3 methodes om applicatiesecurity uit te voeren

Techworld gaat in een apart artikel al in op de ontwikkelingen rond applicatiebeveiliging, een veld waar volgens experts nog veel in te winnen valt op pure methodiek. In de praktijk worden tests pas achteraf uitgevoerd, soms zelfs als de applicatie al in productie draait. Scans die dan alsnog kunnen worden uitgevoerd, kunnen in twee categorieën vallen: de zogenaamde black box en white box-methodes.

"De black box-benadering houdt in dat een penetratietester een applicatie zonder voorkennis benadert", zegt Sebastien Deleersnyder, beveiligingsdeskundige bij Telindus en oprichter van de Beneluxtak van security-denktank OWASP. "De tester voert van buitenaf penetratietesten uit op de applicaties, waarbij hij aangeeft welke aanvallen succesvol zijn." Centrale vragen die de beveiliger daarbij stelt, is of hij de informatie kan verkrijgen waar hij eigenlijk niet bij hoort te komen, zoals login- en creditcardgegevens

Voorbeelden van tools die bij dit penetratietesten gebruikt worden zijn de Application Security Center van marktleiders HP (via SPI Dynamics) en IBM (die hetzelfde deden met Watchfire, en daarmee AppScan in handen kregen). Ook NTOBJECTives en Cenzic (Hailstorm) behoren tot de mogelijkheden.

Maar die tools op zichzelf maken niet veel klaar, zo waarschuwt Deleersnyder. "Feitelijk automatiseren ze het uitvoeren van de meest gebruikelijke aanvallen, zoals xss en SQL-injectie", zegt hij. Daarmee nemen ze 20 tot hooguit 40 procent van de kwetsbaarheden voor hun rekening. "Het is absoluut geen silver bullet, en eigenlijk is het onvermijdelijk om een hacker in dienst te nemen. Ze zijn dan ook juist bedoeld om een professionele penetratietester veel werk uit handen te nemen." Met die combinatie in huis neemt een black box test 3 tot 5 dagen in beslag, zo rekent Deleersnyder.

Deleersnyder ziet ook twee grote nadelen aan de black box-manier. De test toont aan dat een applicatie lek is, maar niet hóe een applicatie lekt. Daarnaast is het niet na te gaan of alles getest is.

Die twee nadelen spelen niet bij de white box-methode, welke ingrijpender en secuurder is dan zijn zwarte tegenhanger. Belangrijkste verschil is dat de tester hier wel volledige inzicht heeft in de code. Van tevoren zit de hacker zit met de ontwikkelaar om tafel en neemt de code door, op zoek naar eventuele fouten en aandachtspunten. Tools om de broncode te analyseren komen van onder andere Fortify en Ounce-Labs.

"Deze tools zijn al een stuk volwassener dan de penetratietesters", zegt Deleersnyder. Niet alleen worden de kwetsbaarheden gevonden, ze worden ook nog eens geduid. Omdat het zoveel ingrijpender is, moet wel rekening worden gehouden met de duur. "U moet rekenen op een tiental werkdagen om de code te analyseren, waardoor het automatisch duurder wordt om uit te voeren", zegt Deleersnyder. "Vaak is dan nog niet alle code bekeken, maar u bent dan al een flink eind op weg." Ander belangrijk nadeel is dat uit de code-analyse ook false positives kunnen blijken; een 'lek' in de code hoeft lang niet altijd te betekenen dat de applicatie zelf valt uit te buiten. En het is niet uit te voeren als de ontwikkelaar om wat voor reden dan ook niet beschikbaar is.

En als er een lek gevonden is, maar de ontwikkelaar om wat voor reden dan ook niet kan worden ingezet om het te dichten? "Daarvoor zijn zogenaamde 'applicatiefirewalls' op de markt", zegt Deleersnyder, waarmee hij programma's bedoelt die van buiten een app in de gaten houden en 'verdachte acties' blokkeert. Dit soort firewalls worden vaak ingezet door integrators. "Zo'n firewall is goed te tunen, maar het risico is daarbij dat hij lang getuned wordt, waardoor een kwetsbaarheid te lang kan blijven hangen en het te laat is."

Bron: Techworld