aplikasi: Risiko dan Biaya Keamanan yang Buruk

Pertimbangkan jaringan supermarket Hannaford Bros., yang kabarnya sekarang menghabiskan miliaran untuk meningkatkan keamanan TI dan aplikasi webnya – setelah penyerang berhasil mencuri hingga 4,2 juta nomor kartu kredit dan debit dari jaringannya. Atau, tiga peretas baru-baru ini didakwa mencuri ribuan nomor kartu kredit dengan memasukkan paket sniffer pada jaringan perusahaan dari rantai restoran utama.

Potensi biaya ini dan serangan aplikasi Web terkait bertambah dengan cepat. Ketika Anda mempertimbangkan biaya analisis forensik sistem yang dikompromikan, peningkatan aktivitas pusat panggilan dari pelanggan yang marah, biaya hukum dan denda peraturan, pemberitahuan pengungkapan pelanggaran data yang dikirim ke pelanggan yang terkena dampak, serta kerugian bisnis dan pelanggan lainnya, tidak mengherankan bahwa berita laporan seringkali merinci insiden yang menelan biaya mulai dari $ 20 juta hingga $ 4,5 miliar. Firma riset Forrester memperkirakan bahwa biaya pelanggaran keamanan berkisar antara $ 90 hingga $ 305 per catatan yang dikompromikan.

Biaya lain yang dihasilkan dari keamanan aplikasi web yang buruk termasuk ketidakmampuan untuk melakukan bisnis selama serangan penolakan layanan, aplikasi macet, kinerja berkurang, dan potensi hilangnya kekayaan intelektual kepada pesaing.

Apa yang sangat mengejutkan, selain dari semua risiko keamanan dan peraturan yang telah kami jelaskan, adalah bahwa sebenarnya lebih hemat biaya untuk menggunakan pengujian kerentanan aplikasi untuk menemukan dan memperbaiki cacat perangkat lunak terkait keamanan selama pengembangan. Sebagian besar ahli sepakat bahwa walaupun biayanya beberapa ratus dolar untuk menangkap kekurangan seperti itu selama fase persyaratan, biayanya bisa lebih dari $ 12.000 untuk memperbaiki kekurangan yang sama setelah aplikasi dikirim ke produksi.

Hanya ada satu cara untuk memastikan bahwa aplikasi Anda aman, patuh, dan dapat dikelola dengan biaya yang efektif, dan itu adalah mengadaptasi pendekatan siklus hidup untuk keamanan aplikasi web.

Daur Hidup Keamanan Aplikasi Web

Aplikasi web harus mulai aman agar tetap aman . Dengan kata lain, mereka harus dibangun dengan menggunakan praktik pengkodean yang aman, melalui serangkaian QA dan pengujian kerentanan aplikasi, dan dipantau terus-menerus dalam produksi. Ini dikenal sebagai siklus hidup keamanan aplikasi web.

Mengatasi masalah keamanan selama proses pengembangan melalui pengujian kerentanan aplikasi bukanlah sesuatu yang dapat dicapai dengan segera. Diperlukan waktu untuk mengintegrasikan keamanan ke dalam berbagai tahap pengembangan perangkat lunak. Tetapi setiap organisasi yang telah melakukan inisiatif lain, seperti menerapkan Model Kemampuan Maturitas (CMM) atau bahkan menjalani program Six Sigma, tahu bahwa upaya itu sepadan karena proses pengujian kerentanan aplikasi yang sistematis dengan hasil yang lebih baik, lebih efisien, dan hemat biaya. lembur.

Untungnya, penilaian aplikasi dan alat keamanan tersedia hari ini yang akan membantu Anda untuk sampai di sana – tanpa memperlambat jadwal proyek. Tetapi, untuk memperkuat pengembangan sepanjang siklus hidup technicaltalk.net, penting untuk memilih alat pengujian kerentanan aplikasi yang membantu pengembang, penguji, profesional keamanan, dan pemilik aplikasi dan bahwa perangkat ini berintegrasi secara erat dengan IDE populer, seperti Eclipse dan Microsoft Visual Studio .NET untuk pengembang.

Dan sama seperti standardisasi pada proses pengembangan – seperti RAD (pengembangan aplikasi cepat) dan gesit – membawa efisiensi pengembangan, menghemat waktu, dan meningkatkan kualitas, jelas bahwa memperkuat siklus hidup pengembangan perangkat lunak, memiliki alat pengujian keamanan yang tepat, dan menempatkan perangkat lunak keamanan yang lebih tinggi dalam daftar prioritas adalah investasi bisnis jangka panjang yang sangat baik dan tidak ternilai.

Apa jenis alat keamanan aplikasi web yang harus Anda cari? Sebagian besar perusahaan menyadari pemindai kerentanan jaringan, seperti Nessus, yang mengevaluasi infrastruktur untuk jenis kerentanan tertentu. Tetapi lebih sedikit yang menyadari pengujian kerentanan aplikasi dan alat penilaian yang dirancang untuk menganalisis aplikasi Web dan layanan Web untuk kelemahan khusus untuk mereka, seperti input yang tidak valid dan kerentanan skrip lintas situs. Pemindai keamanan dan kerentanan aplikasi Web ini tidak hanya berguna untuk aplikasi yang dibuat khusus tetapi juga untuk memastikan bahwa perangkat lunak yang diperoleh secara komersial aman.

Ada juga alat keamanan aplikasi web yang membantu menanamkan keamanan dan kontrol kualitas yang baik sebelumnya dan sepanjang pengembangan. Misalnya, alat pengujian kerentanan aplikasi ini membantu pengembang menemukan dan memperbaiki kerentanan aplikasi secara otomatis saat mereka memberi kode pada aplikasi Web dan layanan Web mereka. Ada juga aplikasi inspeksi kualitas yang membantu para profesional QA menggabungkan keamanan aplikasi Web dan pengujian kerentanan aplikasi ke dalam proses manajemen yang ada secara otomatis.

Penting juga untuk mengetahui bahwa teknologi saja tidak akan menyelesaikan pekerjaan. Anda memerlukan dukungan manajemen juga. Dan tidak peduli seberapa besar atau kecil upaya pengembangan Anda, semua pemangku kepentingan – pemilik bisnis dan aplikasi, keamanan, kepatuhan terhadap peraturan, audit, dan tim jaminan kualitas – harus memiliki pendapat dari awal, dan tolok ukur harus ditetapkan untuk pengujian kerentanan aplikasi berkualitas.

Meskipun mungkin tampak seperti usaha yang menakutkan pada awalnya, pendekatan siklus hidup keamanan aplikasi web sebenarnya menghemat uang dan upaya dengan membuat dan memelihara aplikasi yang lebih aman. Memperbaiki cacat keamanan setelah aplikasi dirilis membutuhkan waktu dan sumber daya tambahan, menambah biaya yang tidak terduga untuk proyek yang diselesaikan. Ini juga mengalihkan perhatian dari proyek lain, berpotensi menunda waktu ke pasar produk dan layanan baru. Selain itu, Anda akan menghemat biaya yang berlebihan karena harus memperbaiki kekurangan setelah aplikasi dikerahkan, dan Anda telah gagal audit peraturan – dan Anda akan menghindari rasa malu karena menjadi berita utama pelanggaran keamanan berikutnya.