יישומי רשת
1. סקירה כללית
פגיעויות ביישומי רשת מהוות את אחד הגורמים המרכזיים לנקודות תורפה מחוץ לתחום התוכנות הזדוניות. חיוני שכל יישום רשת ייבדק לפגיעויות וכל פגיעות תתוקן לפני פריסת היישום בסביבה הייצורית.
2. מטרה
מטרת מדיניות זו היא להגדיר את נהלי אבטחת יישומי רשת בחברת איי.אמ.אס טכנולוגיות. בדיקות אבטחת יישומי רשת מתבצעות כדי לזהות נקודות תורפה פוטנציאליות או ממשיות הנובעות מקונפיגורציה שגויה, אימות חלש, טיפול לא מספק בשגיאות, דליפת מידע רגיש ועוד. גילוי ותיקון של בעיות אלו יקטינו את שטח ההתקפה של שירותי החברה הזמינים הן בפנים והן מחוץ לארגון, ויסייעו בעמידה בדרישות הציות למדיניות רלוונטית.
3. תחום יישום
מדיניות זו מכסה את כל בדיקות אבטחת יישומי הרשת המתבקשות על ידי כל אדם, קבוצה או מחלקה לשם שמירת מצב האבטחה, עמידה בציות, ניהול סיכונים ובקרה על שינויים בטכנולוגיות בשימוש בחברה.
כל בדיקות אבטחת יישומי רשת יתבצעו על ידי אנשי אבטחת מידע שהוקצו לתפקיד זה, בין אם מועסקים או נמסרו לקבלן משנה על ידי החברה. כל הממצאים ייחשבו לסודיים ויופצו אך ורק לאנשים הזקוקים לדעת אותם. הפצה מחוץ לחברה אסורה בהחלט, אלא אם אושרה על ידי מנהל מערכות המידע.
4. מדיניות
4.1 יישומי רשת יהיו כפופים לבדיקות אבטחה בהתאם לקריטריונים הבאים:
- 4.1.1 גרסה חדשה או מרכזית של יישום – תעבור בדיקה מלאה לפני אישור מסמכי בקרת השינויים ו/או פריסתה בסביבת הייצור.
- 4.1.2 יישום רשת צד שלישי או נרכש – יעבור בדיקה מלאה שלאחריה יחויב לעמוד בדרישות המדיניות.
- 4.1.3 גרסאות נקודתיות – יהיו כפופות לרמת בדיקה מתאימה בהתבסס על סיכון השינויים בתפקוד ו/או הארכיטקטורה של היישום.
- 4.1.4 גרסאות תיקון (Patch Releases) – יהיו כפופות לרמת בדיקה מתאימה בהתבסס על סיכון השינויים בתפקוד ו/או הארכיטקטורה של היישום.
- 4.1.5 גרסאות חירום – גרסת חירום תוכל להתבצע ללא בדיקת אבטחה תוך נטילת הסיכון עד שיתאפשר לבצע בדיקה מתאימה. גרסאות חירום יסומנו ככאלה על ידי מנהל מערכות המידע או מנהל אחר שהוסמך לכך.
- 4.1.6 סקירה שנתית – כל היישומים יהיו כפופים לסקירה שנתית מלאה במטרה לבדוק סיכונים פוטנציאליים בתפקוד ו/או הארכיטקטורה.
4.2 כל בעיות האבטחה שיתגלו במהלך הבדיקות חייבות להיות מטופלות בהתאם לרמות הסיכון הבאות:
רמות הסיכון מבוססות על מתודולוגיית דירוג הסיכונים של OWASP. יידרשו בדיקות תיקוף (Remediation Validation Testing) כדי לאמת את התיקון ו/או את אסטרטגיות ההפחתה לכל בעיה שד ורגה בסיכון בינוני ומעלה.
- 4.2.1 גבוה – כל בעיה בסיכון גבוה חייבת להיפתר באופן מיידי או שיש ליישם אסטרטגיות הפחתה אחרות כדי לצמצם את החשיפה לפני הפריסה. יישומים עם בעיות סיכון גבוהות עלולים להיות מוסרים מהשירות או להיכשל בשחרור לסביבת הייצור.
