– Applikasjonene lekker data. Sikkerhet må inn i koden
Stadig mer av datatrafikken vår går gjennom apper og APIer. Derfor er det viktigere enn noen gang å sikre disse, mener Jon Bjørnland i F5.
– Vårt fokus ligger på å sikre applikasjonene og dataene som ligger bak applikasjonen, i motsetning til mange andre sikkkerhetsleverandører som gjerne har fokus på å sikre brukerne, endepunkter og nettverk, forteller Jon Bjørnland, Country manager i F5.
Og fortsetter:
– I dag er applikasjonene porten til all data, og en gjennomsnittlig bedrift bruker cirka 1000 applikasjoner. I utgangspunktet er alle disse sårbare, og da er det åpenbart viktig at disse sikres. Det er her vi kommer inn.
Bjørnland forteller at F5 sikrer applikasjoner for blant annet store statlige institusjoner med samfunnskritiske applikasjoner. Dette er for å hindre at uvedkommende får tilgang til personlig og annen sensitiv informasjon.
”Vi leser stadig om at brukernavn og passord er kommet på avveie, så bytter vi bare dette og tenker ikke så mye mer over det. Men hvilke andre data kan være lekket?”
– Det er veldig bra og viktig at disse store statlige institusjonene sikrer applikasjonene sine, men vi ser samtidig at mange andre ikke gjør det. Vi mener jo at alle burde sikre disse, da de inneholder veldig mye informasjon bedriftene ikke vil at skal komme på avveie.
– Samtidig har vi som bruker applikasjonene nærmest blitt vant til datalekkasjer. Vi leser stadig om at brukernavn og passord er kommet på avveie, så bytter vi bare dette og tenker ikke så mye mer over det. Men hvilke andre data kan være lekket? Det er viktig at vi brukere tar forholdsregler, men samtidig skal vi ikke behøve å akseptere at applikasjonene lekker. Nå rydder vi opp i etterkant av angrepene, i stedet for å stoppe angrepene i forkant, forteller Bjørnland.
Sikkerhet som en del av kodingen
Løsningen er i følge Bjørnland å implementere sikkerhet som en del av kodingen. Tradisjonelt sett har forholdet mellom kodere og sikkerhetsansvarlige i en bedrift vært så skjevt som 100 kodere per sikkerhetsansvarlig.
– Jeg sammenligner IT-sikkerhet med biler. Da jeg var ung, var det null sikkerhet i bilene. Det var ikke noe bilprodusentene brydde seg om, det var opp til de som kjørte bilene å følge regler og passe på at det ikke skjedde ulykker. I dag ville de færreste satt seg inn i en bil uten airbag og sikkerhetsbelte, og vi tar på oss beltet hver gang, til tross for at vi ikke tror det skjer en ulykke.
– På samme måte som bilindustrien i dag bruker sikkerhet som et salgsargument, mener jeg bedrifter kan gjøre det også for sine applikasjoner. Store bank- og betalingstjenester gjør allerede dette ved blant annet å vise til PCI-DSS-sertifisering.
I tillegg til å stjele personopplysninger og andre verdifulle data, forteller Bjørnland at flere angripere nå har laget roboter som ikke nødvendigvis gjør noe ulovlig. For eksempel har man den siste tiden sett flere eksempler på «sneakerbots», altså automatiserte prosesser som går inn i nettbutikkene og kjøper opp store partier når det kommer nye populære sko på markedet. Disse selges så videre til blodpris. Da må man lage løsninger som stopper dette. F5 hjalp nylig PUMA i USA med å redde lanseringen av nye populære joggesko.
Applikasjoner lages på løpende bånd
Bjørnland forteller at store kodebiblioteker har gjort det enkelt å lage meget gode applikasjoner raskt, men at dette kan gå på sikkerheten løs. Når applikasjonene lages på løpende bånd, og sikkerhet ikke er en del av kodingen, faller det utrolig mye ansvar på den sikkerhetsansvarlige i bedriften.
– Folk har rett og slett ikke tid til å vente på at sikkerhetsansvarlig skal teste om applikasjonen er sikker og implementere de rette sikkerhetsreglene. Da blir det en ubalanse, som bare kan løses ved å gjøre sikkerheten til en del av kodingen. Da må man ha de rette verktøyene, som kan automatiseres, mener Bjørnland.
Ledelsen må sette kravene
– Mange angrepsforsøk kan stoppes ved å bruke det vi kaller en «web application firewall», eller «WAF». F5 har utviklet WAF gjennom snart 20 år, og dette har blitt mye mer innarbeidet i markedet de siste årene med drahjelp fra store aktører som Microsoft og Amazon som begge er teknologipartnere med F5.
Bjørnstad mener det er opp til ledelsen å sette krav til at sikkerheten implementeres på kodenivå, og at det ikke utsettes til det ender opp hos en allerede overarbeidet sikkerhetsansvarlig. Det er dette som kalles «security as code». En WAF kan enkelt legges inn som en del av koden så sikkerheten er ivaretatt fra starten av. Denne vil for eksempel kunne avgjøre om det er et ekte menneske eller en bot som forsøker å logge seg inn for å kjøpe sneakers. Denne fungerer som et lagvist sikkerhetsnett, slik at det er flere prosesser som kan oppdage angrep, dersom noe skulle komme gjennom det første sikkerhetslaget.
En av løsningene til F5 er basert på Nginx, som er verdens mest brukte webserver. Nginx WAF-løsningen kan automatiseres på en slik måte at det ikke sakker utviklerne, men likevel sikrer sikkerheten som en del av koden. De som ønsker en WAF levert som en SaaS-tjeneste kan benytte F5 Distributed Cloud Services. Også denne løsningen kan implementeres i koden.
– Vi tilbyr tjenester som enkelt kan implementeres i koden, slik at man er sikret helt fra starten av. Dette blir ikke mindre viktig i tiden som kommer, og vi er klare på at alle som utvikler apper bør være nøye på å gjøre sikkerhet til en del av hele prosessen.
– I forbindelse med Sikkerhetsdagene i 2022 sa vi at det hastet med et «shift left». Det haster ikke mindre i 2023, avslutter Bjørnland.
