Kiedy zaczynamy myśleć o nadzorze nad bezpieczeństwem, najczęściej koncentrujemy się na rzeczach, które mają znaczenie. Często są to kluczowe systemy dla organizacji i najpilniejsze luki bezpieczeństwa w tych najważniejszych systemach. Kiedy rozwijamy umiejętności zarządzania czasem, odkrywamy, że mają one znaczenie zarówno w życiu osobistym jak i w biznesie. Takie podejście jest prezentowane w zasadzie Pareto (czy zasadzie 80/20). Reguła ta pokazuje, że skupiając się na niewielkiej liczbie elementów, które odpowiadają za większość ryzyka, zapewniamy, że czas i środki, zwłaszcza finansowe, są optymalnie zainwestowane.

Jak to się ma do bezpieczeństwa aplikacji? W zasadzie wszystko! Wiele osób koncentruje się na testowaniu i zabezpieczaniu swoich podstawowych witryn i aplikacji, co jest oczywiście dobrym podejściem. Jednak wyzwania zaczynają się pojawiać, gdy całą uwagę skupiamy na tych pozornie najważniejszych systemach ze szkodą dla pozostałych, tych mniej ważnych. Istnieje nawet przekonanie, także wśród osób zarządzających środowiskami aplikacji, że systemy internetowe o niższym priorytecie, takie jak witryny marketingowe, mikrowitryny, a nawet systemy testowe i pomostowe, nie zawierają niczego istotnego i dlatego nie muszą być testowane.

Powodem, dla którego tak ważne jest testowanie tych mniej krytycznych systemów internetowych, jest to, że często mają one duże luki w zabezpieczeniach – zwłaszcza aplikacje testowe. Duże luki wiążą się z dużymi konsekwencjami, niezależnie od wykorzystywanego systemu. Testując systemy o niskim priorytecie, często możemy spotkać podatności krytyczne lub wysokie, takie jak:

• brak aktualizacji systemu operacyjnego, serwera webowego i patchy samej aplikacji
• SQL Injection
• Cross-Site Scripting
• Łatwy dostęp do kont użytkowników
• Słabe hasła

Często Klienci pomijają mniej krytyczne systemy podczas wykonywania audytów bezpieczeństwa, jednak jeśli uda się wykazać, że są one zagrożeniem dla całej organizacji, ostatecznie zmieniają zdanie odnośnie prowadzenia testów bezpieczeństwa w przyszłości. Nawet jeśli testy bezpieczeństwa tych mniej krytycznych aplikacji miałyby odbyć się tylko kilka razy w roku, zapewnia to Twojej firmie pewien sukces – eliminując słabe ogniwa w swojej organizacji. Dzięki temu, będziesz mógł bardziej skoncentrować się na najważniejszych aplikacjach w organizacji. Najważniejsze w tym wszystkim to odpowiednie narzędzia do testowania bezpieczeństwa aplikacji – jeśli temat jest dla Ciebie interesujący, skontaktuj się z nami: sales@d23security.pl i przetestuj za darmo rozwiązanie Acunetix – automatyczny skaner klasy DAST.

Artukuł przygotowany przez Invicti: Oryginał znajdziesz tutaj