- 4.2.2 בינוני – יש לסקור בעיות סיכון בינוני כדי לקבוע מה נדרש כדי להפחית את הסיכון, ולתזמן את התיקון בהתאם. יישומים עם בעיות סיכון בינוני עשויים להיות מוסרים מהשירות או להיכשל בשחרור לסביבת הייצור בהתאם לכמות הבעיות ואם מספרן מגביר את הסיכון לרמה בלתי מקובלת. בעיות יש לתקן בעדכון נקודתי אלא אם כן אסטרטגיות הפחתה אחרות יגנו על החשיפה.
- 4.2.3 נמוך – יש לסקור את הבעיה כדי לקבוע מה נדרש כדי לתקן אותה ולתזמן את התיקון בהתאם.
4.3 רמות הבדיקות הבאות ייקבעו על ידי צוות אבטחת המידע או ארגון אחר שהוקצה לביצוע הבדיקות:
- 4.3.1 מלאה – בדיקה מלאה כוללת מבחנים לכל פגיעות הרשת הידועות תוך שימוש בכלים אוטומטיים וידניים המבוססים על מדריך הבדיקות של OWASP. בדיקה מלאה תכלול גם בדיקות חדירה ידניות לאימות הפגיעות שהתגלו כדי לקבוע את רמת הסיכון הכוללת של כל הפגיעות שהתגלו.
- 4.3.2 מהירה – בדיקה מהירה תכלול סריקה אוטומטית של יישום לזיהוי עשרת הסיכונים המובילים של OWASP לפחות.
- 4.3.3 ממוקדת – בדיקה ממוקדת מתבצעת כדי לאמת שינויים שנעשו לתיקון פגיעות או להוסיף תפקודיות חדשה ליישום.
4.4 כלי הבדיקה המאושרים נכון להיום המשמשים לבדיקות אבטחת יישומי רשת הם:
- OWASP ZAP (Zed Attack Proxy): כלי קוד פתוח לבדיקת חדירות שמיועד לזהות חולשות ביישומי רש ת.
- Burp Suite: פלטפורמה מקיפה לבדיקות אבטחת יישומי רשת שמציעה מגוון כלים לאיתור חולשות.
- Netsparker: סורק אוטומטי ליישומי רשת שמאתר חולשות כמו SQL Injection ו-XSS.
- Acunetix: כלי סריקה לאבטחת יישומי רשת שמאתר ומדווח על מגוון רחב של חולשות.
- Qualys Web Application Scanning (WAS): סורק יישומי רשת שבודק את האפליקציה מול רשימה גדולה של חולשות נפוצות.
- AppScan: כלי מסחרי מבית IBM שמיועד לאיתור חולשות ביישומי רשת במהלך תהליך הפיתוח.
- Veracode: פתרון מבוסס ענן שמציע סריקות אבטחה עבור יישומי רשת ומובייל.
- Arachni: מסגרת קוד פתוח לאיתור חולשות אבטחה ביישומי רשת.
- Nikto: סורק שרתי רשת שמאתר בעיות תצורה פוטנציאליות וחולשות. יכולים להיעשות שימוש בכלים ו/או טכניקות אחרות בהתאם למה שיתגלה בבדיקה הבסיסית ולצורך לאמת את תוקף וסיכון הפגיעות, וזאת לפי שיקול דעתו של צוות אבטחת המידע.
5. עמידה במדיניות
- 5.1 מדידת עמידה במדיניות
צוות אבטחת המידע יאמת עמידה במדיניות זו בדרכים שונות, כולל אך לא מוגבל לדוחות עסקיים, ביקורות פנימיות וחיצוניות ומשוב לבעל המדיניות. - 5.2 חריגות
כל חריגה מהמדיניות חייבת להיות מאושרת מראש על ידי צוות אבטחת המידע. - 5.3 אי-עמידה
עובד שיימצא כי הפר את המדיניות עשוי להיות כפוף לפעולות משמעתיות, עד ובכלל סיום העסקה.