Я все ще пам’ятаю м'який гулям шанувальників серверної кімнати і той слабкий запах озону, коли ми, команда аналітиків з кібербезпеки, простежили шип у трафіку до «нешкідливого» робочого процесу з низьким кодом.
Менеджер магазину створив вишукану інформаційну панель для витягування номерів продажів. Це виглядало охайно, майже грайливо – коробки, стріли, зелені стегна.
Під капюшоном він потрапив у внутрішній API без належної аутентифікації. Ми спіймали його, перш ніж все пішло вбік, але почуття в моїй кишці було тим самим, яке ви отримуєте, коли ви усвідомлюєте двері думка Закрита була відкрита всю ніч.
Де низький код йде не так (і чому він підкрадається повз вас)
Платформи з низьким кодом чудові на швидкості та паршиві при нагадуванні людям про безпечні за замовчуванням. Інтерфейс користувача (інтерфейс інтерфейсу) робить його в безпеці: встановіть тригер, карту поля та публікуйте. Молодший маркетолог доставляє форму опитування без захисту від підробки на перехресті (CSRF). Проект веде провід експорту даних на особистий накопичувач, оскільки він “працює зараз”. Ви, мабуть, бачили версії цього. У мене є – більше, ніж я хотів би визнати.
Загальні режими невдачі не є екзотичними; Вони щоденні помилки в масштабі. Слабка аутентифікація, неохайна авторизація, чутливі дані, що зберігаються там, де цього не повинні бути, та роз'єми, які беруть на себе довіру. Якщо ви хочете швидкий список перехрестя, низькодоступ/без коду топ-коду OWASP перераховує шаблони, які розробники та будівельники пропускають, коли термін знаходиться поруч, а платформа відчуває себе в безпеці.
Існує також проблема темпу. Низький код розгортається швидше, ніж централізовані запаси можуть не відставати, саме так у вашій екосистемі з’являються тіньові програми, що носять дружній інтерфейс користувача. Якщо ваша компанія схиляється до цифрової трансформації з низьким кодом, зробіть видимість першою битвою. Ви не можете захистити те, що не бачите, і не будете виправляти те, що не в списку.
Управління, яке не задушує швидкість
Я прожив обидві крайнощі. Модель Laissez-Faire “Побудуйте все, де завгодно” перетворює безпеку в гру Whack-A-Mole. Навпаки, що вимагає комітету для кожного перемикання, підштовхує людей до роботи навколо цього. Солодке місце є структурованим, легким дотиком, яке видно, але не задушує.
Почніть з простого реєстру. Перед тим, як все вийде в реальному часі, будівельник записує те, що робить додаток, хто йому належить, залучені класи даних та системи, яких він торкається. Не дисертація – достатньо, щоб розмістити її на карті. Ця звичка змінює поведінку, оскільки власність стає реальною, і ризики можуть бути тривалією. Мені також подобається просити швидку етикетку ризику: загальнодоступний, внутрішній, чутливий або регульований. Ви будете вражені, як швидко “внутрішній + регульований” отримує правильні очі в кімнаті.
Я також мав успіх вбудовувати «приятелів безпеки» всередині команд, які багато постачають. Вони перекладачі, а не монітори Холла – люди, які можуть сказати: “Цей роз'єм надає доступ за замовчуванням доступу; давайте обсягмо його”, до дня запуску. Для постійної видимості позичається з розуму Фортри навколо управління конфігурацією безпеки – безперервної перевірки, виявлення дрейфу та аудиторського сліду того, хто змінив що і коли. Ця дисципліна чисто відображає на платформах з низьким кодом і зупиняє повільну повзучість від “безпечної” до “ой”.
Безпечний дизайн для візуальних будівельників (так, він все ще вважається програмним забезпеченням)
Якщо управління є тим, хто і коли, захищено за дизайном-це як. Навіть при перетягуванні полотен основи не змінюються. Ви відчуєте різницю в перший тиждень, коли ви застосовуєте платформу MFA та найменші ролі; Шум падає, радіус вибуху скорочується, а погані сюрпризи стають рідше.
Закпніть доступ до платформи. Зберігайте права адміністратора крихітними та навмисними. Використовуйте контроль доступу на основі ролі (RBAC) для творців, редакторів та глядачів. Я колись перевіряв логістичну організацію, де вижили “всі адміністратор”, оскільки демонстрації були простішими таким чином. Це також означало, що бічний рух був тривіальним.
Пробувати API як код виробництва. Руховий трафік через шлюзи, застосовуйте TLS 1.3, і поставте здорові обмеження швидкості, щоб петля не перетворювала кінцеву точку на пожежну. Виклики та переглянути шипи або непарні агенти. Ми спіймали трекер відвантаження з низьким кодом з нульовим дросером; Нудний зловмисник міг вискочити місяці даних про доставку за допомогою Curl.
Валідувати входи, як ваша репутація, залежить від цього – тому що це робить. Візуальні форми все ще приймають ворожі корисні навантаження. Використовуйте параметризовані запити та суворі дозволені списку. Керівництво CISA щодо ін'єкції SQL залишається актуальним навіть тоді, коли “запит” – це блок на полотні.
Якщо ви перебуваєте на вимогах PCI DSS, HIPAA або SOX, не покладайтеся на добрі наміри. Дріт в автоматизованих чеках, які не вдаються, для відсутнього шифрування, надсисків над-бродяг або незабезпечених роз'ємів. З’єднайте це з моніторингом цілісності файлів Fortra, щоб помітити дрейф, коли це трапляється – носові речі краще, ніж попередження, яке говорить: “Цей об’єкт змінився о 02:14; ось хто це зробив”.
Для більш широкої основи, захищена рамка розробки програмного забезпечення NIST (SSDF) варто перетворити на елементи управління низьким кодом, моделювання загрози рано, перевірені вимоги безпеки та постійну перевірку протягом усього життєвого циклу. Ці ідеї не важкі; Це звички, які не дозволяють невеликими проблемами стати звітами про порушення.
Навчіть людей, які насправді будують (не лише інженери)
Найбільш ризиковані програми з низьким кодом, які я досліджував, були побудовані розумними людьми, які не знали, де поховані образні земельні речі. Вирішіть це за допомогою практичної, специфічної для платформи навчання. Відкрийте інструмент разом. Встановіть дозвіл. Шифрувати поле. Увімкніть журнали аудиту та дивіться, як записи котяться. Ви можете побачити епіфанію, коли хтось усвідомлює, що один перемикач запобігає тиждень реагування на інциденти.
Огляд однолітків не є бюрократією. Це другий набір очей, який помічає жорсткий ключ API, який ви були занадто близькими, щоб побачити. Я ніколи не забуду молодшого аналітика, який вказує на екран і сказав: “Чи повинен це бути в простому тексті”? Ми обертали ключ, переїхали до Оаута і краще спали. Зробіть попередні опубліковані відгуки нормою, а не послугою.
Планування догляду. Поставте щоквартальні реєстрації в календарі для кожного активного додатка. Перевтверчіть право власності. Інтеграція мертвих. Залежності патчів. Мені подобається інформаційна панель, яка з першого погляду показує здоров'я додатків; Спостерігаючи за тим, як червоні плитки перевертаються до Гріна, дивно задовольняє і тримає команди.
Тестуйте, як це виробництво, тому що це є
Програми з низьким кодом належать до вашої області тестування, як тільки вони торкаються реальних даних або критичних систем. Пропустити їх – це як зафіксувати вхідні двері та залишити бічні ворота відкритими з вітальним килимком. Навіть коротка оцінка може повернути незахищені за замовчуванням, надмірно дозвільні роз'єми або сторонні інтеграції, які не поводяться під стресом.
Робіть швидке моделювання загрози, перш ніж перетягнути свій перший блок на полотно. Дошка потік даних: де він бере свій початок, де він відпочиває, хто може його бачити та як це автентифіковано. Я спостерігав, як ця вправа сама переконує команди переключити публічні веб -куки на автентифіковані зворотні дзвінки. Зараз тридцять хвилин економить через тридцять годин.
І тому, що все йде не так, має справжню ігрову книгу для низького коду. Не запилений док -документ – дієва книга, яка називає власниками, показує, як ізолювати додаток, відкликати облікові дані, обертати ключі, повідомити зацікавлених сторін та збирати докази. Якщо ви встановлюєте очікування на глибину тестування, пояснювач Fortra щодо сканування вразливості та тестування на проникнення – це простий спосіб узгодити зацікавлених сторонів безпеку за обсягом та результатами.
Закриття думки
Низький код дає командам серйозні електроінструменти. Деякі люди побудуватимуть красиві, міцні рішення, які полегшують день кожного. Інші можуть випадково пошкодити щось важливе, оскільки цей інструмент здавався простішим у використанні та нешкідливішим, ніж це було насправді. Якщо ви веб -розробник, що вступає в цей світ, візьміть із собою свої інстинкти: замкніть доступ, підтверджуйте все, запишіть, що ви розгортаєте, і стежте за ним після запуску. Швидкість допомагає лише тоді, коли вам не доведеться кружляти назад з вибаченням та післясмертним.
Про автора: Девід Балабан – аналітик з кібербезпеки, який має два десятиліття досвіду в галузі зловмисних програм та оцінки програмного забезпечення антивірусу. Девід біжить Конфіденційність-pc.com і Macsecurity.net Проекти, які представляють експертні думки щодо сучасних питань інформаційної безпеки, включаючи соціальну інженерію, зловмисне програмне забезпечення, тестування на проникнення, розвідку про загрозу, конфіденційність в Інтернеті та хакерство білих капелюхів. У Девіда є надійне усунення несправностей з зловмисним програмним забезпеченням, нещодавно зосередившись на контрзаходах викупу.
Примітка редактора: Думки, висловлені в цій статті гостьового автора, є виключно думкою до учасника і не обов'язково відображають думки Фортра.
